本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 使用 Amazon EC2 实例管理用户和群组
<a name="ms_ad_manage_users_groups_ec2"></a>

 本节包括使用已加入 AWS 托管 Microsoft AD 的 Amazon EC2 实例来管理用户和群组的过程。

 如果 Directory Service Data API 不支持您的用例，我们建议您使用亚马逊 EC2 实例管理用户和群组。有关更多信息，请参阅 [AWS Directory Service Data API 参考](https://docs.aws.amazon.com/directoryservicedata/latest/DirectoryServiceDataAPIReference/Welcome.html)。

**注意**  
 在完成以下主题中的任何过程之前，您必须安装 Active Directory 管理工具。有关更多信息，请参阅[安装 Active Directory 管理工具](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_install_ad_tools.html)。

**Topics**
+ [为托管的 Microsoft AD 安装活动目录 AWS 管理工具](ms_ad_install_ad_tools.md)
+ [创建微软 AD AWS 托管用户](ms_ad_manage_users_groups_create_user.md)
+ [使用 Amazon EC2 实例删除用户账户](ms_ad_manage_users_groups_delete_user.md)
+ [重置 AWS 托管 Microsoft AD 用户密码](ms_ad_manage_users_groups_reset_password.md)
+ [创建 AWS 托管微软 AD 组](ms_ad_manage_users_groups_create_group.md)
+ [将 AWS 托管 Microsoft AD 用户添加到群组](ms_ad_manage_users_groups_add_user_to_group.md)

# 为托管的 Microsoft AD 安装活动目录 AWS 管理工具
<a name="ms_ad_install_ad_tools"></a>

你可以使用 AWS 管理你的 Microsoft AD AD 活动目录Active Directory Domain Services and Active Directory Lightweight Directory Services Tools。要使用 Active Directory Domain Services and Active Directory Lightweight Directory Services Tools，您需要安装它们。以下过程将引导您了解如何在 Amazon EC2 Windows Server 实例上或使用 PowerShell 命令安装这些工具。或者，您可以启动已安装这些工具的目录管理 EC2 实例。

------
#### [ EC2 Windows Server instance ]

在开始此过程之前，请完成以下操作：

1. 创建 AWS 托管的 Microsoft AD 活动目录。有关更多信息，请参阅 [创建你的 Microsoft AWS 托管广告](ms_ad_getting_started.md#ms_ad_getting_started_create_directory)。

1. 启动 EC2 Windows Server 实例并将其加入您的 AWS 托管微软 AD Active Directory。EC2 实例需要使用以下策略来创建用户和组：**AmazonSSMManagedInstanceCore** 和 **AmazonSSMDirectoryServiceAccess**。有关更多信息，请参阅[在托管的 Microsoft AD 活动目录中启动目录 AWS 管理实例](console_instance.md)和[将 Amazon EC2 Windows 实例加入您的 AWS 托管微软 AD 活动目录](launching_instance.md)。

1. 您将需要您的 Active Directory 域管理员的凭证。这些凭据是在创建 AWS 托管 Microsoft AD 时创建的。如果您按照[创建你的 Microsoft AWS 托管广告](ms_ad_getting_started.md#ms_ad_getting_started_create_directory) 中的过程操作，则您的管理员用户名将包括您的 NetBIOS 名称 **corp\$1admin**。

**在 EC2 Windows Server 实例上安装 Active Directory 管理工具**

1. 打开位于 [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) 的 Amazon EC2 控制台。

1. 在 Amazon EC2 控制台中，选择**实例**，选择 Windows Server 实例，然后选择**连接**。

1. 在**连接到实例**页面中，选择 **RDP 客户端**。

1. 在 **RDP 客户端**选项卡中，选择**下载远程桌面文件**，然后选择**获取密码**，以检索密码。

1. 在**获取 Windows 密码**中，选择**上传私钥文件**。选择与 Windows Server 实例关联的 .pem 私钥文件。上传私钥文件后，选择**解密密码**。

1. 在 **Windows 安全**对话框中，复制 Windows Server 计算机的本地管理员凭证以登录。用户名可以采用以下格式：***NetBIOS-Name*\$1admin** 或 ***DNS-Name*\$1admin**。例如，如果您按照[创建你的 Microsoft AWS 托管广告](ms_ad_getting_started.md#ms_ad_getting_started_create_directory) 中的过程进行操作，则用户名将为 **corp\$1admin**。

1. 登录 Windows Server 实例后，从“开始”菜单中选择**服务器管理器**，打开**服务器管理器**。

1. 在**服务器管理器**控制面板中，选择**添加角色和功能**。

1. 在 **Add Roles and Features Wizard (添加角色和功能向导)** 中，依次选择 **Installation Type (安装类型)**、**Role-based or feature-based installation (基于角色或基于功能的安装)** 和 **Next (下一步)**。

1. 在 **Server Selection (服务器选择)** 下，确保已选中本地服务器，然后选择左侧导航栏中的 **Features (功能)**。

1. 在**功能**树中，依次选择并打开**远程服务器管理工具**、**角色管理工具**和 **AD DS 和 AD LDS 工具**。选择 **AD DS 和 AD LDS 工具**后，将选择**适用于 PowerShell 的 Active Directory 模块**、**AD DS 工具**和 **AD LDS 管理单元和命令行工具**。向下滚动并选择 **DNS 服务器工具**，然后选择**下一步**。  
![\[在选定工具的情况下安装 Microsoft AD 工具、添加角色和功能向导以及功能树。\]](http://docs.aws.amazon.com/zh_cn/directoryservice/latest/admin-guide/images/ms-install-ad-tools.png)

1. 检查信息，然后选择**安装**。当该功能安装完成后，Active Directory 域服务工具和 Active Directory 轻量级目录服务工具将出现在“开始”菜单的**管理工具**文件夹中。

------
#### [ PowerShell ]

您可以使用 PowerShell 安装 Active Directory 管理工具。例如，您可以使用在 PowerShell 提示符下安装 Active Directory 远程管理工具`Install-WindowsFeature RSAT-ADDS`。有关更多信息，请参阅 Microsoft WindowsFeature 网站上的 “[安装-](https://docs.microsoft.com/en-us/powershell/module/servermanager/install-windowsfeature?view=winserver2012r2-ps)”。

------
#### [ Directory administration instance  ]

您可以在 AWS 管理控制台 中启动目录管理 EC2 实例，该实例已按照[在托管的 Microsoft AD 活动目录中启动目录 AWS 管理实例](console_instance.md)中的过程安装了 Active Directory 域服务工具和 Active Directory 轻型目录服务工具。

------

# 创建微软 AD AWS 托管用户
<a name="ms_ad_manage_users_groups_create_user"></a>

你可以使用 Active Directory AWS 管理工具创建托管 Microsoft AD 用户和PowerShell。在使用 Active Directory 管理工具创建用户之前，您需要完成 [为托管的 Microsoft AD 安装活动目录 AWS 管理工具](ms_ad_install_ad_tools.md) 中的过程。

------
#### [ Active Directory Administration Tools ]

使用以下步骤使用活动目录 AWS 管理工具创建托管 Microsoft AD 用户。

1. 连接到安装了 Active Directory 管理工具的实例。

1. 从 Windows 的“开始”菜单中打开“Active Directory 用户和计算机”工具。**Windows 管理工具**文件夹中有一个该工具的快捷方式。
**提示**  
您可以通过实例上的命令提示符运行以下命令，直接打开“Active Directory 用户和计算机”工具框。  

   ```
   %SystemRoot%\system32\dsa.msc
   ```

1. 在目录树中，在目录的 NetBIOS 名称 OU 下选择要存储用户的 OU（例如 **corp\$1Users**）。有关中目录使用的 OU 结构的更多信息 AWS，请参阅[用你的 AWS 托管 Microsoft AD 创建了什么](ms_ad_getting_started_what_gets_created.md)。  
![\[Active Directory 用户和计算机工具显示示例 OU 结构。\]](http://docs.aws.amazon.com/zh_cn/directoryservice/latest/admin-guide/images/create-security-groups-OU.png)

1. 在**操作** 菜单上，选择**新建**，然后选择**用户**打开新用户向导。

1. 在向导的第一页上，输入以下字段的值，然后选择**下一步**。
   + **名**
   + **姓**
   + **User logon name**

1. 在新用户向导的第二页上，为**密码**和**确认密码**输入临时密码。确保选中了**用户下次登录时必须更改密码**选项。不应选择任何其他选项。选择**下一步**。

1. 在新用户向导的第三页上，验证新用户的信息正确无误，然后选择**完成**。新用户会出现在 **Users** 文件夹中。

------
#### [ PowerShell ]

使用以下步骤通过创建 AWS 托管 Microsoft AD 用户PowerShell。

1. 以 Active Directory 管理员身份，连接到已加入 Active Directory 域的实例。

1. 打开 PowerShell。

1. 键入以下命令，将用户名 **jane.doe** 替换为要创建的用户的用户名。PowerShell 将提示您输入新用户的密码。有关 Active Directory 密码复杂性要求的更多信息，请参阅 [Microsoft 文档](https://learn.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/password-must-meet-complexity-requirements)。有关 New-ADUser 命令的更多信息，请参阅[Microsoft文档](https://learn.microsoft.com/en-us/powershell/module/activedirectory/new-aduser?view=windowsserver2022-ps)。

```
New-ADUser -Name "jane.doe" -Enabled $true -AccountPassword (Read-Host -AsSecureString 'Password')
```

------

# 使用 Amazon EC2 实例删除用户账户
<a name="ms_ad_manage_users_groups_delete_user"></a>

 您可以使用以下步骤删除已加入您的 AWS 托管 Microsoft AD 的 Amazon EC2 实例的用户。

**注意**  
 在您完成此过程之前，您必须安装 Active Directory 管理工具。有关更多信息，请参阅[安装 Active Directory 管理工具](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_install_ad_tools.html)。

**删除用户**

1. 打开“Active Directory 用户和计算机”工具。**Windows 管理工具**文件夹中有一个该工具的快捷方式。
**提示**  
您可以通过实例上的命令提示符运行以下命令，直接打开“Active Directory 用户和计算机”工具框。  

   ```
   %SystemRoot%\system32\dsa.msc
   ```

1. 在目录树中，选择包含要删除的用户的 OU（例如，Corp\$1Users）。

1. 选择要删除的用户。在**操作** 菜单上，选择**删除**。

1. 将出现一个对话框，提示您确认要删除该用户。选择**是**以删除该用户。

已删除的用户会暂时存储在 AD 回收站中。有关 AD 回收站的更多信息，请参阅 Microsoft 的 Ask the Directory Services Team 博客中的 [The AD Recycle Bin: Understanding, Implementing, Best Practices, and Troubleshooting](https://techcommunity.microsoft.com/t5/ask-the-directory-services-team/the-ad-recycle-bin-understanding-implementing-best-practices-and/ba-p/396944)。

# 重置 AWS 托管 Microsoft AD 用户密码
<a name="ms_ad_manage_users_groups_reset_password"></a>

用户必须遵守 Active Directory 中定义的密码策略。此机制有时会为忘记密码的用户提供极大便利，包括 Active Directory 管理员。发生这种情况时， Directory Service 如果用户居住在 AWS 托管 Microsoft AD 中，则可以快速重置用户的密码。

您必须以具有必要权限的用户身份登录才能重置密码。有关权限的更多信息，请参阅 [管理 Directory Service 资源访问权限概述](IAM_Auth_Access_Overview.md)。

您可以为 Active Directory 中的任何用户重置密码，但以下情况除外：
+ 您可以为基于您在创建 Active Directory 时使用的 NetBIOS 名称的组织单元（OU）内的任何用户重置密码。例如，如果您按照步骤操作，则您的 NetBIOS 名称将为 CORP，而您可以重置的用户密码将是 OU 的成 Corp/Users 员。[创建你的 Microsoft AWS 托管广告](ms_ad_getting_started.md#ms_ad_getting_started_create_directory)
+ 您无法为基于您在创建 Active Directory 时使用的 NetBIOS 名称的 OU 之外的任何用户重置密码。例如，您无法重置 **AWS 预留 OU**中的用户的密码。有关 AWS 托管 Microsoft AD 的 OU 结构的更多信息，请参阅[用你的 AWS 托管 Microsoft AD 创建了什么](ms_ad_getting_started_what_gets_created.md)。

有关在 AWS Managed Microsoft AD 中重置密码时如何应用密码策略的更多信息，请参阅[密码策略的应用方式](ms_ad_password_policies.md#how_password_policies_applied)。

**你可以使用以下任何工具来重置 AWS 托管 Microsoft AD 用户密码：**
+ AWS 管理控制台
+ AWS CLI
+ PowerShell

------
#### [ AWS 管理控制台 ]

使用以下步骤使用重置 AWS 托管 Microsoft AD 用户密码 AWS 管理控制台。

1. 在 [Directory Service 控制台](https://console.aws.amazon.com/directoryservicev2/)导航窗格的 **Active Directory** 下，选择**目录**，然后在列表中选择要重置用户密码的 Active Directory。

1. 在**目录详细信息**页面上，选择**操作**，然后选择**重置密码**。

1. 在**重置用户密码**对话框中，在**用户名**中键入需要更改密码的用户的用户名。

1. 在**新密码**和**确认密码**中键入密码，然后选择**重置密码**。

------
#### [ AWS CLI ]

使用以下步骤使用重置 AWS 托管 Microsoft AD 用户密码 AWS CLI。

1. 要安装 AWS CLI，请参阅[安装或更新最新版本的 AWS CLI](https://docs.aws.amazon.com//cli/latest/userguide/getting-started-install.html)。

1. 打开 AWS CLI.

1. 键入以下命令，将目录 ID、用户名 **jane.doe** 和密码 **P@ssw0rd** 替换为您的 Active Directory 目录 ID 和所需的凭证。有关更多信息 [reset-user-password](https://docs.aws.amazon.com/cli/latest/reference/ds/reset-user-password.html)，请参阅《*AWS CLI 命令参考*》中的。

```
aws ds reset-user-password --directory-id d-1234567890 --user-name "jane.doe" --new-password "P@ssw0rd"
```

------
#### [ PowerShell ]

使用以下步骤使用重置 AWS 托管 Microsoft AD 用户密码PowerShell。

1. 以 Active Directory 管理员身份，连接到已加入 Active Directory 域的实例。

1. 打开 PowerShell。

1. 键入以下命令，将用户名 **jane.doe**、目录 ID 和密码 **P@ssw0rd** 替换为您的 Active Directory 目录 ID 和所需的凭证。有关更多信息，请参见[重置-DSUser 密码 Cmdlet](https://docs.aws.amazon.com/powershell/latest/reference/items/Reset-DSUserPassword.html)。

```
Reset-DSUserPassword -UserName "jane.doe" -DirectoryId d-1234567890 -NewPassword "P@ssw0rd"
```

------

# 创建 AWS 托管微软 AD 组
<a name="ms_ad_manage_users_groups_create_group"></a>

你可以在 Microsoft AWS 托管广告中创建群组。使用以下步骤创建包含已加入您的 AWS 托管 Microsoft AD 目录的 Amazon EC2 实例的安全组。在创建安全组之前，您需要完成[安装 Active Directory 管理工具](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_install_ad_tools.html)中的过程。

------
#### [ Active Directory Administration Tools ]

使用以下过程使用活动目录 AWS 管理工具创建托管 Microsoft AD 组。

**创建组**

1. 连接到安装了 Active Directory 管理工具的实例。

1. 打开“Active Directory 用户和计算机”工具。**管理工具**文件夹中有一个该工具的快捷方式。
**提示**  
您可以通过实例上的命令提示符运行以下命令，直接打开“Active Directory 用户和计算机”工具框。  

   ```
   %SystemRoot%\system32\dsa.msc
   ```

1. 在目录树中，在目录的 NetBIOS 名称 OU 下选择要存储组的 OU（例如 Corp\$1Users）。有关中目录使用的 OU 结构的更多信息 AWS，请参阅[用你的 AWS 托管 Microsoft AD 创建了什么](ms_ad_getting_started_what_gets_created.md)。  
![\[Active Directory 用户和计算机工具显示示例 OU 结构。\]](http://docs.aws.amazon.com/zh_cn/directoryservice/latest/admin-guide/images/create-security-groups-OU.png)

1. 在 **Action** 菜单上，单击 **New**，然后单击 **Group** 打开新组向导。

1. 在组名称中键入**组名称**，选择满足您需求**组范围**，然后为**组类型**选择**安全**。有关 Active Directory 组范围和安全组的更多信息，请参阅 Microsoft Windows Server 文档中的 [Active Directory 安全组](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/manage/understand-security-groups)。

1. 单击**确定**。新安全组会出现在**用户**文件夹中。

------
#### [ PowerShell ]

您可以使用 PowerShell 命令创建组。有关更多信息，请参阅 Windows 服务器 2022 PowerShell 文档ADGroup中的[新增](https://learn.microsoft.com/en-us/powershell/module/activedirectory/new-adgroup?view=windowsserver2022-ps)内容。

------

# 将 AWS 托管 Microsoft AD 用户添加到群组
<a name="ms_ad_manage_users_groups_add_user_to_group"></a>

你可以将 AWS 托管的 Microsoft AD 用户添加到群组中。使用以下步骤将用户添加到安全组中，该组的亚马逊 EC2 实例已加入您的 AWS 托管 Microsoft AD 目录。

------
#### [ Active Directory Administration Tools ]

**将用户添加到组**

1. 连接到安装了 Active Directory 管理工具的实例。

1. 打开“Active Directory 用户和计算机”工具。**管理工具**文件夹中有一个该工具的快捷方式。
**提示**  
您可以通过实例上的命令提示符运行以下命令，直接打开“Active Directory 用户和计算机”工具框。  

   ```
   %SystemRoot%\system32\dsa.msc
   ```

1. 在目录树中，选择存储组的目录 NetBIOS 名称 OU 下的 OU，然后选择要添加用户为成员的组。  
![\[Active Directory 用户和计算机工具显示示例 OU 结构。\]](http://docs.aws.amazon.com/zh_cn/directoryservice/latest/admin-guide/images/create-security-groups-OU.png)

1. 在**操作**菜单上，单击**属性**打开组的属性对话框。

1. 选择**成员**选项卡并单击**添加**。

1. 在**输入要选择的对象名称**中，键入要添加的用户名，然后单击**确定**。该名称将显示在**成员**列表中。再次单击 **OK** 更新组成员资格。

1. 通过在**用户**文件夹中选择用户，然后单击**操作**菜单中的**属性**打开属性对话框，验证该用户现在是否是组的成员。选择**成员**选项卡。您应该可以在用户所属的组列表中看到组的名称。

------