Halaman ini menjelaskan cara memeriksa apakah izin yang diperlukan untuk memigrasikan domain Active Directory yang ada dari lokal ke Layanan Terkelola untuk Microsoft Active Directory dengan histori SID diaktifkan. Halaman ini juga menjelaskan cara menonaktifkan izin ini setelah Anda menyelesaikan migrasi.
Sebelum memulai
Pastikan Anda memiliki salah satu peran pengguna Identity and Access Management (IAM) berikut:
- Google Cloud Managed Identities Domain Admin
(
roles/managedidentities.domainAdmin) - Admin Google Cloud Managed Identities (
roles/managedidentities.admin)
Untuk mengetahui informasi selengkapnya, lihat Peran Identitas yang Dikelola Cloud.
Periksa izin
Anda dapat memeriksa apakah izin yang diperlukan untuk memigrasikan domain dengan histori SID tersedia di domain Microsoft AD Terkelola.
Untuk memvalidasi izin, jalankan perintah gcloud CLI berikut:
gcloud beta active-directory domains migration check-permissions DOMAIN_NAME
Ganti DOMAIN_NAME dengan nama domain Microsoft AD
Terkelola. Contoh, my-domain.com.
Operasi ini memvalidasi apakah Microsoft AD Terkelola memiliki grup Cloud Service
Migrate SID Administrators yang dibuat dan status pemfilteran SID di semua
domain tepercaya.
Responsnya mencantumkan status pemfilteran SID semua domain tepercaya dan status izin yang diperlukan di domain Microsoft AD Terkelola Anda:
onpremDomains: - name: domain-one.com sidFilteringState: ENABLED - name: domain-two.com sidFilteringState: DISABLED state: ENABLED
Domain Microsoft AD Terkelola Anda dapat memiliki salah satu status berikut:
| Status | Deskripsi |
|---|---|
DISABLED |
Domain Microsoft AD terkelola tidak memiliki izin yang diperlukan untuk memigrasikan domain lokal dengan histori SID. Pemfilteran SID diaktifkan di semua domain tepercaya. |
ENABLED |
Domain Microsoft AD terkelola memiliki izin yang diperlukan untuk memigrasikan domain lokal dengan histori SID. Untuk memeriksa status pemfilteran SID, lihat kolom sidFilteringState untuk semua domain tepercaya dalam respons. |
NEEDS MAINTENANCE |
Izin tampaknya sesekali ada untuk domain Microsoft AD Terkelola Anda. Untuk mereset status, aktifkan izin atau nonaktifkan izin sesuai kebutuhan. |
Menonaktifkan izin di domain Microsoft AD Terkelola
Setelah menyelesaikan migrasi, Anda harus menonaktifkan izin yang diberikan untuk memigrasikan domain lokal dengan histori SID.
Untuk menonaktifkan izin, jalankan perintah gcloud CLI berikut:
gcloud beta active-directory domains migration disable DOMAIN_NAME
Ganti DOMAIN_NAME dengan nama domain Microsoft AD
Terkelola. Contoh, my-domain.com.
Operasi ini menonaktifkan izin yang diberikan untuk domain Anda dengan menghapus
grup Cloud Service Migrate SID Administrators dari Microsoft AD Terkelola
dan mengaktifkan pemfilteran SID di semua domain tepercaya.