向群组添加和移除AWS托管 Microsoft AD 成员以及向群组添加和移除群组

使用 AWS Directory Service Data API，成员可以是用户、组或计算机。用户表示可以访问您目录的人员或实体。组允许您一次向多个用户授予和拒绝权限。

使用以下过程将AWS受管 Microsoft AD 用户添加到群组或从群组中移除或移除到另一个群组中AWS 管理控制台、AWS CLI、或中包含用户和群组管理或 AWS Directory Service 数据的群组AWS Tools for PowerShell。

将用户添加到组

使用以下步骤将 Microsoft AD AWS 托管用户添加到包含用户和组管理或AWS目录服务数据的群组中AWS 管理控制台、AWS CLI、或AWS Tools for PowerShell。

重要

当你将 Microsoft AD AWS 托管用户添加到群组时，该用户将继承分配给该群组的角色和权限。这些角色和权限是用户的组成员资格的一部分。

在开始任一过程之前，您需要完成以下操作：

创建 AWS Managed Microsoft AD.
要使用用户和组管理或 AWS Directory Service Data CLI，必须将其启用。有关更多信息，请参阅启用用户和组管理或 Directory Service Data。
您只能从主目录中AWS 区域为目录启用此功能。有关更多信息，请参阅主区域与其他区域。
您需要必要的 IAM 权限才能使用 AWS Directory Service 数据。有关更多信息，请参阅 Directory ServiceAPI 权限：操作、资源和条件参考。要开始向您的用户和工作负载授予权限，您可以使用AWS托管策略，例如AWS托管策略：AWSDirectoryServiceDataFullAccess或AWS 托管式策略：AWSDirectoryServiceDataReadOnlyAccess。有关更多信息，请参阅 IAM 安全最佳实践。
创建微软 AD AWS 托管用户。
创建AWS托管微软 AD 组。

AWS 管理控制台

你可以使用将AWS托管 Microsoft AD 成员添加到群组中AWS 管理控制台。

要将AWS托管的 Microsoft AD 用户添加到群组中 AWS 管理控制台

打开Directory Service控制台，网址为https://console.aws.amazon.com/directoryservicev2/。
在导航窗格中，选择 Active Directory，然后选择目录。您将被定向到 “目录” 屏幕，您可以在其中查看您的目录列表AWS 区域。
选择一个目录。系统会将您定向到目录详细信息屏幕。
选择组。要查找组，请在组部分下的搜索框中输入组名称。该选项卡显示您的群组列表AWS 区域。
选择一个组。系统会将您定向到组详细信息屏幕。
选择成员。该选项卡将按组中的成员类型显示用户和子组列表。
在成员选项卡下，选择添加成员。
在成员下，选择要添加到组中的用户，然后选择将成员添加到组。要查找成员，请在成员部分下的搜索框中输入用户的登录名和组的名称。

AWS CLI

下面介绍如何使用AWS目录服务数据 CLI 格式化将AWS托管 Microsoft AD 成员添加到群组的请求。

要将 Microsoft AD AWS 托管用户添加到群组中，请使用 AWS CLI

要将用户添加到群组，请打开并运行以下命令，将目录 ID AWS CLI、群组和成员名称替换为您的AWS托管 Microsoft AD Directory ID 以及群组和成员名称：


aws ds-data add-group-member --directory-id d-1234567890 --group-name "your-group-name" --member-name "jane.doe"

AWS Tools for PowerShell

下面介绍如何格式化将AWS托管 Microsoft AD 成员添加到群组的请求AWS Tools for PowerShell。

使用以下方法将AWS托管 Microsoft AD 用户添加到群组 AWS Tools for PowerShell

要将用户添加到组，请打开 PowerShell，然后运行以下命令，将目录 ID、组和成员名称替换为您的 AWS Managed Microsoft AD Directory ID 以及组和成员名称：


Add-DSDGroupMember -DirectoryId d-1234567890 -GroupName "your-group-name" -MemberName "jane.doe"

从组中删除用户

使用 AWS Directory Service Data API，成员可以是用户、组或计算机。用户表示可以访问您目录的人员或实体。组允许您一次向多个用户授予和拒绝权限。

使用以下步骤将 Microsoft AD AWS 托管用户移至包含用户和组管理或AWS目录服务数据的群组中AWS 管理控制台、AWS CLI、或AWS Tools for PowerShell。

重要

当你从群组中移除 Microsoft AD AWS 托管用户时，该用户将无法访问分配给该群组的角色和权限。这些角色和权限是组成员资格的一部分。

在开始任一过程之前，您需要完成以下操作：

创建 AWS Managed Microsoft AD.
要使用用户和组管理或 AWS Directory Service Data CLI，必须将其启用。有关更多信息，请参阅启用用户和组管理或 Directory Service Data。
您只能从主目录中AWS 区域为目录启用此功能。有关更多信息，请参阅主区域与其他区域。
您需要必要的 IAM 权限才能使用 AWS Directory Service 数据。有关更多信息，请参阅 Directory ServiceAPI 权限：操作、资源和条件参考。要开始向您的用户和工作负载授予权限，您可以使用AWS托管策略，例如AWS托管策略：AWSDirectoryServiceDataFullAccess或AWS 托管式策略：AWSDirectoryServiceDataReadOnlyAccess。有关更多信息，请参阅 IAM 安全最佳实践。
创建微软 AD AWS 托管用户。
创建AWS托管微软 AD 组。

AWS 管理控制台

你可以使用将AWS托管 Microsoft AD 成员从群组中移除AWS 管理控制台。

要将AWS托管 Microsoft AD 用户从群组中移除 AWS 管理控制台

打开Directory Service控制台，网址为https://console.aws.amazon.com/directoryservicev2/。
在导航窗格中，选择 Active Directory，然后选择目录。您将被定向到 “目录” 屏幕，您可以在其中查看您的目录列表AWS 区域。
选择一个目录。系统会将您定向到目录详细信息屏幕。
选择组。该选项卡将显示您的 AWS 区域中组的列表。
选择一个组。要查找组，请在组部分下的搜索框中输入组名称。系统会将您定向到组详细信息屏幕。
选择成员。该选项卡将按组中的成员类型显示用户和子组列表。
选择要从组中删除的用户，然后选择删除。要查找用户，请在成员部分下的搜索框中输入用户登录名。
确认要从组中删除用户，然后再次选择删除。

AWS CLI

下面介绍如何使用AWS目录服务数据 CLI 格式化从群组中移除 Microsoft AD AWS 托管成员的请求。

使用以下命令从群组中移除 Microsoft AD AWS 托管用户 AWS CLI

要将用户移至群组，请打开并运行以下命令，将目录 ID AWS CLI、群组和成员名称替换为您的AWS托管 Microsoft AD Directory ID、群组和成员名称：


aws ds-data remove-group-member --directory-id d-1234567890 --group-name "your-group-name" --member-name "jane.doe"

AWS Tools for PowerShell

下面介绍如何格式化从群组中移除AWS托管 Microsoft AD 成员的请求AWS Tools for PowerShell。

使用以下命令从群组中移除 Microsoft AD AWS 托管用户 AWS Tools for PowerShell

要从组中删除用户，请打开 PowerShell，然后运行以下命令，将目录 ID、组和成员名称替换为您的 AWS Managed Microsoft AD Directory ID、组和成员名称：


Remove-DSDGroupMember -DirectoryId d-1234567890 -GroupName "your-group-name" -MemberName "jane.doe"

将组添加到组

当你将AWS托管 Microsoft AD 群组添加到另一个群组时，这些群组将共享父子关系。子组将可以访问分配给该父组的角色和权限。您可以将子组添加到您的组，也可以将您的组添加到父组。

在开始任一过程之前，您需要完成以下操作：

创建 AWS Managed Microsoft AD.
要使用用户和组管理或 AWS Directory Service Data CLI，必须将其启用。有关更多信息，请参阅启用用户和组管理或 Directory Service Data。
您只能从主目录中AWS 区域为目录启用此功能。有关更多信息，请参阅主区域与其他区域。
您需要必要的 IAM 权限才能使用 AWS Directory Service 数据。有关更多信息，请参阅 Directory ServiceAPI 权限：操作、资源和条件参考。要开始向您的用户和工作负载授予权限，您可以使用AWS托管策略，例如AWS托管策略：AWSDirectoryServiceDataFullAccess或AWS 托管式策略：AWSDirectoryServiceDataReadOnlyAccess。有关更多信息，请参阅 IAM 安全最佳实践。
创建AWS托管微软 AD 组。

AWS 管理控制台

你可以使用将AWS托管 Microsoft AD 组添加到群组中AWS 管理控制台。

要将子群组添加到您的群组中，请使用 AWS 管理控制台

打开Directory Service控制台，网址为https://console.aws.amazon.com/directoryservicev2/。
在导航窗格中，选择 Active Directory，然后选择目录。您将被定向到 “目录” 屏幕，您可以在其中查看您的目录列表AWS 区域。
选择一个目录。系统会将您定向到目录详细信息屏幕。
选择组。该选项卡将显示您的 AWS 区域中组的列表。
选择一个组。要查找组，请在组部分下的搜索框中输入组名称。系统会将您定向到组详细信息屏幕。
选择成员。该选项卡将按组中的成员类型显示用户和子组列表。
选择添加成员。
在成员下，选择要添加到您的组的子组，然后选择将成员添加到组。

要将父群组添加到群组中 AWS 管理控制台

打开Directory Service控制台，网址为https://console.aws.amazon.com/directoryservicev2/。
在导航窗格中，选择 Active Directory，然后选择目录。您将被定向到 “目录” 屏幕，您可以在其中查看您的目录列表AWS 区域。
选择一个目录。系统会将您定向到目录详细信息屏幕。
选择组。该选项卡将显示您的 AWS 区域中组的列表。
选择一个组。要查找组，请在组部分下的搜索框中输入组名称。系统会将您定向到组详细信息屏幕。
选择父组。该选项卡将显示您的组所属组的列表。
选择添加父组。
在组下，选择要将您的组添加到的组，然后再次选择添加父组。

AWS CLI

下面介绍如何使用AWS目录服务数据 CLI 格式化将AWS托管 Microsoft AD 组添加到群组的请求。

要将子群组添加到您的群组中，请使用 AWS CLI

要将子群组添加到父群组，请打开并运行以下命令，将目录 ID AWS CLI、群组和成员名称替换为您AWS的 Microsoft AD Directory ID、群组和成员名称：


aws ds-data add-group-member --directory-id d-1234567890 --group-name "parent-group-name" --member-name "child-group-name"

AWS Tools for PowerShell

下面介绍如何格式化将AWS托管 Microsoft AD 组添加到群组的请求AWS Tools for PowerShell。

要将子群组添加到您的群组，请使用以下方法 AWS Tools for PowerShell

要将子群组添加到父群组，请打开并运行以下命令，将目录 ID PowerShell、群组和成员名称替换为您AWS的 Microsoft AD Directory ID、群组和成员名称：


Add-DSDGroupMember -DirectoryId d-1234567890 -GroupName "parent-group-name" -MemberName "child-group-name"

从组中删除组

当你从另一个群组中移除AWS托管 Microsoft AD 群组时，这些群组将不再共享父子关系。子组将无法访问分配给该父组的角色和权限。您可以从您的组中删除子组，也可以从父组中删除您的组。

在开始任一过程之前，您需要完成以下操作：

创建 AWS Managed Microsoft AD.
要使用用户和组管理或 AWS Directory Service Data CLI，必须将其启用。有关更多信息，请参阅启用用户和组管理或 Directory Service Data。
您只能从主目录中AWS 区域为目录启用此功能。有关更多信息，请参阅主区域与其他区域。
您需要必要的 IAM 权限才能使用 AWS Directory Service 数据。有关更多信息，请参阅 Directory ServiceAPI 权限：操作、资源和条件参考。要开始向您的用户和工作负载授予权限，您可以使用AWS托管策略，例如AWS托管策略：AWSDirectoryServiceDataFullAccess或AWS 托管式策略：AWSDirectoryServiceDataReadOnlyAccess。有关更多信息，请参阅 IAM 安全最佳实践。
创建AWS托管微软 AD 组。

AWS 管理控制台

你可以使用将AWS托管 Microsoft AD 组移到群组中AWS 管理控制台。

要将子群组从您的群组中移除，请使用 AWS 管理控制台

打开Directory Service控制台，网址为https://console.aws.amazon.com/directoryservicev2/。
在导航窗格中，选择 Active Directory，然后选择目录。您将被定向到 “目录” 屏幕，您可以在其中查看您的目录列表AWS 区域。
选择一个目录。系统会将您定向到目录详细信息屏幕。
选择组。该选项卡将显示您的 AWS 区域中组的列表。
选择一个组。系统会将您定向到组详细信息屏幕。要查找组，请在组部分下的搜索框中输入组名称。
选择成员。该选项卡将按组中的成员类型显示用户和子组列表。
选择要从您的组中删除的子组，然后选择删除。
确认要从您的组中删除的子组，然后再次选择删除。

要将您的群组从父群组中移除 AWS 管理控制台

打开Directory Service控制台，网址为https://console.aws.amazon.com/directoryservicev2/。
在导航窗格中，选择 Active Directory，然后选择目录。您将被定向到 “目录” 屏幕，您可以在其中查看您的目录列表AWS 区域。
选择一个目录。系统会将您定向到目录详细信息屏幕。
选择组。该选项卡将显示您的 AWS 区域中组的列表。
选择一个组。系统会将您定向到组详细信息屏幕。要查找组，请在组部分下的搜索框中输入组名称。
选择父组。该选项卡将显示您的组所属组的列表。
选择要从中删除您的组的父组，然后选择删除父组。
确认要从中删除您的组的父组，然后再次选择删除父组。

AWS CLI

下面介绍如何使用AWS目录服务数据 CLI 格式化将AWS托管 Microsoft AD 组移至群组的请求。

使用以下命令将子组从父组中移除 AWS CLI

要从父群组中添加移除子群组，请打开并运行以下命令AWS CLI，将目录 ID、群组和成员名称替换为您AWS的 Microsoft AD Directory ID、群组和成员名称：


aws ds-data remove-group-member --directory-id d-1234567890 --group-name "parent-group-name" --member-name "child-group-name"

AWS Tools for PowerShell

下面介绍如何格式化将AWS托管 Microsoft AD 组移至群组的请求AWS Tools for PowerShell。

使用以下命令从父组中移除子组 AWS Tools for PowerShell

要从父群组中添加移除子群组，请打开并运行以下命令PowerShell，将目录 ID、群组和成员名称替换为您AWS的 Microsoft AD Directory ID、群组和成员名称：


Remove-DSDGroupMember -DirectoryId d-1234567890 -GroupName "parent-group-name" -MemberName "child-group-name"

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

删除组

在控制台中复制组成员资格

向群组添加和移除AWS托管 Microsoft AD 成员以及向群组添加和移除群组

将用户添加到组

重要

在开始任一过程之前，您需要完成以下操作：

要将AWS托管的 Microsoft AD 用户添加到群组中 AWS 管理控制台

要将 Microsoft AD AWS 托管用户添加到群组中，请使用 AWS CLI

使用以下方法将AWS托管 Microsoft AD 用户添加到群组 AWS Tools for PowerShell

从组中删除用户

重要

在开始任一过程之前，您需要完成以下操作：

要将AWS托管 Microsoft AD 用户从群组中移除 AWS 管理控制台

使用以下命令从群组中移除 Microsoft AD AWS 托管用户 AWS CLI

使用以下命令从群组中移除 Microsoft AD AWS 托管用户 AWS Tools for PowerShell

将组添加到组

在开始任一过程之前，您需要完成以下操作：

要将子群组添加到您的群组中，请使用 AWS 管理控制台

要将父群组添加到群组中 AWS 管理控制台

要将子群组添加到您的群组中，请使用 AWS CLI

要将子群组添加到您的群组，请使用以下方法 AWS Tools for PowerShell

从组中删除组

在开始任一过程之前，您需要完成以下操作：

要将子群组从您的群组中移除，请使用 AWS 管理控制台

要将您的群组从父群组中移除 AWS 管理控制台

使用以下命令将子组从父组中移除 AWS CLI

使用以下命令从父组中移除子组 AWS Tools for PowerShell