本页介绍了如何检查是否已启用将现有 Active Directory 网域从本地迁移到 Microsoft Active Directory 托管服务并保留 SID 历史记录所需的权限。本页还介绍了如何在完成迁移后停用这些权限。
准备工作
确保您拥有以下任一 Identity and Access Management (IAM) 用户角色:
- Google Cloud Managed Identities Domain Admin
(
roles/managedidentities.domainAdmin) - Google Cloud Managed Identities Admin (
roles/managedidentities.admin)
如需了解详情,请参阅 Cloud Managed Identities 角色。
检查权限
您可以检查 Microsoft AD 托管服务 网域中是否提供了迁移网域并保留 SID 历史记录所需的权限。
如需验证权限,请运行以下 gcloud CLI 命令:
gcloud beta active-directory domains migration check-permissions DOMAIN_NAME
将 DOMAIN_NAME 替换为您的 Microsoft AD 托管服务网域的名称。例如,my-domain.com。
此操作会验证 Microsoft AD 托管服务 是否已创建 Cloud Service
Migrate SID Administrators 群组,以及所有
受信任网域的 SID 过滤状态。
响应会列出所有受信任网域的 SID 过滤状态,以及 Microsoft AD 托管服务网域中所需权限的状态:
onpremDomains: - name: domain-one.com sidFilteringState: ENABLED - name: domain-two.com sidFilteringState: DISABLED state: ENABLED
您的 Microsoft AD 托管服务网域可以具有以下任一状态:
| 状态 | 说明 |
|---|---|
DISABLED |
Microsoft AD 托管服务网域没有迁移本地网域并保留 SID 历史记录所需的权限。所有受信任网域均已启用 SID 过滤。 |
ENABLED |
Microsoft AD 托管服务网域具有迁移本地网域并保留 SID 历史记录所需的权限。如需检查 SID 过滤状态,请参阅响应中所有受信任网域的 sidFilteringState 字段。 |
NEEDS MAINTENANCE |
Microsoft AD 托管服务网域的权限似乎处于间歇性状态。如需重置状态,请根据需要启用权限或停用权限。 |
停用 Microsoft AD 托管服务 网域的权限
完成迁移后,您必须停用为迁移本地网域并保留 SID 历史记录而提供的权限。
如需停用权限,请运行以下 gcloud CLI 命令:
gcloud beta active-directory domains migration disable DOMAIN_NAME
将 DOMAIN_NAME 替换为您的 Microsoft AD 托管服务网域的名称。例如,my-domain.com。
此操作会通过从 Microsoft AD 托管服务 中删除 Cloud Service Migrate SID Administrators 群组来停用为您的网域提供的权限,并对所有受信任网域启用 SID 过滤。