管理迁移本地网域所需的权限

本页面介绍如何检查是否已启用将现有 Active Directory 网域从本地迁移到 Managed Service for Microsoft Active Directory（使用 SID 历史记录）所需的权限。本页还介绍了如何在完成迁移后停用这些权限。

准备工作

确保您拥有以下任一 Identity and Access Management (IAM) 用户角色：

• Google Cloud Managed Identities Domain Admin (roles/managedidentities.domainAdmin)
• Google Cloud Managed Identities Admin (roles/managedidentities.admin)

如需了解详情，请参阅 Cloud 受管身份角色。

检查权限

您可以检查托管式 Microsoft AD 网域是否具有迁移包含 SID 历史记录的网域所需的权限。

如需验证权限，请运行以下 gcloud CLI 命令：

gcloud beta active-directory domains migration check-permissions DOMAIN_NAME

将 DOMAIN_NAME 替换为您的托管式 Microsoft AD 网域的名称。例如 my-domain.com。

此操作会验证托管式 Microsoft AD 是否已创建 Cloud Service Migrate SID Administrators 群组，以及所有受信任网域上的 SID 过滤状态。

响应会列出所有受信任网域的 SID 过滤状态，以及托管式 Microsoft AD 网域中所需权限的状态：

onpremDomains:
- name: domain-one.com
  sidFilteringState: ENABLED
- name: domain-two.com
  sidFilteringState: DISABLED
state: ENABLED

您的代管式 Microsoft AD 网域可以处于以下任一状态：

停用托管式 Microsoft AD 网域的权限

完成迁移后，您必须停用为迁移具有 SID 历史记录的本地网域而提供的权限。

如需停用相应权限，请运行以下 gcloud CLI 命令：

gcloud beta active-directory domains migration disable DOMAIN_NAME

将 DOMAIN_NAME 替换为您的托管式 Microsoft AD 网域的名称。例如 my-domain.com。

此操作会通过从 Managed Microsoft AD 中删除 Cloud Service Migrate SID Administrators 群组来停用向您的网域提供的权限，并对所有受信任的网域启用 SID 过滤。