In questa pagina viene spiegato come verificare se le autorizzazioni necessarie per eseguire la migrazione di un dominio Active Directory esistente da on-premise a Managed Service for Microsoft Active Directory con La cronologia del SID è abilitata. In questa pagina viene spiegato anche come disattivarli autorizzazioni una volta completata la migrazione.
Prima di iniziare
Assicurati di disporre di uno dei seguenti ruoli utente IAM (Identity and Access Management):
- Amministratore domini identità gestite da Google Cloud
(
roles/managedidentities.domainAdmin
) - Amministratore identità gestite da Google Cloud (
roles/managedidentities.admin
)
Per ulteriori informazioni, consulta Identità gestite da Cloud ruoli.
Controlla le autorizzazioni
Puoi verificare se le autorizzazioni necessarie per eseguire la migrazione dei domini con la cronologia SID sono disponibili in un dominio Microsoft Active Directory gestito.
Per convalidare le autorizzazioni, esegui il seguente comando gcloud CLI:
gcloud beta active-directory domains migration check-permissions DOMAIN_NAME
Sostituisci DOMAIN_NAME con il nome del tuo dominio AD di Microsoft gestito. Ad esempio, my-domain.com
.
Questa operazione verifica se in Microsoft AD gestito è stato creato il gruppo Cloud Service
Migrate SID Administrators
e lo stato del filtro SID su tutti
i domini attendibili.
La risposta elenca lo stato del filtro SID di tutti i domini attendibili e lo stato delle autorizzazioni richieste nel dominio Microsoft AD gestito:
onpremDomains: - name: domain-one.com sidFilteringState: ENABLED - name: domain-two.com sidFilteringState: DISABLED state: ENABLED
Il tuo dominio Microsoft AD gestito può avere uno dei seguenti stati:
Stato | Descrizione |
---|---|
DISABLED |
Il dominio Microsoft AD gestito non dispone delle autorizzazioni necessarie per eseguire la migrazione del dominio on-premise con la cronologia SID. Il filtro SID è abilitato su tutti i domini attendibili. |
ENABLED |
Il dominio Microsoft AD gestito dispone delle autorizzazioni necessarie per eseguire la migrazione del dominio on-premise con cronologia SID. Per controllare lo stato del filtro SID, consulta il campo sidFilteringState per tutti i domini attendibili nella risposta. |
NEEDS MAINTENANCE |
Le autorizzazioni sembrano essere in uno stato intermittente per il tuo dominio Microsoft AD gestito. Per reimpostare lo stato, attiva le autorizzazioni o disattiva le autorizzazioni in base alle tue esigenze. |
Disattiva le autorizzazioni sul dominio Microsoft AD gestito
Dopo aver completato la migrazione, devi disabilitare le autorizzazioni fornite per migrazione del dominio on-premise con la cronologia dei SID.
Per disabilitare le autorizzazioni, esegui questo comando gcloud CLI:
gcloud beta active-directory domains migration disable DOMAIN_NAME
Sostituisci DOMAIN_NAME con il nome di Microsoft Active Directory gestito
dominio. Ad esempio, my-domain.com
.
Questa operazione disattiva le autorizzazioni fornite al tuo dominio eliminando il gruppo Cloud Service Migrate SID Administrators
da Microsoft Active Directory gestito e attiva il filtro SID su tutti i domini attendibili.