Questa pagina spiega come verificare se sono abilitate le autorizzazioni necessarie per eseguire la migrazione di un dominio Active Directory esistente da on-premise a Managed Service for Microsoft Active Directory con la cronologia SID. Questa pagina spiega anche come disabilitare queste autorizzazioni dopo aver completato la migrazione.
Prima di iniziare
Assicurati di disporre di uno dei seguenti ruoli utente Identity and Access Management (IAM):
- Amministratore domini delle identità gestite da Google Cloud
(
roles/managedidentities.domainAdmin) - Amministratore identità gestite da Google Cloud (
roles/managedidentities.admin)
Per ulteriori informazioni, consulta Ruoli di Cloud Managed Identities.
Controlla le autorizzazioni
Puoi verificare se le autorizzazioni necessarie per eseguire la migrazione dei domini con la cronologia SID sono disponibili in un dominio Managed Microsoft AD.
Per convalidare le autorizzazioni, esegui questo comando gcloud CLI:
gcloud beta active-directory domains migration check-permissions DOMAIN_NAME
Sostituisci DOMAIN_NAME con il nome del tuo dominio Managed Microsoft AD. Ad esempio, my-domain.com.
Questa operazione convalida se in Managed Microsoft AD è stato creato il gruppo Cloud Service
Migrate SID Administrators e lo stato del filtro SID su tutti
i domini attendibili.
La risposta elenca lo stato del filtro SID di tutti i domini attendibili e lo stato delle autorizzazioni richieste nel tuo dominio Managed Microsoft AD:
onpremDomains: - name: domain-one.com sidFilteringState: ENABLED - name: domain-two.com sidFilteringState: DISABLED state: ENABLED
Il tuo dominio Managed Microsoft AD può avere uno dei seguenti stati:
| Stato | Descrizione |
|---|---|
DISABLED |
Il dominio Managed Microsoft AD non dispone delle autorizzazioni necessarie per eseguire la migrazione del dominio on-premise con la cronologia SID. Il filtro SID è abilitato su tutti i domini attendibili. |
ENABLED |
Managed Microsoft AD domain has the permissions required to migrate the on-premises domain with SID history. Per controllare lo stato del filtro SID, consulta il campo sidFilteringState per tutti i domini attendibili nella risposta. |
NEEDS MAINTENANCE |
Le autorizzazioni sembrano essere in stato intermittente per il tuo dominio Managed Microsoft AD. Per ripristinare lo stato, attiva le autorizzazioni o disattiva le autorizzazioni in base alle tue esigenze. |
Disattivare le autorizzazioni sul dominio Managed Microsoft AD
Una volta completata la migrazione, devi disabilitare le autorizzazioni fornite per migrare il tuo dominio on-premise con la cronologia SID.
Per disattivare le autorizzazioni, esegui il seguente comando gcloud CLI:
gcloud beta active-directory domains migration disable DOMAIN_NAME
Sostituisci DOMAIN_NAME con il nome del tuo dominio Managed Microsoft AD. Ad esempio, my-domain.com.
Questa operazione disattiva le autorizzazioni fornite al tuo dominio eliminando il gruppo Cloud Service Migrate SID Administrators da Managed Microsoft AD e attiva il filtro SID su tutti i domini attendibili.