이 페이지에서는 기존 Active Directory 도메인을 온프레미스에서 SID 기록이 있는 Microsoft Active Directory용 관리형 서비스로 이전하는 데 필요한 권한이 사용 설정되어 있는지 확인하는 방법을 설명합니다. 이 페이지에서는 이전을 완료한 후 이러한 권한을 사용 중지하는 방법도 설명합니다.
시작하기 전에
다음 Identity and Access Management(IAM) 사용자 역할 중 하나가 있는지 확인합니다.
- Google Cloud 관리형 ID 도메인 관리자(
roles/managedidentities.domainAdmin) - Google Cloud 관리형 ID 관리자(
roles/managedidentities.admin)
자세한 내용은 Cloud 관리형 ID 역할을 참조하세요.
권한 확인
SID 기록이 있는 도메인을 마이그레이션하는 데 필요한 권한을 관리형 Microsoft AD 도메인에서 사용할 수 있는지 확인할 수 있습니다.
권한을 확인하려면 다음 gcloud CLI 명령어를 실행합니다.
gcloud beta active-directory domains migration check-permissions DOMAIN_NAME
DOMAIN_NAME을 관리형 Microsoft AD 도메인의 이름으로 바꿉니다. 예를 들면 my-domain.com입니다.
이 작업은 관리형 Microsoft AD에 생성된 Cloud Service
Migrate SID Administrators 그룹이 있는지, 모든 신뢰할 수 있는 도메인에서 SID 필터링 상태가 있는지 확인합니다.
응답에는 모든 신뢰할 수 있는 도메인의 SID 필터링 상태와 관리형 Microsoft AD 도메인에 필요한 권한 상태가 나열됩니다.
onpremDomains: - name: domain-one.com sidFilteringState: ENABLED - name: domain-two.com sidFilteringState: DISABLED state: ENABLED
관리형 Microsoft AD 도메인의 상태는 다음 중 하나일 수 있습니다.
| 상태 | 설명 |
|---|---|
DISABLED |
관리형 Microsoft AD 도메인에 SID 기록으로 온프레미스 도메인을 마이그레이션하는 데 필요한 권한이 없습니다. 모든 신뢰할 수 있는 도메인에서 SID 필터링이 사용 설정됩니다. |
ENABLED |
관리형 Microsoft AD 도메인에 SID 기록으로 온프레미스 도메인을 마이그레이션하는 데 필요한 권한이 있습니다. SID 필터링 상태를 확인하려면 응답에서 모든 신뢰할 수 있는 도메인의 sidFilteringState 필드를 참고하세요. |
NEEDS MAINTENANCE |
관리형 Microsoft AD 도메인의 권한이 간헐적으로 작동하는 것 같습니다. 상태를 재설정하려면 필요에 따라 권한을 사용 설정하거나 권한을 사용 중지합니다. |
관리형 Microsoft AD 도메인에서 권한 사용 중지
이전을 완료한 후에는 SID 기록이 있는 온프레미스 도메인을 이전하는 데 제공된 권한을 사용 중지해야 합니다.
권한을 사용 중지하려면 다음 gcloud CLI 명령어를 실행합니다.
gcloud beta active-directory domains migration disable DOMAIN_NAME
DOMAIN_NAME을 관리형 Microsoft AD 도메인의 이름으로 바꿉니다. 예를 들면 my-domain.com입니다.
이 작업은 관리형 Microsoft AD에서 Cloud Service Migrate SID Administrators 그룹을 삭제하여 도메인에 제공된 권한을 사용 중지하고 모든 신뢰할 수 있는 도메인에서 SID 필터링을 사용 설정합니다.