本页面介绍如何检查是否已启用将现有 Active Directory 网域从本地迁移到 Managed Service for Microsoft Active Directory(具有 SID 历史记录)所需的权限。本页还介绍了如何在完成迁移后停用这些权限。
准备工作
确保您拥有以下任一 Identity and Access Management (IAM) 用户角色:
- Google Cloud Managed Identities Domain Admin
(
roles/managedidentities.domainAdmin) - Google Cloud Managed Identities Admin (
roles/managedidentities.admin)
如需了解详情,请参阅 Cloud 受管身份角色。
检查权限
您可以检查托管式 Microsoft AD 网域是否具有迁移包含 SID 历史记录的网域所需的权限。
如需验证权限,请运行以下 gcloud CLI 命令:
gcloud beta active-directory domains migration check-permissions DOMAIN_NAME
将 DOMAIN_NAME 替换为您的托管式 Microsoft AD 网域的名称。例如 my-domain.com。
此操作会验证托管式 Microsoft AD 是否已创建 Cloud Service
Migrate SID Administrators 群组,以及所有受信任网域上的 SID 过滤状态。
响应会列出所有受信任网域的 SID 过滤状态,以及托管式 Microsoft AD 网域中所需权限的状态:
onpremDomains: - name: domain-one.com sidFilteringState: ENABLED - name: domain-two.com sidFilteringState: DISABLED state: ENABLED
您的代管式 Microsoft AD 网域可以处于以下任一状态:
| 州 | 说明 |
|---|---|
DISABLED |
托管 Microsoft AD 网域没有迁移具有 SID 历史记录的本地网域所需的权限。所有可信网域都已启用 SID 过滤。 |
ENABLED |
托管式 Microsoft AD 网域具有迁移本地网域(包含 SID 历史记录)所需的权限。如需检查 SID 过滤状态,请查看响应中所有受信任网域的 sidFilteringState 字段。 |
NEEDS MAINTENANCE |
您的 Managed Microsoft AD 网域的权限似乎处于间歇性状态。如需重置状态,请根据需要启用权限或停用权限。 |
停用托管式 Microsoft AD 网域的权限
完成迁移后,您必须停用为迁移具有 SID 历史记录的本地网域而提供的权限。
如需停用相应权限,请运行以下 gcloud CLI 命令:
gcloud beta active-directory domains migration disable DOMAIN_NAME
将 DOMAIN_NAME 替换为您的托管式 Microsoft AD 网域的名称。例如 my-domain.com。
此操作会通过从 Managed Microsoft AD 中删除 Cloud Service Migrate SID Administrators 群组来停用向您的网域提供的权限,并对所有受信任的网域启用 SID 过滤。