本页介绍了如何检查迁移 将现有 Active Directory 网域从本地迁移到 Managed Service for Microsoft Active Directory, SID 历史记录已启用。本页面还说明了如何 并在完成迁移后移除这些权限
准备工作
请确保您拥有以下任一 Identity and Access Management ( IAM)用户角色:
- Google Cloud Managed Identities 网域管理员
(
roles/managedidentities.domainAdmin) - Google Cloud Managed Identities 管理员 (
roles/managedidentities.admin)
如需了解详情,请参阅云管理的身份 角色。
检查权限
您可以检查托管式 Microsoft AD 网域是否具有迁移具有 SID 历史记录的网域所需的权限。
如需验证权限,请运行以下 gcloud CLI 命令:
gcloud beta active-directory domains migration check-permissions DOMAIN_NAME
将 DOMAIN_NAME 替换为您的托管式 Microsoft AD 网域的名称。例如 my-domain.com。
此操作会验证托管式 Microsoft AD 是否已创建 Cloud Service
Migrate SID Administrators 组,以及所有受信任网域的 SID 过滤状态。
响应中列出了所有受信任网域的 SID 过滤状态,以及托管式 Microsoft AD 网域中所需权限的状态:
onpremDomains: - name: domain-one.com sidFilteringState: ENABLED - name: domain-two.com sidFilteringState: DISABLED state: ENABLED
您的托管式 Microsoft AD 网域可能处于以下任何状态:
| 州 | 说明 |
|---|---|
DISABLED |
托管的 Microsoft AD 网域没有迁移具有 SID 历史记录的本地网域所需的权限。所有可信网域均已启用 SID 过滤。 |
ENABLED |
Managed Microsoft AD 网域具有迁移具有 SID 历史记录的本地网域所需的权限。如需检查 SID 过滤状态,请查看响应中所有受信任网域的 sidFilteringState 字段。 |
NEEDS MAINTENANCE |
您的 Managed Microsoft AD 网域的权限似乎处于间歇状态。如需重置状态,请根据需要启用权限或停用权限。 |
停用 Managed Microsoft AD 网域的权限
完成迁移后,您必须停用针对 迁移具有 SID 历史记录的本地网域。
如需停用这些权限,请运行以下 gcloud CLI 命令:
gcloud beta active-directory domains migration disable DOMAIN_NAME
将 DOMAIN_NAME 替换为您的 Managed Microsoft AD 的名称
网域。例如 my-domain.com。
此操作会从 Managed Microsoft AD 中删除 Cloud Service Migrate SID Administrators 群组,从而停用向您的网域提供的权限,并在所有受信任网域上启用 SID 过滤。