本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# AWS 托管 Microsoft AD 中的用户和群组管理
<a name="ms_ad_manage_users_groups"></a>

 你可以在 AWS 托管 Microsoft AD 中管理用户和群组。您可以创建用户以表示可以访问您目录的人员或实体。您还可以创建组一次向多个用户授予和拒绝权限。您不仅可以将用户添加到组，还可以将组添加到组。当您将用户添加到组时，该用户将继承分配给该组的角色和权限。将组添加到组时，这些组将共享父子关系，子组继承分配给父组的角色和权限。您也可以将用户的组成员资格复制给其他用户。

可以使用以下方法通过[AWS Directory 服务数据](ms_ad_getting_started_directory_service_data.md)管理用户和组：
+ [AWS 管理控制台](#ms_ad_manage_users_groups_with_console)
+ [AWS CLI](#ms_ad_manage_users_groups_console_cli)
+ [AWS Directory Service 数据](https://docs.aws.amazon.com/directoryservicedata/latest/DirectoryServiceDataAPIReference/Welcome.html)
+ [AWS Tools for Windows PowerShell](https://docs.aws.amazon.com/powershell/latest/reference/items/DirectoryServiceData_cmdlets.html)

有关 AWS Directory Service Data CLI 的演示，请YouTube观看以下视频。

[![AWS Videos](http://img.youtube.com/vi/GJK567cuBu0?si=vb9KNV5JOWDXELSI/0.jpg)](http://www.youtube.com/watch?v=GJK567cuBu0?si=vb9KNV5JOWDXELSI)


或者，您可以使用[加入域的实例](#ms_ad_manage_users_groups_with_instance)。

## 使用管理用户和群组 AWS 管理控制台
<a name="ms_ad_manage_users_groups_with_console"></a>

 您可以使用 with Di AWS rectory Servic AWS 管理控制台 e Data 管理用户和群组。Directory Service Data 是的扩展，它使您能够执行内置的对象管理任务。 Directory Service 其中一些任务包括创建用户和组、将用户添加到组以及将组添加到组。

有关更多信息，请参阅[使用 AWS 管理控制台管理 AWS Managed Microsoft AD 用户和组](ms_ad_manage_users_groups_procedures.md)。

**注意**  
要使用此功能，必须将其启用。有关更多信息，请参阅[启用用户和组管理](ms_ad_users_groups_mgmt_enable_disable.md)。  
 您只能使用主 AWS 区域 目录中的用户和群组 AWS 管理控制台 来管理用户和群组。有关更多信息，请参阅[主区域与其他区域](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/multi-region-global-primary-additional.html)。  
您需要必要的 IAM 权限才能使用 AWS Directory Service 数据。有关更多信息，请参阅 [Directory Service API 权限：操作、资源和条件参考](UsingWithDS_IAM_ResourcePermissions.md)。要开始向您的用户和工作负载授予权限，您可以使用 AWS 托管策略，例如[AWS 托管策略：AWSDirectoryServiceDataFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDirectoryServiceDataFullAccess)或[AWS 托管策略：AWSDirectoryServiceDataReadOnlyAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDirectoryServiceDataReadOnlyAccess)。有关更多信息，请参阅 [IAM 安全最佳实践](https://docs.aws.amazon.com//IAM/latest/UserGuide/best-practices.html#bp-use-aws-defined-policies)。

## 使用管理用户和群组 AWS CLI
<a name="ms_ad_manage_users_groups_console_cli"></a>

 您可以 AWS CLI 通过 Di [AWS rectory Service Data API](https://docs.aws.amazon.com/directoryservicedata/latest/DirectoryServiceDataAPIReference/Welcome.html) 管理用户和群组。Directory Service Data 是的扩展，它使您能够使用`ds-data`命名空间执行内置的对象管理任务。 Directory Service 其中一些任务包括创建用户和组、将用户添加到组以及将组添加到组。

**使用 Di AWS rectory Service Data CLI 创建用户**  
 以下是使用`ds-data`命名空间创建用户的 AWS CLI 命令示例。

```
aws ds-data create-user --directory-id {{d-1234567890}} --sam-account-name {{"jane.doe"}} --region {{your-Primary-Region-name}}
```

**注意**  
要使用它 AWS CLI，必须将其启用。有关更多信息，请参阅 [启用或禁用用户和群组管理或 AWS Directory Service Data](ms_ad_users_groups_mgmt_enable_disable.md)。  
 您只能使用目录的主 AWS AWS 区域 目录中的 Directory Service Data CLI 来管理用户和群组。有关更多信息，请参阅[主区域与其他区域](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/multi-region-global-primary-additional.html)。  
您需要必要的 IAM 权限才能使用 AWS Directory Service 数据。有关更多信息，请参阅 [Directory Service API 权限：操作、资源和条件参考](UsingWithDS_IAM_ResourcePermissions.md)。要开始向用户和工作负载授予权限，您可以使用 AWS 托管策略，例如。 [AWS 托管策略：AWSDirectoryServiceDataFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDirectoryServiceDataFullAccess)或[AWS 托管策略：AWSDirectoryServiceDataReadOnlyAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDirectoryServiceDataReadOnlyAccess)。有关更多信息，请参阅 [IAM 安全最佳实践](https://docs.aws.amazon.com//IAM/latest/UserGuide/best-practices.html#bp-use-aws-defined-policies)。

有关更多信息，请参阅[使用 AWS CLI管理 AWS Managed Microsoft AD 用户和组](ms_ad_manage_users_groups_procedures.md)。

## 使用管理用户和群组 AWS Tools for PowerShell
<a name="ms_ad_manage_users_groups_pwershell"></a>

[AWS Tools for PowerShell](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-welcome.html)提供了两个单独的管理模块 AWS Directory Service：`AWS.Tools.DirectoryService`(DS) 和 `AWS.Tools.DirectoryServiceData` (DSD)。使用时 AWS Directory Service，请确保使用适合您预期操作的模块。
+ `DirectoryService` 模块包含用于管理目录服务配置和管理的 cmdlet，包括 `Enable-DSDirectoryDataAccess`、`Disable-DSDirectoryDataAccess` 和 `Reset-DSUserPassword` 等 cmdlet。
+ `DirectoryServiceData` 模块包含用于在目录中执行操作的 cmdlet，特别是侧重于用户和组管理。这些 DSD cmdlet 包括用户管理操作（`New-DSDUser`、`Get-DSDUser`、`Update-DSDUser` 和 `Remove-DSDUser`）、组管理操作（`New-DSDGroup`、`Get-DSDGroup` 和 `Update-DSDGroup`、`Remove-DSDGroup`）、组成员资格管理（`Add-DSDGroupMember` 和 `Remove-DSDGroupMember`）以及搜索功能（`Search-DSDUser` 和 `Search-DSDGroup`）。

## 使用本地实例或 Amazon EC2 实例管理用户和组
<a name="ms_ad_manage_users_groups_with_instance"></a>

 如果 AWS Directory Service Data 不支持您的用例，我们建议您使用本地或 EC2 实例管理用户和群组。

要在 AWS 托管 Microsoft AD 中创建用户和群组，您可以使用已加入您的 AWS 托管 Microsoft AD 的任何实例（来自本地或 EC2）。您需要以具有权限创建用户和组的用户身份登录。您还需要在实例上安装 Active Directory 工具，以便添加具有 Active Directory 用户和计算机工具的用户和组。
+ 您可以使用管理控制台中预安装的 Active Directory Directory Service 管理工具部署预配置的 EC2 实例。有关更多信息，请参阅 [在托管的 Microsoft AD 活动目录中启动目录 AWS 管理实例](console_instance.md)。
+ 如果您需要使用管理工具部署自托管式 EC2 实例并安装必要的工具，请参阅 [第 3 步：部署 Amazon EC2 实例来管理您的 AWS 托管微软 AD 活动目录](microsoftadbasestep3.md)。

**Topics**
+ [使用管理用户和群组 AWS 管理控制台](#ms_ad_manage_users_groups_with_console)
+ [使用管理用户和群组 AWS CLI](#ms_ad_manage_users_groups_console_cli)
+ [使用管理用户和群组 AWS Tools for PowerShell](#ms_ad_manage_users_groups_pwershell)
+ [使用本地实例或 Amazon EC2 实例管理用户和组](#ms_ad_manage_users_groups_with_instance)
+ [使用 AWS 管理控制台、 AWS CLI或， AWS 管理托管的 Microsoft AD 用户和群组 AWS Tools for PowerShell](ms_ad_manage_users_groups_procedures.md)
+ [使用 Amazon EC2 实例管理用户和群组](ms_ad_manage_users_groups_ec2.md)