Mengelola izin yang diperlukan untuk memigrasikan domain lokal

Halaman ini menjelaskan cara memeriksa apakah izin yang diperlukan untuk memigrasikan domain Active Directory yang ada dari lokal ke Layanan Terkelola untuk Microsoft Active Directory dengan histori SID diaktifkan. Halaman ini juga menjelaskan cara menonaktifkan izin ini setelah Anda menyelesaikan migrasi.

Sebelum memulai

Pastikan Anda memiliki salah satu peran pengguna Identity and Access Management (IAM) berikut:

Google Cloud Managed Identities Domain Admin (roles/managedidentities.domainAdmin)
Admin Google Cloud Managed Identities (roles/managedidentities.admin)

Untuk mengetahui informasi selengkapnya, lihat Peran Identitas yang Dikelola Cloud.

Periksa izin

Anda dapat memeriksa apakah izin yang diperlukan untuk memigrasikan domain dengan histori SID tersedia di domain Microsoft AD Terkelola.

Untuk memvalidasi izin, jalankan perintah gcloud CLI berikut:

gcloud beta active-directory domains migration check-permissions DOMAIN_NAME

Ganti DOMAIN_NAME dengan nama domain Microsoft AD Terkelola. Contoh, my-domain.com.

Operasi ini memvalidasi apakah Microsoft AD Terkelola memiliki grup Cloud Service Migrate SID Administrators yang dibuat dan status pemfilteran SID di semua domain tepercaya.

Responsnya mencantumkan status pemfilteran SID semua domain tepercaya dan status izin yang diperlukan di domain Microsoft AD Terkelola Anda:

onpremDomains:
- name: domain-one.com
  sidFilteringState: ENABLED
- name: domain-two.com
  sidFilteringState: DISABLED
state: ENABLED

Domain Microsoft AD Terkelola Anda dapat memiliki salah satu status berikut:

Status	Deskripsi
`DISABLED`	Domain Microsoft AD terkelola tidak memiliki izin yang diperlukan untuk memigrasikan domain lokal dengan histori SID. Pemfilteran SID diaktifkan di semua domain tepercaya.
`ENABLED`	Domain Microsoft AD terkelola memiliki izin yang diperlukan untuk memigrasikan domain lokal dengan histori SID. Untuk memeriksa status pemfilteran SID, lihat kolom `sidFilteringState` untuk semua domain tepercaya dalam respons.
`NEEDS MAINTENANCE`	Izin tampaknya sesekali ada untuk domain Microsoft AD Terkelola Anda. Untuk mereset status, aktifkan izin atau nonaktifkan izin sesuai kebutuhan.

Menonaktifkan izin di domain Microsoft AD Terkelola

Setelah menyelesaikan migrasi, Anda harus menonaktifkan izin yang diberikan untuk memigrasikan domain lokal dengan histori SID.

Untuk menonaktifkan izin, jalankan perintah gcloud CLI berikut:

gcloud beta active-directory domains migration disable DOMAIN_NAME

Ganti DOMAIN_NAME dengan nama domain Microsoft AD Terkelola. Contoh, my-domain.com.

Operasi ini menonaktifkan izin yang diberikan untuk domain Anda dengan menghapus grup Cloud Service Migrate SID Administrators dari Microsoft AD Terkelola dan mengaktifkan pemfilteran SID di semua domain tepercaya.