Cette page explique comment vérifier si les autorisations requises pour migrer un domaine Active Directory existant sur site vers le service géré pour Microsoft Active Directory avec l'historique des SID sont activées. Cette page explique également comment désactiver ces autorisations une fois la migration terminée.
Avant de commencer
Assurez-vous de disposer de l'un des rôles utilisateur IAM (Identity and Access Management) suivants:
- Administrateur de domaine Google Cloud Managed Identities (
roles/managedidentities.domainAdmin) - Administrateur Google Cloud Managed Identities (
roles/managedidentities.admin)
Pour en savoir plus, consultez la page Rôles Cloud Managed Identities.
Vérifiez les autorisations
Vous pouvez vérifier si les autorisations requises pour migrer des domaines avec historique des SID sont disponibles sur un domaine Microsoft AD géré.
Pour valider les autorisations, exécutez la commande gcloud CLI suivante:
gcloud beta active-directory domains migration check-permissions DOMAIN_NAME
Remplacez DOMAIN_NAME par le nom de votre domaine Microsoft AD géré. Par exemple, my-domain.com.
Cette opération vérifie si le groupe Cloud Service
Migrate SID Administrators géré a été créé pour le service Microsoft AD géré et si l'état du filtrage des SID a été activé sur tous les domaines approuvés.
La réponse indique l'état du filtrage SID de tous les domaines approuvés et l'état des autorisations requises dans votre domaine Microsoft AD géré:
onpremDomains: - name: domain-one.com sidFilteringState: ENABLED - name: domain-two.com sidFilteringState: DISABLED state: ENABLED
Votre domaine Microsoft AD géré peut présenter l'un des états suivants:
| État | Description |
|---|---|
DISABLED |
Le domaine Microsoft AD géré ne dispose pas des autorisations nécessaires pour migrer le domaine sur site avec l'historique des SID. Le filtrage des SID est activé sur tous les domaines approuvés. |
ENABLED |
Le domaine Microsoft AD géré dispose des autorisations nécessaires pour migrer le domaine sur site avec l'historique des SID. Pour vérifier l'état du filtrage SID, consultez le champ sidFilteringState pour tous les domaines approuvés de la réponse. |
NEEDS MAINTENANCE |
Les autorisations semblent présenter un état intermittent pour votre domaine Microsoft AD géré. Pour réinitialiser l'état, activez les autorisations ou désactivez-les selon vos besoins. |
Désactiver les autorisations sur le domaine Microsoft AD géré
Une fois la migration terminée, vous devez désactiver les autorisations fournies pour la migration de votre domaine sur site avec l'historique des SID.
Pour désactiver les autorisations, exécutez la commande gcloud CLI suivante:
gcloud beta active-directory domains migration disable DOMAIN_NAME
Remplacez DOMAIN_NAME par le nom de votre domaine Microsoft AD géré. Par exemple, my-domain.com.
Cette opération désactive les autorisations fournies à votre domaine en supprimant le groupe Cloud Service Migrate SID Administrators du service Microsoft AD géré et active le filtrage SID sur tous les domaines approuvés.