Cette page explique comment vérifier si les autorisations requises pour migrer un domaine Active Directory existant de l'environnement sur site vers le service géré pour Microsoft Active Directory avec l'historique des SID sont activées. Cette page explique également comment désactiver ces autorisations une fois la migration terminée.
Avant de commencer
Assurez-vous de disposer de l'un des rôles utilisateur Identity and Access Management (IAM) suivants :
- Administrateur de domaine Google Cloud Managed Identities
(
roles/managedidentities.domainAdmin) - Administrateur Google Cloud Managed Identities (
roles/managedidentities.admin)
Pour en savoir plus, consultez Rôles Cloud Managed Identities.
Vérifier les autorisations
Vous pouvez vérifier si les autorisations requises pour migrer des domaines avec l'historique SID sont disponibles sur un domaine Microsoft AD géré.
Pour valider les autorisations, exécutez la commande gcloud CLI suivante :
gcloud beta active-directory domains migration check-permissions DOMAIN_NAME
Remplacez DOMAIN_NAME par le nom de votre domaine Managed Microsoft AD. Exemple :my-domain.com
Cette opération vérifie si le groupe Cloud Service
Migrate SID Administrators a été créé dans Microsoft AD géré et l'état du filtrage SID sur tous les domaines approuvés.
La réponse liste l'état du filtrage des SID de tous les domaines approuvés et l'état des autorisations requises dans votre domaine Microsoft AD géré :
onpremDomains: - name: domain-one.com sidFilteringState: ENABLED - name: domain-two.com sidFilteringState: DISABLED state: ENABLED
Votre domaine Microsoft AD géré peut avoir l'un des états suivants :
| État | Description |
|---|---|
DISABLED |
Le domaine Microsoft AD géré ne dispose pas des autorisations requises pour migrer le domaine sur site avec l'historique SID. Le filtrage des SID est activé sur tous les domaines de confiance. |
ENABLED |
Le domaine Microsoft AD géré dispose des autorisations requises pour migrer le domaine sur site avec l'historique des SID. Pour vérifier l'état du filtrage SID, consultez le champ sidFilteringState pour tous les domaines approuvés dans la réponse. |
NEEDS MAINTENANCE |
Les autorisations semblent être dans un état intermittent pour votre domaine Microsoft AD géré. Pour réinitialiser l'état, activez ou désactivez les autorisations selon vos besoins. |
Désactiver les autorisations sur le domaine Microsoft AD géré
Une fois la migration terminée, vous devez désactiver les autorisations fournies pour migrer votre domaine sur site avec l'historique des SID.
Pour désactiver les autorisations, exécutez la commande gcloud CLI suivante :
gcloud beta active-directory domains migration disable DOMAIN_NAME
Remplacez DOMAIN_NAME par le nom de votre domaine Managed Microsoft AD. Exemple :my-domain.com
Cette opération désactive les autorisations accordées à votre domaine en supprimant le groupe Cloud Service Migrate SID Administrators de Managed Microsoft AD et active le filtrage SID sur tous les domaines approuvés.