Nesta página, explicamos como verificar se as permissões necessárias para migrar um domínio atual do Active Directory do local para o serviço gerenciado do Microsoft Active Directory com histórico de SID estão ativadas. Nesta página, também explicamos como desativar essas permissões depois de concluir a migração.
Antes de começar
Verifique se você tem um dos seguintes papéis de usuário do Identity and Access Management (IAM):
- Administrador de domínio das identidades gerenciadas do Google Cloud
(
roles/managedidentities.domainAdmin) - Administrador de identidades gerenciadas do Google Cloud (
roles/managedidentities.admin)
Para mais informações, consulte Papéis de identidades gerenciadas do Cloud.
Verifique as permissões
É possível verificar se as permissões necessárias para migrar domínios com histórico de SID estão disponíveis em um domínio do Microsoft AD gerenciado.
Para validar as permissões, execute o seguinte comando da CLI gcloud:
gcloud beta active-directory domains migration check-permissions DOMAIN_NAME
Substitua DOMAIN_NAME pelo nome do domínio do Microsoft AD gerenciado. Por exemplo, my-domain.com.
Essa operação valida se o Microsoft AD gerenciado tem o grupo Cloud Service
Migrate SID Administrators criado e o estado da filtragem de SID em todos
os domínios confiáveis.
A resposta lista o estado de filtragem do SID de todos os domínios confiáveis e o estado das permissões necessárias no domínio do Microsoft AD gerenciado:
onpremDomains: - name: domain-one.com sidFilteringState: ENABLED - name: domain-two.com sidFilteringState: DISABLED state: ENABLED
Seu domínio do Microsoft AD gerenciado pode ter qualquer um dos seguintes estados:
| Estado | Descrição |
|---|---|
DISABLED |
O domínio do Microsoft AD gerenciado não tem as permissões necessárias para migrar o domínio local com histórico de SID. A filtragem de SID está ativada em todos os domínios confiáveis. |
ENABLED |
O domínio do Microsoft AD gerenciado tem as permissões necessárias para migrar o domínio local com histórico de SID. Para verificar o estado do filtro de SID, consulte o campo sidFilteringState de todos os domínios confiáveis na resposta. |
NEEDS MAINTENANCE |
As permissões parecem estar em um estado intermitente para seu domínio do Microsoft AD gerenciado. Para redefinir o estado, ative ou desative as permissões conforme necessário. |
Desativar permissões no domínio do Microsoft AD gerenciado
Depois de concluir a migração, desative as permissões fornecidas para migrar seu domínio local com histórico de SID.
Para desativar as permissões, execute o seguinte comando da CLI gcloud:
gcloud beta active-directory domains migration disable DOMAIN_NAME
Substitua DOMAIN_NAME pelo nome do domínio do Microsoft AD gerenciado. Por exemplo, my-domain.com.
Essa operação desativa as permissões fornecidas ao seu domínio excluindo o grupo Cloud Service Migrate SID Administrators do Microsoft AD gerenciado e ativa a filtragem de SID em todos os domínios confiáveis.