本页面介绍如何检查是否启用了将现有 Active Directory 网域从本地迁移到 Managed Service for Microsoft Active Directory 及 SID 历史记录所需的权限。本页面还介绍了如何在完成迁移后停用这些权限。
准备工作
确保您具有以下任一 Identity and Access Management (IAM) 用户角色:
- Google Cloud Managed Identities 网域管理员 (
roles/managedidentities.domainAdmin) - Google Cloud Managed Identity 管理员 (
roles/managedidentities.admin)
如需了解详情,请参阅 Cloud Managed Identity 角色。
请检查权限
您可以检查代管式 Microsoft AD 网域是否提供了迁移具有 SID 历史记录的网域所需的权限。
如需验证权限,请运行以下 gcloud CLI 命令:
gcloud beta active-directory domains migration check-permissions DOMAIN_NAME
将 DOMAIN_NAME 替换为您的代管式 Microsoft AD 网域的名称。例如 my-domain.com。
此操作会验证 Managed Microsoft AD 是否已创建 Cloud Service
Migrate SID Administrators 组,以及所有可信网域的 SID 过滤状态。
响应会列出所有可信网域的 SID 过滤状态,以及代管式 Microsoft AD 网域中所需权限的状态:
onpremDomains: - name: domain-one.com sidFilteringState: ENABLED - name: domain-two.com sidFilteringState: DISABLED state: ENABLED
您的代管式 Microsoft AD 网域可以具有以下任一状态:
| 状态 | 说明 |
|---|---|
DISABLED |
代管式 Microsoft AD 网域不具备迁移具有 SID 历史记录的本地网域所需的权限。系统会对所有可信网域启用 SID 过滤。 |
ENABLED |
代管式 Microsoft AD 网域具有迁移具有 SID 历史记录的本地网域所需的权限。如需检查 SID 过滤状态,请查看响应中所有可信网域的 sidFilteringState 字段。 |
NEEDS MAINTENANCE |
您的 Managed Microsoft AD 网域的权限似乎处于间歇状态。如需重置状态,请根据需要启用权限或停用权限。 |
停用代管式 Microsoft AD 网域的权限
完成迁移后,您必须停用为迁移具有 SID 历史记录的本地网域提供的权限。
如需停用这些权限,请运行以下 gcloud CLI 命令:
gcloud beta active-directory domains migration disable DOMAIN_NAME
将 DOMAIN_NAME 替换为您的代管式 Microsoft AD 网域的名称。例如 my-domain.com。
此操作会从 Managed Microsoft AD 删除 Cloud Service Migrate SID Administrators 群组,从而停用向您的网域提供的权限,并对所有可信网域启用 SID 过滤。