本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 创建 AWS 托管微软 AD 组 使用以下步骤创建具有用户和组 AWS 管理或 AWS 目录服务数据的托管 Microsoft AD 组,或者在 AWS 管理控制台 AWS CLI、或中 AWS Tools for PowerShell。 **在开始任一过程之前,您需要完成以下操作:** + [创建你的 Microsoft AWS 托管广告](ms_ad_getting_started.md#ms_ad_getting_started_create_directory). + 要使用用户和组管理或 AWS Directory Service Data CLI,必须将其启用。有关更多信息,请参阅[启用用户和组管理或 Directory Service Data](ms_ad_users_groups_mgmt_enable_disable.md)。 + 您只能从主目录中 AWS 区域 为目录启用此功能。有关更多信息,请参阅[主区域与其他区域](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/multi-region-global-primary-additional.html)。 + 您需要必要的 IAM 权限才能使用 AWS Directory Service 数据。有关更多信息,请参阅 [Directory Service API 权限:操作、资源和条件参考](UsingWithDS_IAM_ResourcePermissions.md)。要开始向您的用户和工作负载授予权限,您可以使用 AWS 托管策略,例如[AWS 托管策略:AWSDirectoryServiceDataFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDirectoryServiceDataFullAccess)或[AWS 托管策略:AWSDirectoryServiceDataReadOnlyAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDirectoryServiceDataReadOnlyAccess)。有关更多信息,请参阅 [IAM 安全最佳实践](https://docs.aws.amazon.com//IAM/latest/UserGuide/best-practices.html#bp-use-aws-defined-policies)。 ------ #### [ AWS 管理控制台 ] 你可以在中创建新的 AWS 托管 Microsoft AD 组 AWS 管理控制台。创建新组时,您需要指定组的详细信息并确定[组的类型和范围](ad_group_type_and_scope.md)。您还可以选择是将用户和子组添加到您的新组,还是将您的新组添加到父组。 **使用创建 AWS 托管 Microsoft AD 组 AWS 管理控制台** 1. 打开 Directory Service 控制台,网址为[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/)。 1. 在导航窗格中,选择 **Active Directory**,然后选择**目录**。您将被定向到 “**目录**” 屏幕,您可以在其中查看您的目录列表 AWS 区域。 1. 选择一个目录。系统会将您定向到**目录详细信息**屏幕。 1. 选择**组**。该选项卡将显示您的 AWS 区域中组的列表。 1. 选择**创建群组**。系统会将您定向到完成新组创建的过程。 1. **指定组详细信息**页面将打开。输入**组名称**。组名称必须符合以下条件: + 组名称必须唯一 + 最长可为 64 个字符 + 只能包含字母数字字符 + \~\!@\#$%^&\*\_-\+=`\|\\(){}[]:;"'<>,.?/ **警告** 组创建后,将无法更改组名称。 1. 从以下选项中选择**组类型**: + **安全性** + **分配** + 要了解更多信息,请参阅[Group type](ad_group_type_and_scope.md#ad_group_type)。 1. 从以下选项中选择**组范围**: + **本地域** + **通用** + **Global** + 您可以打开**比较范围**,以显示组范围之间的相似之处和不同之处的图表。要了解更多信息,请参阅[Group scope](ad_group_type_and_scope.md#ad_group_scope)。 1. 提供主要信息和联系方式后,选择**下一步**。 1. **将用户添加到组*(可选)***页面将打开,您可以将用户添加到新组中。要查找要添加到组的用户,请在**用户**部分下的搜索框中输入用户登录名。选择要添加到组的用户,然后选择**下一步**。 1. **添加子组*(可选)***页面将打开,您可以将现有组添加到新组中。现有组将成为新创建组的子组。当您将子组添加到您的组时,您的组将成为父组,而子组将继承您的组的所有角色和权限。要查找要添加的组,请在**添加子组**部分下的搜索框中输入组名称。选择要添加到新组的子组,然后选择**下一步**。 1. **添加父组*(可选)***页面将打开,您可以将新组添加到现有组中。新组将成为现有组的父组。当将您的组添加到父组时,您的组将成为子组,并继承父组的所有角色和权限。要查找要添加的组,请在**添加父组**部分下的搜索框中输入组名称。选择要添加到新组的父组,然后选择**下一步**。 1. 在**查看和创建组**页面上,查看您的选择,然后选择**创建组**。 ------ #### [ AWS CLI ] 下面介绍如何使用 AWS 目录服务数据 CLI 格式化创建 AWS 托管 Microsoft AD 组的请求。当您创建新组时,必须包含您的目录 ID 号和组名称。您还可以包含其他属性,例如带 `DisplayName` 属性的组显示名称。有关更多信息,请参阅[AWS “目录服务数据” 属性](ad_data_attributes.md)和[组类型和组范围](ad_group_type_and_scope.md)。 **使用创建 AWS 托管 Microsoft AD 组 AWS CLI** + 打开并运行以下命令 AWS CLI,将目录 ID、用户名和群组显示名称替换为您 AWS 的 Microsoft AD Directory ID、用户名和所需的群组显示名称: ``` aws ds-data create-group \ --directory-id {{d-1234567890}} \ --sam-account-name "{{your-group-name}}" \ --other-attributes '{ "DisplayName": { "S": "{{myGroupDisplayName}}"} "Description":{ "S": "{{myGroupDescription}}"} }' ``` ------ #### [ AWS Tools for PowerShell ] 下面介绍如何格式化使用创建 AWS 托管 Microsoft AD 组的请求 AWS Tools for PowerShell。当您创建新组时,必须包含您的目录 ID 号和组名称。您还可以包含其他属性,例如带 `DisplayName` 属性的组显示名称。有关更多信息,请参阅[AWS “目录服务数据” 属性](ad_data_attributes.md)和[组类型和组范围](ad_group_type_and_scope.md)。 **使用创建 AWS 托管 Microsoft AD 组 AWS Tools for PowerShell** + 打开并运行以下命令PowerShell,将目录 ID、用户名和群组显示名称替换为您 AWS 的 Microsoft AD Directory ID、用户名和所需的群组显示名称: ``` New-DSDGroup ` -DirectoryId {{d-1234567890}} ` -SAMAccountName "{{your-group-name}}" ` -OtherAttribute @{ DisplayName = [Amazon.DirectoryServiceData.Model.AttributeValue]@{S = '{{myGroupDisplayName}}' } Description = [Amazon.DirectoryServiceData.Model.AttributeValue]@{S = '{{myGroupDescription}}' } } ``` ------