Nesta página, explicamos como verificar se as permissões necessárias para migrar um domínio do Active Directory local para o Managed Service para Microsoft Active Directory com histórico de SID estão ativadas. Esta página também explica como desativar essas permissões depois de concluir a migração.
Antes de começar
Verifique se você tem um dos seguintes papéis de usuário do Identity and Access Management (IAM):
- Administrador de domínio das identidades gerenciadas do Google Cloud
(
roles/managedidentities.domainAdmin) - Administrador de identidades gerenciadas do Google Cloud (
roles/managedidentities.admin)
Para mais informações, consulte Funções do Cloud Managed Identities.
Verifique as permissões
É possível verificar se as permissões necessárias para migrar domínios com histórico de SID estão disponíveis em um domínio do Managed Microsoft AD.
Para validar as permissões, execute o seguinte comando da CLI gcloud:
gcloud beta active-directory domains migration check-permissions DOMAIN_NAME
Substitua DOMAIN_NAME pelo nome do seu domínio do Managed Microsoft AD. Por exemplo, my-domain.com.
Essa operação valida se o Managed Microsoft AD tem o grupo Cloud Service
Migrate SID Administrators criado e o estado da filtragem de SID em todos os domínios confiáveis.
A resposta lista o estado de filtragem de SID de todos os domínios confiáveis e o estado das permissões necessárias no seu domínio gerenciado do Microsoft AD:
onpremDomains: - name: domain-one.com sidFilteringState: ENABLED - name: domain-two.com sidFilteringState: DISABLED state: ENABLED
Seu domínio do Managed Microsoft AD pode ter um dos seguintes estados:
| Estado | Descrição |
|---|---|
DISABLED |
O domínio do Microsoft AD gerenciado não tem as permissões necessárias para migrar o domínio local com histórico de SID. A filtragem de SID está ativada em todos os domínios de confiança. |
ENABLED |
O domínio do Managed Microsoft AD tem as permissões necessárias para migrar o domínio local com o histórico de SID. Para verificar o estado da filtragem de SID, consulte o campo sidFilteringState para todos os domínios confiáveis na resposta. |
NEEDS MAINTENANCE |
As permissões parecem estar em estado intermitente para seu domínio do Microsoft AD gerenciado. Para redefinir o estado, ative ou desative as permissões conforme necessário. |
Desativar permissões no domínio do Managed Microsoft AD
Depois de concluir a migração, desative as permissões fornecidas para migrar seu domínio local com o histórico de SID.
Para desativar as permissões, execute o seguinte comando da CLI gcloud:
gcloud beta active-directory domains migration disable DOMAIN_NAME
Substitua DOMAIN_NAME pelo nome do seu domínio do Managed Microsoft AD. Por exemplo, my-domain.com.
Essa operação desativa as permissões fornecidas ao seu domínio excluindo o grupo Cloud Service Migrate SID Administrators do Microsoft AD gerenciado e ativa a filtragem de SID em todos os domínios confiáveis.