Questa pagina spiega come verificare se le autorizzazioni necessarie per eseguire la migrazione di un dominio Active Directory esistente da on-premise a Managed Service for Microsoft Active Directory con cronologia SID sono abilitate. In questa pagina viene inoltre spiegato come disattivare queste autorizzazioni dopo il completamento della migrazione.
Prima di iniziare
Assicurati di disporre di uno dei seguenti ruoli utente IAM (Identity and Access Management):
- Amministratore domini identità gestite da Google Cloud
(
roles/managedidentities.domainAdmin) - Amministratore identità gestite da Google Cloud (
roles/managedidentities.admin)
Per ulteriori informazioni, consulta Ruoli identità gestite da Cloud.
Controlla le autorizzazioni
Puoi verificare se le autorizzazioni necessarie per la migrazione dei domini con cronologia SID sono disponibili su un dominio Microsoft AD gestito.
Per convalidare le autorizzazioni, esegui il seguente comando gcloud CLI:
gcloud beta active-directory domains migration check-permissions DOMAIN_NAME
Sostituisci DOMAIN_NAME con il nome del tuo dominio Microsoft AD gestito. Ad esempio, my-domain.com.
Questa operazione convalida se il Microsoft Active Directory gestito ha creato il gruppo Cloud Service
Migrate SID Administrators e lo stato del filtro SID su tutti
i domini attendibili.
Nella risposta viene elencato lo stato di filtro SID di tutti i domini attendibili e lo stato delle autorizzazioni richieste nel dominio Microsoft AD gestito:
onpremDomains: - name: domain-one.com sidFilteringState: ENABLED - name: domain-two.com sidFilteringState: DISABLED state: ENABLED
Il tuo dominio Microsoft AD gestito può avere uno dei seguenti stati:
| Stato | Descrizione |
|---|---|
DISABLED |
Il dominio Microsoft AD gestito non dispone delle autorizzazioni necessarie per eseguire la migrazione del dominio on-premise con cronologia SID. Il filtro SID è abilitato su tutti i domini attendibili. |
ENABLED |
Il dominio Microsoft AD gestito dispone delle autorizzazioni necessarie per eseguire la migrazione del dominio on-premise con cronologia SID. Per controllare lo stato del filtro SID, vedi il campo sidFilteringState per tutti i domini attendibili nella risposta. |
NEEDS MAINTENANCE |
Le autorizzazioni sembrano essere in stato intermittente per il dominio Microsoft AD gestito. Per reimpostare lo stato, attiva le autorizzazioni o disattiva le autorizzazioni in base alle tue esigenze. |
Disabilita le autorizzazioni per il dominio Microsoft AD gestito
Dopo aver completato la migrazione, devi disabilitare le autorizzazioni fornite per eseguire la migrazione del dominio on-premise con la cronologia SID.
Per disabilitare le autorizzazioni, esegui il seguente comando gcloud CLI:
gcloud beta active-directory domains migration disable DOMAIN_NAME
Sostituisci DOMAIN_NAME con il nome del tuo dominio Microsoft AD gestito. Ad esempio, my-domain.com.
Questa operazione disattiva le autorizzazioni fornite al tuo dominio eliminando il gruppo Cloud Service Migrate SID Administrators da Microsoft AD gestito e abilita i filtri SID su tutti i domini attendibili.