Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Administración de usuarios y grupos en Microsoft AD AWS administrado
Puede administrar usuarios y grupos en AWS Managed Microsoft AD. Debe crear un usuario para representar a una persona o entidad que pueda acceder al directorio. También puede crear un grupo para conceder y denegar permisos a más de un usuario a la vez. Puede agregar no solo usuarios a un grupo, sino también grupos a un grupo. Cuando agrega un usuario a un grupo, el usuario hereda los roles y permisos asignados al grupo. Cuando agrega un grupo a otro grupo, los grupos comparten una relación de grupo principal-grupo secundario, donde el grupo secundario hereda los roles y permisos asignados al grupo principal. También puede copiar las pertenencias a grupos de un usuario en otro usuario.
Puede administrar usuarios y grupos con [AWS Datos de Directory Service](ms_ad_getting_started_directory_service_data.md) mediante los siguientes métodos:
+ [Consola de administración de AWS](#ms_ad_manage_users_groups_with_console)
+ [AWS CLI](#ms_ad_manage_users_groups_console_cli)
+ [AWS API de datos de Directory Service](https://docs.aws.amazon.com/directoryservicedata/latest/DirectoryServiceDataAPIReference/Welcome.html)
+ [AWS Tools for Windows PowerShell](https://docs.aws.amazon.com/powershell/latest/reference/items/DirectoryServiceData_cmdlets.html)
Para ver una demostración de la CLI de datos de AWS Directory Service, consulte el siguiente YouTube vídeo.
[](http://www.youtube.com/watch?v=GJK567cuBu0?si=vb9KNV5JOWDXELSI)
Como alternativa, puede usar una [instancia vinculada a un dominio](#ms_ad_manage_users_groups_with_instance).
## Administre los usuarios y grupos con Consola de administración de AWS
Puede administrar usuarios y grupos Consola de administración de AWS con AWS Directory Service Data. Directory Service Data es una extensión Directory Service que le permite realizar tareas integradas de administración de objetos. Algunas de estas tareas incluyen la creación de usuarios y grupos y la adición de usuarios a los grupos, así como grupos a un grupo.
Para obtener más información, consulte [Administración de usuarios y grupos en el AWS Managed Microsoft AD desde la Consola de administración de AWS](ms_ad_manage_users_groups_procedures.md).
**nota**
Para utilizar esta característica, debe estar habilitada. Para obtener más información, consulte [Habilitación de la administración de usuarios y grupos](ms_ad_users_groups_mgmt_enable_disable.md).
Solo puede administrar usuarios y grupos Consola de administración de AWS desde el directorio principal Región de AWS de su directorio. Para obtener más información, consulte [Regiones principales frente a regiones adicionales](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/multi-region-global-primary-additional.html).
Necesitará los permisos de IAM necesarios para usar AWS Directory Service Data. Para obtener más información, consulte [Directory Service Permisos de API: referencia a acciones, recursos y condiciones](UsingWithDS_IAM_ResourcePermissions.md). Para empezar a conceder permisos a sus usuarios y cargas de trabajo, puede utilizar políticas AWS gestionadas como [AWS política gestionada: AWSDirectoryServiceDataFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDirectoryServiceDataFullAccess) o. [AWS política gestionada: AWSDirectoryServiceDataReadOnlyAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDirectoryServiceDataReadOnlyAccess) Para obtener más información, consulta [prácticas recomendadas de seguridad en IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/best-practices.html#bp-use-aws-defined-policies).
## Gestione los usuarios y los grupos con AWS CLI
Puede administrar usuarios y grupos AWS CLI mediante la [API de datos de AWS Directory Service](https://docs.aws.amazon.com/directoryservicedata/latest/DirectoryServiceDataAPIReference/Welcome.html). Directory Service Data es una extensión Directory Service que permite realizar tareas integradas de administración de objetos mediante el espacio de `ds-data` nombres. Algunas de estas tareas incluyen la creación de usuarios y grupos y la adición de usuarios a los grupos, así como grupos a un grupo.
**Crear un usuario con la CLI de datos de AWS Directory Service**
El siguiente es un ejemplo de AWS CLI comando que usa el espacio de `ds-data` nombres para crear un usuario.
```
aws ds-data create-user --directory-id {{d-1234567890}} --sam-account-name {{"jane.doe"}} --region {{your-Primary-Region-name}}
```
**nota**
Para usarlo AWS CLI, debe estar habilitado. Para obtener más información, consulte [Habilitar o deshabilitar la administración de usuarios y grupos o los datos AWS de Directory Service](ms_ad_users_groups_mgmt_enable_disable.md).
Solo puede administrar usuarios y grupos con la CLI de datos de AWS Directory Service desde el directorio principal Región de AWS de su directorio. Para obtener más información, consulte [Regiones principales frente a regiones adicionales](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/multi-region-global-primary-additional.html).
Necesitará los permisos de IAM necesarios para usar AWS Directory Service Data. Para obtener más información, consulte [Directory Service Permisos de API: referencia a acciones, recursos y condiciones](UsingWithDS_IAM_ResourcePermissions.md). Para empezar a conceder permisos a sus usuarios y cargas de trabajo, puede utilizar políticas AWS gestionadas como: [AWS política gestionada: AWSDirectoryServiceDataFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDirectoryServiceDataFullAccess)o. [AWS política gestionada: AWSDirectoryServiceDataReadOnlyAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDirectoryServiceDataReadOnlyAccess) Para obtener más información, consulte [Prácticas recomendadas de seguridad en IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/best-practices.html#bp-use-aws-defined-policies).
Para obtener más información, consulte [Administración de usuarios y grupos en AWS Managed Microsoft AD desde la AWS CLI](ms_ad_manage_users_groups_procedures.md).
## Gestione usuarios y grupos con Herramientas de AWS para PowerShell
[Herramientas de AWS para PowerShell](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-welcome.html)Proporciona dos módulos independientes para la administración AWS Directory Service: `AWS.Tools.DirectoryService` (DS) y `AWS.Tools.DirectoryServiceData` (DSD). Cuando trabaje con AWS Directory Serviceél, asegúrese de utilizar el módulo adecuado para la operación prevista.
+ El módulo `DirectoryService` contiene cmdlets para administrar la configuración y la administración de los servicios de directorio, incluidos cmdlets como `Enable-DSDirectoryDataAccess`, `Disable-DSDirectoryDataAccess` y `Reset-DSUserPassword`.
+ El módulo `DirectoryServiceData` contiene cmdlets para realizar operaciones dentro de un directorio, centrándose específicamente en la administración de usuarios y grupos. Estos cmdlets de DSD incluyen las operaciones de administración de usuarios (`New-DSDUser`, `Get-DSDUser`, `Update-DSDUser` y `Remove-DSDUser`), las operaciones de administración de grupos (`New-DSDGroup`, `Get-DSDGroup`, `Update-DSDGroup` y `Remove-DSDGroup`), la administración de la pertenencia a grupos (`Add-DSDGroupMember` y `Remove-DSDGroupMember`) y la funcionalidad de búsqueda (`Search-DSDUser` y `Search-DSDGroup`)
## Administración de usuarios y grupos con una instancia en las instalaciones o una instancia de Amazon EC2
Si los datos de AWS Directory Service no son compatibles con su caso de uso, le recomendamos administrar los usuarios y los grupos con una instancia local o EC2.
Para crear usuarios y grupos en un Microsoft AD AWS administrado, puede usar cualquier instancia (local o EC2) que se haya unido a su AWS Microsoft AD administrado. Es necesario iniciar sesión como un usuario que tenga privilegios para crear usuarios y grupos. También es necesario instalar las herramientas de Active Directory en su instancia de EC2 para que pueda agregar sus usuarios y grupos con el complemento Usuarios y equipos de Active Directory.
+ Puede implementar una instancia EC2 preconfigurada con las herramientas administrativas de Active Directory preinstaladas desde la consola de administración. Directory Service Para obtener más información, consulte [Lanzamiento de una instancia de administración de directorios en su Active Directory AWS administrado de Microsoft AD](console_instance.md).
+ Si necesita implementar una instancia de EC2 autoadministrada con herramientas administrativas e instalar las herramientas necesarias, consulte [Paso 3: Implemente una instancia de Amazon EC2 para gestionar su Active Directory gestionado de AWS Microsoft AD](microsoftadbasestep3.md).
**Topics**
+ [Administre los usuarios y grupos con Consola de administración de AWS](#ms_ad_manage_users_groups_with_console)
+ [Gestione los usuarios y los grupos con AWS CLI](#ms_ad_manage_users_groups_console_cli)
+ [Gestione usuarios y grupos con Herramientas de AWS para PowerShell](#ms_ad_manage_users_groups_pwershell)
+ [Administración de usuarios y grupos con una instancia en las instalaciones o una instancia de Amazon EC2](#ms_ad_manage_users_groups_with_instance)
+ [Administre los usuarios y grupos AWS administrados de Microsoft AD con Consola de administración de AWS AWS CLI, o Herramientas de AWS para PowerShell](ms_ad_manage_users_groups_procedures.md)
+ [Administra usuarios y grupos con una EC2 instancia de Amazon](ms_ad_manage_users_groups_ec2.md)