Esta página explica como verificar se as autorizações necessárias para migrar um domínio do Active Directory existente do local para o Serviço gerido para Microsoft Active Directory com o histórico de SID estão ativadas. Esta página também explica como desativar estas autorizações após concluir a migração.
Antes de começar
Certifique-se de que tem uma das seguintes funções de utilizador da gestão de identidade e de acesso (IAM):
- Administrador de domínios das identidades geridas do Google Cloud
(
roles/managedidentities.domainAdmin) - Administrador de identidades geridas do Google Cloud (
roles/managedidentities.admin)
Para mais informações, consulte os papéis das identidades geridas na nuvem.
Verifique as autorizações
Pode verificar se as autorizações necessárias para migrar domínios com o histórico de SID estão disponíveis num domínio do Microsoft AD gerido.
Para validar as autorizações, execute o seguinte comando da CLI gcloud:
gcloud beta active-directory domains migration check-permissions DOMAIN_NAME
Substitua DOMAIN_NAME pelo nome do seu domínio do Microsoft AD gerido. Por exemplo, my-domain.com.
Esta operação valida se o AD da Microsoft gerido tem o grupo Cloud Service
Migrate SID Administrators criado e o estado da filtragem de SID em todos os domínios fidedignos.
A resposta indica o estado de filtragem do SID de todos os domínios fidedignos e o estado das autorizações necessárias no seu domínio do Microsoft AD gerido:
onpremDomains: - name: domain-one.com sidFilteringState: ENABLED - name: domain-two.com sidFilteringState: DISABLED state: ENABLED
O seu domínio do Microsoft AD gerido pode ter qualquer um dos seguintes estados:
| Estado | Descrição |
|---|---|
DISABLED |
O domínio do Microsoft AD gerido não tem as autorizações necessárias para migrar o domínio no local com o histórico de SID. A filtragem de SID está ativada em todos os domínios fidedignos. |
ENABLED |
O domínio do Microsoft AD gerido tem as autorizações necessárias para migrar o domínio no local com o histórico de SID. Para verificar o estado da filtragem de SIDs, consulte o campo sidFilteringState para todos os domínios fidedignos na resposta. |
NEEDS MAINTENANCE |
As autorizações parecem estar num estado intermitente para o seu domínio do Microsoft AD gerido. Para repor o estado, ative as autorizações ou desative as autorizações conforme necessário. |
Desative as autorizações no domínio do Microsoft AD gerido
Depois de concluir a migração, tem de desativar as autorizações fornecidas para migrar o seu domínio no local com o histórico de SID.
Para desativar as autorizações, execute o seguinte comando da CLI gcloud:
gcloud beta active-directory domains migration disable DOMAIN_NAME
Substitua DOMAIN_NAME pelo nome do seu domínio do Microsoft AD gerido. Por exemplo, my-domain.com.
Esta operação desativa as autorizações fornecidas ao seu domínio eliminando o grupo
Cloud Service Migrate SID Administrators do Managed Microsoft AD
e ativa a filtragem de SID em todos os domínios fidedignos.