本頁說明如何檢查是否已啟用必要權限,以便將現有的 Active Directory 網域從地端遷移至 Managed Service for Microsoft Active Directory,並保留 SID 記錄。此外,本頁面也會說明如何遷移完成後停用這些權限。
事前準備
確認您具備下列任一 Identity and Access Management (IAM) 使用者角色:
- Google Cloud Managed Identities 網域管理員
(
roles/managedidentities.domainAdmin) - Google Cloud Managed Identities 管理員 (
roles/managedidentities.admin)
詳情請參閱 Cloud Managed Identities 角色。
檢查權限
您可以檢查 Managed Microsoft AD 網域是否具備遷移網域 (含 SID 記錄) 時所需的權限。
如要驗證權限,請執行下列 gcloud CLI 指令:
gcloud beta active-directory domains migration check-permissions DOMAIN_NAME
將 DOMAIN_NAME 替換為代管 Microsoft AD 網域的名稱。例如:my-domain.com。
這項作業會驗證 Managed Microsoft AD 是否已建立 Cloud Service
Migrate SID Administrators 群組,以及所有受信任網域的 SID 篩選狀態。
回應會列出所有信任網域的 SID 篩選狀態,以及受管理 Microsoft AD 網域中所需權限的狀態:
onpremDomains: - name: domain-one.com sidFilteringState: ENABLED - name: domain-two.com sidFilteringState: DISABLED state: ENABLED
Managed Microsoft AD 網域可能處於下列任一狀態:
| 狀態 | 說明 |
|---|---|
DISABLED |
受管理的 Microsoft AD 網域沒有必要權限,無法使用 SID 記錄遷移內部部署網域。所有信任網域都已啟用 SID 篩選功能。 |
ENABLED |
Managed Microsoft AD 網域具備必要權限,可遷移具有 SID 記錄的內部部署網域。如要查看 SID 篩選狀態,請參閱回應中所有信任網域的 sidFilteringState 欄位。 |
NEEDS MAINTENANCE |
您的 Managed Microsoft AD 網域權限似乎處於間歇性狀態。如要重設狀態,請視需要啟用權限或停用權限。 |
在 Managed Microsoft AD 網域中停用權限
完成遷移作業後,您必須停用提供的權限,才能使用 SID 記錄遷移內部部署網域。
如要停用權限,請執行下列 gcloud CLI 指令:
gcloud beta active-directory domains migration disable DOMAIN_NAME
將 DOMAIN_NAME 替換為代管 Microsoft AD 網域的名稱。例如:my-domain.com。
這項作業會從 Managed Microsoft AD 刪除 Cloud Service Migrate SID Administrators 群組,藉此停用授予網域的權限,並在所有信任的網域上啟用 SID 篩選功能。