ניהול ההרשאות שנדרשות להעברת דומיין מקומי

במאמר הזה מוסבר איך לבדוק אם ההרשאות שנדרשות להעברת דומיין קיים של Active Directory משרת מקומי אל שירות מנוהל ל-Microsoft Active Directory עם היסטוריית SID מופעלות. בדף הזה מוסבר גם איך להשבית את ההרשאות האלה אחרי השלמת ההעברה.

לפני שמתחילים

מוודאים שיש לכם אחד מתפקידי המשתמש הבאים בניהול זהויות והרשאות גישה (IAM):

• אדמין של דומיין ב'זהויות מנוהלות ב-Google Cloud' (roles/managedidentities.domainAdmin)
• אדמין של זהויות מנוהלות ב-Google Cloud‏ (roles/managedidentities.admin)

מידע נוסף זמין במאמר תפקידים של זהויות מנוהלות ב-Cloud.

בדיקת ההרשאות

אפשר לבדוק אם ההרשאות שנדרשות להעברת דומיינים עם היסטוריית SID זמינות בדומיין של שירות מנוהל ל-Microsoft AD.

כדי לאמת את ההרשאות, מריצים את הפקודה הבאה ב-CLI של gcloud:

gcloud beta active-directory domains migration check-permissions DOMAIN_NAME

מחליפים את DOMAIN_NAME בשם הדומיין שלכם ב-שירות מנוהל ל-Microsoft AD. לדוגמה, my-domain.com.

הפעולה הזו מאמתת אם קבוצת Cloud Service Migrate SID Administrators נוצרה ב-שירות מנוהל ל-Microsoft AD ואת המצב של סינון SID בכל הדומיינים המהימנים.

בתגובה מופיע מצב הסינון של מזהי האבטחה של כל הדומיינים המהימנים ומצב ההרשאות הנדרשות בשירות מנוהל ל-Microsoft AD:

onpremDomains:
- name: domain-one.com
  sidFilteringState: ENABLED
- name: domain-two.com
  sidFilteringState: DISABLED
state: ENABLED

הדומיין של שירות מנוהל ל-Microsoft AD יכול להיות באחד מהמצבים הבאים:

השבתת הרשאות בדומיין של שירות מנוהל ל-Microsoft AD

אחרי שתשלימו את המיגרציה, תצטרכו להשבית את ההרשאות שניתנו למיגרציה של הדומיין המקומי עם היסטוריית ה-SID.

כדי להשבית את ההרשאות, מריצים את הפקודה הבאה ב-CLI של gcloud:

gcloud beta active-directory domains migration disable DOMAIN_NAME

מחליפים את DOMAIN_NAME בשם הדומיין שלכם ב-שירות מנוהל ל-Microsoft AD. לדוגמה, my-domain.com.

הפעולה הזו משביתה את ההרשאות שניתנו לדומיין שלכם על ידי מחיקת הקבוצה Cloud Service Migrate SID Administrators מ-שירות מנוהל ל-Microsoft AD, ומפעילה סינון של מזהי אבטחה בכל הדומיינים המהימנים.