翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# AWS Managed Microsoft AD でのユーザーとグループの管理
<a name="ms_ad_manage_users_groups"></a>

 AWS Managed Microsoft AD でユーザーとグループを管理できます。ディレクトリにアクセスできる個人またはエンティティを表すユーザーを作成します。また、一度に複数のユーザーに許可を付与および拒否するグループを作成することもできます。ユーザーをグループに追加するだけでなく、グループをグループに追加することもできます。　 ユーザーをグループに追加すると、ユーザーはグループに割り当てられたロールとアクセス許可を継承します。グループにグループを追加すると、グループは親子関係を共有し、子グループは親グループに割り当てられたロールとアクセス許可を継承します。ユーザーのグループメンバーシップを別のユーザーにコピーすることもできます。

[AWS Directory サービスデータ](ms_ad_getting_started_directory_service_data.md) でユーザーとグループを管理するには、次の方法を使用します:
+ [AWS マネジメントコンソール](#ms_ad_manage_users_groups_with_console)
+ [AWS CLI](#ms_ad_manage_users_groups_console_cli)
+ [AWS Directory Service Data API](https://docs.aws.amazon.com/directoryservicedata/latest/DirectoryServiceDataAPIReference/Welcome.html)
+ [AWS Tools for Windows PowerShell](https://docs.aws.amazon.com/powershell/latest/reference/items/DirectoryServiceData_cmdlets.html)

 AWS Directory Service Data CLI のデモについては、次のYouTube動画を参照してください。

[![AWS Videos](http://img.youtube.com/vi/GJK567cuBu0?si=vb9KNV5JOWDXELSI/0.jpg)](http://www.youtube.com/watch?v=GJK567cuBu0?si=vb9KNV5JOWDXELSI)


または、「[ドメイン結合インスタンス](#ms_ad_manage_users_groups_with_instance)」を使用することもできます。

## を使用してユーザーとグループを管理する AWS マネジメントコンソール
<a name="ms_ad_manage_users_groups_with_console"></a>

 AWS Directory Service Data を使用して AWS マネジメントコンソール でユーザーとグループを管理できます。Directory Service Data は、組み込みオブジェクト管理タスクを実行する機能 Directory Service を提供する の拡張機能です。これらのタスクには、ユーザーとグループの作成、グループへのユーザーの追加、グループへのグループの追加などがあります。

詳細については、「[AWS マネジメントコンソールで AWS Managed Microsoft AD ユーザーとグループの管理](ms_ad_manage_users_groups_procedures.md)」を参照してください。

**注記**  
この機能を使用するには、それを有効にする必要があります。詳細については、「[ユーザーおよびグループ管理の有効化](ms_ad_users_groups_mgmt_enable_disable.md)」を参照してください。  
 ディレクトリのプライマリ AWS マネジメントコンソール AWS リージョン から を使用してのみ、ユーザーとグループを管理できます。詳細については、「[プライマリリージョンと追加のリージョン](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/multi-region-global-primary-additional.html)」を参照してください。  
 AWS Directory Service Data を使用するには、必要な IAM アクセス許可が必要です。詳細については、「[Directory Service API アクセス許可: アクション、リソース、および条件リファレンス](UsingWithDS_IAM_ResourcePermissions.md)」を参照してください。ユーザーとワークロードへのアクセス許可の付与を開始するには、 [AWS 管理ポリシー: AWSDirectoryServiceDataFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDirectoryServiceDataFullAccess)や などの AWS 管理ポリシーを使用できます[AWS 管理ポリシー: AWSDirectoryServiceDataReadOnlyAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDirectoryServiceDataReadOnlyAccess)。詳細については、「[IAM でのセキュリティのベストプラクティス](https://docs.aws.amazon.com//IAM/latest/UserGuide/best-practices.html#bp-use-aws-defined-policies)」を参照してください。

## を使用してユーザーとグループを管理する AWS CLI
<a name="ms_ad_manage_users_groups_console_cli"></a>

 [AWS Directory Service Data API](https://docs.aws.amazon.com/directoryservicedata/latest/DirectoryServiceDataAPIReference/Welcome.html) AWS CLI を使用して、 でユーザーとグループを管理できます。Directory Service Data は、 `ds-data` 名前空間を使用して組み込みオブジェクト管理タスクを実行する機能 Directory Service を提供する の拡張機能です。これらのタスクには、ユーザーとグループの作成、グループへのユーザーの追加、グループへのグループの追加などがあります。

**AWS Directory Service Data CLI を使用してユーザーを作成する**  
 以下は、 `ds-data`名前空間を使用してユーザーを作成する AWS CLI コマンドの例です。

```
aws ds-data create-user --directory-id {{d-1234567890}} --sam-account-name {{"jane.doe"}} --region {{your-Primary-Region-name}}
```

**注記**  
これを使用するには AWS CLI、有効にする必要があります。詳細については、「[ユーザーとグループの管理または AWS Directory Service Data の有効化または無効化](ms_ad_users_groups_mgmt_enable_disable.md)」を参照してください。  
 ディレクトリのプライマリから AWS Directory Service Data CLI を使用してのみ、ユーザーとグループを管理 AWS リージョン できます。詳細については、「[プライマリリージョンと追加のリージョン](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/multi-region-global-primary-additional.html)」を参照してください。  
 AWS Directory Service Data を使用するには、必要な IAM アクセス許可が必要です。詳細については、「[Directory Service API アクセス許可: アクション、リソース、および条件リファレンス](UsingWithDS_IAM_ResourcePermissions.md)」を参照してください。ユーザーとワークロードへのアクセス許可の付与を開始するには、 [AWS 管理ポリシー: AWSDirectoryServiceDataFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDirectoryServiceDataFullAccess)や などの AWS 管理ポリシーを使用できます。 [AWS 管理ポリシー: AWSDirectoryServiceDataReadOnlyAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDirectoryServiceDataReadOnlyAccess)詳細については、[IAM のセキュリティのベストプラクティス](https://docs.aws.amazon.com//IAM/latest/UserGuide/best-practices.html#bp-use-aws-defined-policies)を参照してください。

詳細については、「[AWS CLIで AWS Managed Microsoft AD ユーザーとグループの管理](ms_ad_manage_users_groups_procedures.md)」を参照してください。

## でユーザーとグループを管理する AWS Tools for PowerShell
<a name="ms_ad_manage_users_groups_pwershell"></a>

[AWS Tools for PowerShell](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-welcome.html) には、 (DS) と AWS Directory Service`AWS.Tools.DirectoryService` (`AWS.Tools.DirectoryServiceData`DSD) の 2 つの管理用モジュールがあります。を使用するときは AWS Directory Service、目的のオペレーションに適したモジュールを使用していることを確認してください。
+ `DirectoryService` モジュールには、`Enable-DSDirectoryDataAccess`、`Disable-DSDirectoryDataAccess`、`Reset-DSUserPassword` などのコマンドレットなど、ディレクトリサービスの設定と管理を管理するためのコマンドレットが含まれています。
+ `DirectoryServiceData` モジュールには、特にユーザーとグループの管理に焦点を当てた、ディレクトリ内でオペレーションを実行するためのコマンドレットが含まれています。これらの DSD コマンドレットには、ユーザー管理オペレーション (`New-DSDUser`、`Get-DSDUser`、`Update-DSDUser`、および `Remove-DSDUser`)、グループ管理オペレーション (`New-DSDGroup`、`Get-DSDGroup`、および `Update-DSDGroup`、`Remove-DSDGroup`)、グループメンバーシップ管理 (`Add-DSDGroupMember` および `Remove-DSDGroupMember`)、検索機能 (`Search-DSDUser` および `Search-DSDGroup`) が含まれます。

## オンプレミスインスタンスまたは Amazon EC2 インスタンスを使用してユーザーとグループを管理する
<a name="ms_ad_manage_users_groups_with_instance"></a>

 AWS Directory Service Data がユースケースをサポートしていない場合は、オンプレミスまたは EC2 インスタンスを使用してユーザーとグループを管理することをお勧めします。

 AWS Managed Microsoft AD でユーザーとグループを作成するには、 AWS Managed Microsoft AD に参加している任意のインスタンス (オンプレミスまたは EC2) を使用できます。また、ユーザーとグループを作成する権限を持つユーザーとしてログインしている必要があります。さらに、Active Directory のツールをインスタンスにインストールし、[Active Directory ユーザーとコンピュータ] ツールを使用してユーザーとグループをインスタンスに追加できるようにする必要があります。
+  Directory Service 管理コンソールから Active Directory 管理ツールがプリインストールされた事前設定済み EC2 インスタンスをデプロイできます。詳細については、「[AWS Managed Microsoft AD Active Directory でディレクトリ管理インスタンスを起動する](console_instance.md)」を参照してください。
+ 管理ツールを使用してセルフマネージド EC2 インスタンスをデプロイし、必要なツールをインストールする必要がある場合は、「[ステップ 3: Amazon EC2 インスタンスをデプロイして AWS Managed Microsoft AD Active Directory を管理する](microsoftadbasestep3.md)」を参照してください。

**Topics**
+ [を使用してユーザーとグループを管理する AWS マネジメントコンソール](#ms_ad_manage_users_groups_with_console)
+ [を使用してユーザーとグループを管理する AWS CLI](#ms_ad_manage_users_groups_console_cli)
+ [でユーザーとグループを管理する AWS Tools for PowerShell](#ms_ad_manage_users_groups_pwershell)
+ [オンプレミスインスタンスまたは Amazon EC2 インスタンスを使用してユーザーとグループを管理する](#ms_ad_manage_users_groups_with_instance)
+ [AWS Managed Microsoft AD ユーザーとグループを AWS マネジメントコンソール、 AWS CLI、または で管理する AWS Tools for PowerShell](ms_ad_manage_users_groups_procedures.md)
+ [Amazon EC2 インスタンスを使用してユーザーとグループを管理する](ms_ad_manage_users_groups_ec2.md)