Questa pagina spiega come verificare se sono abilitate le autorizzazioni necessarie per eseguire la migrazione di un dominio Active Directory esistente da on-premise a Managed Service for Microsoft Active Directory con la cronologia SID. Questa pagina spiega anche come disattivare queste autorizzazioni dopo aver completato la migrazione.
Prima di iniziare
Assicurati di disporre di uno dei seguenti ruoli utente Identity and Access Management (IAM):
- Amministratore domini delle identità gestite da Google Cloud
(
roles/managedidentities.domainAdmin) - Amministratore identità gestite da Google Cloud (
roles/managedidentities.admin)
Per ulteriori informazioni, consulta la pagina Ruoli di Cloud Managed Identities.
Controlla le autorizzazioni
Puoi verificare se le autorizzazioni necessarie per eseguire la migrazione dei domini con la cronologia SID sono disponibili in un dominio Managed Microsoft AD.
Per convalidare le autorizzazioni, esegui questo comando gcloud CLI:
gcloud beta active-directory domains migration check-permissions DOMAIN_NAME
Sostituisci DOMAIN_NAME con il nome del tuo dominio Managed Microsoft AD. Ad esempio, my-domain.com.
Questa operazione verifica se in Managed Microsoft AD è stato creato il gruppo Cloud Service
Migrate SID Administrators e lo stato del filtro SID in tutti
i domini attendibili.
La risposta elenca lo stato del filtro SID di tutti i domini attendibili e lo stato delle autorizzazioni richieste nel tuo dominio Managed Microsoft AD:
onpremDomains: - name: domain-one.com sidFilteringState: ENABLED - name: domain-two.com sidFilteringState: DISABLED state: ENABLED
Il tuo dominio Managed Microsoft AD può avere uno dei seguenti stati:
| Stato | Descrizione |
|---|---|
DISABLED |
Il dominio Microsoft AD gestito non dispone delle autorizzazioni necessarie per eseguire la migrazione del dominio on-premise con la cronologia SID. Il filtro SID è abilitato su tutti i domini attendibili. |
ENABLED |
Il dominio Microsoft AD gestito dispone delle autorizzazioni necessarie per eseguire la migrazione del dominio on-premise con la cronologia SID. Per controllare lo stato del filtro SID, consulta il campo sidFilteringState per tutti i domini attendibili nella risposta. |
NEEDS MAINTENANCE |
Le autorizzazioni sembrano essere in uno stato intermittente per il tuo dominio Microsoft Active Directory gestito. Per ripristinare lo stato, attiva le autorizzazioni o disattiva le autorizzazioni in base alle tue esigenze. |
Disattivare le autorizzazioni sul dominio Microsoft AD gestito
Una volta completata la migrazione, devi disattivare le autorizzazioni fornite per migrare il tuo dominio on-premise con la cronologia SID.
Per disattivare le autorizzazioni, esegui il seguente comando gcloud CLI:
gcloud beta active-directory domains migration disable DOMAIN_NAME
Sostituisci DOMAIN_NAME con il nome del tuo dominio Managed Microsoft AD. Ad esempio, my-domain.com.
Questa operazione disattiva le autorizzazioni fornite al tuo dominio eliminando il gruppo Cloud Service Migrate SID Administrators da Microsoft AD gestito e attiva il filtro SID su tutti i domini attendibili.