本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 使用 AWS 管理控制台、 AWS CLI或， AWS 管理托管的 Microsoft AD 用户和群组 AWS Tools for PowerShell
<a name="ms_ad_manage_users_groups_procedures"></a>

你可以使用 AWS 管理控制台 AWS CLI、或 AWS Tools for PowerShell 来 AWS 管理你的托管 Microsoft AD 用户和群组[AWS Directory 服务数据](ms_ad_getting_started_directory_service_data.md)。 AWS Directory Service Data CLI 使用`ds-data`命名空间。有关更多信息 AWS CLI，请参阅[入门 AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html)。有关的更多信息 AWS Tools for PowerShell，请参阅[《AWS Tools for PowerShell 用户指南》](https://docs.aws.amazon.com//powershell/latest/userguide/pstools-welcome.html)。

有关创建、查看、更新和删除 AWS 托管的 Microsoft AD 用户和群组的更多信息，请参阅以下过程。

**Topics**
+ [启用或禁用用户和群组管理或 AWS Directory Service Data](ms_ad_users_groups_mgmt_enable_disable.md)
+ [创建微软 AD AWS 托管用户](ms_ad_create_user.md)
+ [查看和更新 AWS 托管的 Microsoft AD 用户](ms_ad_view_update_user.md)
+ [删除微软 AD AWS 托管用户](ms_ad_delete_user.md)
+ [禁用微软 AD AWS 托管用户](ms_ad_disable_user.md)
+ [重置和启用 AWS 托管 Microsoft AD 用户的密码](ms_ad_reset_user_pswd.md)
+ [创建 AWS 托管微软 AD 组](ms_ad_create_group.md)
+ [查看和更新 AWS 托管 Microsoft AD 组的详细信息](ms_ad_view_update_group.md)
+ [删除 AWS 托管的微软 AD 组](ms_ad_delete_group.md)
+ [向群组添加和移除 AWS 托管 Microsoft AD 成员以及向群组添加和移除群组](ms_ad_add_remove_user_group.md)
+ [将 AWS 托管的 Microsoft AD 组成员资格复制到 AWS 管理控制台](copy_group_membership.md)

# 启用或禁用用户和群组管理或 AWS Directory Service Data
<a name="ms_ad_users_groups_mgmt_enable_disable"></a>

要使用用户和群组管理或 AWS Directory Service Data，必须将其启用。启用后，您可以通过 AWS 管理控制台 AWS CLI、或管理用户和群组 AWS Tools for PowerShell。

**重要**  
 您只能从主目录中 AWS 区域 为目录启用此功能。有关更多信息，请参阅[主区域与其他区域](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/multi-region-global-primary-additional.html)。
 有关支持 AWS Directory Service Data 的区域列表，请参阅[支持 Dire AWS 区域 ctory Service 数据](regions.md#regions_directory_service_data)。
 AWS Directory Service 数据的访问控制与亚马逊 WorkSpaces、Amazon Quick 和亚马逊 AWS 服务 等的访问控制不同 WorkMail。有关更多信息，请参阅 [AWS 使用目录服务数据进行应用程序授权](ad_manage_apps_services_authorization.md#ad_manage_apps_services_authorization_ADSD)。

## 启用 AWS “目录服务数据”
<a name="ms_ad_user_group_mgmt_enable"></a>

使用以下步骤为带有、或的现有 AWS 托管 Microsoft AD 启用用户和组管理或 AWS 目录服务数据 AWS Tools for PowerShell。 AWS 管理控制台 AWS CLI

------
#### [ AWS 管理控制台 ]

您可以使用 AWS 管理控制台启用用户和组管理。

**启用用户和组管理**

1. 打开 Directory Service 控制台，网址为[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/)。

1. 在**目录详细信息**页面上，要启用用户和组管理，请选择**启用**。

1. 在**启用用户和组管理**对话框中，选择**启用**。

------
#### [ AWS CLI ]

 下面介绍如何格式化启用 Di AWS rectory Service Data CLI 的请求。您必须在请求中包含目录 ID 号。

**注意**  
启用 AWS Directory Service Data CLI 命令使用`aws ds`。

**启用 AWS Directory Service 数据 CLI**
+  打开并运行以下命令 AWS CLI，将目录 ID 替换为你的 AWS 托管 Microsoft AD 目录 ID：

```
aws ds enable-directory-data-access --directory-id d-1234567890
```

------
#### [ AWS Tools for PowerShell ]

**使用以下工具启用 Directory Service 数据 PowerShell**
+  打开并运行以下命令PowerShell，将目录 ID 替换为你的 AWS 托管 Microsoft AD 目录 ID：

```
Enable-DSDirectoryDataAccess -DirectoryId d-1234567890
```

------

## 禁用 AWS “目录服务数据”
<a name="ms_ad_user_group_mgmt_disable"></a>

使用以下步骤禁用带有、或的现有 AWS 托管 Microsoft AD 的用户和组管理或 AWS 目录服务数据 AWS Tools for PowerShell。 AWS 管理控制台 AWS CLI

------
#### [ AWS 管理控制台 ]

您可以使用 AWS 管理控制台禁用用户和组管理。

**禁用用户和组管理**

1. 打开 Directory Service 控制台，网址为[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/)。

1. 在**目录详细信息**页面上，要禁用用户和组管理，请选择**禁用**。

1. 在**禁用用户和组管理**对话框中，选择**禁用**。

------
#### [ AWS CLI ]

 下面介绍如何格式化禁用 Di AWS rectory Service Data CLI 的请求。您必须在请求中包含目录 ID 号。

**注意**  
禁用 AWS Directory Service Data CLI 命令使用`aws ds`。

**禁用 AWS Directory Service 数据 CLI**
+  打开并运行以下命令 AWS CLI，将目录 ID 替换为你的 AWS 托管 Microsoft AD 目录 ID：

```
aws ds disable-directory-data-access --directory-id d-1234567890
```

------
#### [ AWS Tools for PowerShell ]

**使用以下工具禁用 Directory Service 数据 PowerShell**
+  打开并运行以下命令PowerShell，将目录 ID 替换为你的 AWS 托管 Microsoft AD 目录 ID：

```
Disable-DSDirectoryDataAccess -DirectoryId d-123456789
```

------

# 创建微软 AD AWS 托管用户
<a name="ms_ad_create_user"></a>

使用以下步骤创建新的 AWS 托管 Microsoft AD 用户，该用户在 AWS 管理控制台 AWS CLI、或中使用用户和组管理或 AWS 目录服务数据 AWS Tools for PowerShell。

**在开始任一过程之前，您需要完成以下操作：**
+ 要使用用户和组管理或 AWS Directory Service Data CLI，必须将其启用。有关更多信息，请参阅[启用用户和组管理或 Directory Service Data](ms_ad_users_groups_mgmt_enable_disable.md)。
+  您只能从主目录中 AWS 区域 为目录启用此功能。有关更多信息，请参阅[主区域与其他区域](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/multi-region-global-primary-additional.html)。
+ 您需要必要的 IAM 权限才能使用 AWS Directory Service 数据。有关更多信息，请参阅 [Directory Service API 权限：操作、资源和条件参考](UsingWithDS_IAM_ResourcePermissions.md)。要开始向您的用户和工作负载授予权限，您可以使用 AWS 托管策略，例如[AWS 托管策略：AWSDirectoryServiceDataFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDirectoryServiceDataFullAccess)或[AWS 托管策略：AWSDirectoryServiceDataReadOnlyAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDirectoryServiceDataReadOnlyAccess)。有关更多信息，请参阅 [IAM 安全最佳实践](https://docs.aws.amazon.com//IAM/latest/UserGuide/best-practices.html#bp-use-aws-defined-policies)。

------
#### [ AWS 管理控制台 ]

 你可以在中创建一个新的 AWS 托管 Microsoft AD 用户帐户 AWS 管理控制台。创建新的用户账户时，您需要指定新用户的详细信息，并确定是将新用户添加到组还是将其他用户的组成员资格复制到新用户中。

有关更多信息，请参阅[AWS “目录服务数据” 属性](ad_data_attributes.md)和[组类型和组范围](ad_group_type_and_scope.md)。

**使用创建 AWS 托管 Microsoft AD 用户 AWS 管理控制台**

1. 打开 Directory Service 控制台，网址为[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/)。

1.  在导航窗格中，选择 **Active Directory**，然后选择**目录**。您将被定向到 “**目录**” 屏幕，您可以在其中查看您的目录列表 AWS 区域。

1.  选择一个目录。系统会将您定向到**目录详细信息**屏幕。

1.  在**目录详细信息**页面的**用户**部分下，选择**创建用户账户**。

1. 将打开**指定用户详细信息**页面。在**所需信息**部分下，输入用户登录名和密码。用户登录名必须符合以下条件：
   + 必须是唯一的登录名称
   + 最长可为 20 个字符
   + 只能包含字母数字字符
   + \$1\$1@\$1\$1%^&\$1\$1-\$1=`\$1\$1()\$1\$1[]:;"'<>,.?/
   + 密码必须符合您的密码策略要求。有关更多信息，请 AWS 咨询您的管理员。
**警告**  
在创建用户后，将无法更改用户登录名。

   1. *（可选）*在**主要信息**部分下，您可以输入用户的名字和姓氏。您也可以输入用户的显示名称和描述。

   1. *（可选）*在**联系方式**部分下，您可以输入用户的电子邮件地址和电话号码。

   1. *（可选）*在**工作相关信息**部分下，您可以输入用户的部门、经理、办公室和公司。

   1. *（可选）*在**地址**部分下，您可以输入用户的地址。

   1. *（可选）*在**账户设置**部分下，您可以输入用户的备注、首选语言和服务主体名称。

      有关用户属性的更多信息，请参阅[AWS “目录服务数据” 属性](ad_data_attributes.md)和 [Microsoft文档](https://learn.microsoft.com/en-us/windows/win32/ad/user-object-attributes)。

1. 提供用户账户详细信息后，选择**下一步**。

1. 在**将用户添加到组*（可选）***页面上，您可以将用户添加到新组或现有组中。您也可以将现有用户的组成员资格复制到新用户中。如果您不想将用户添加到组，请选择**下一步**。继续执行此过程的步骤 12。

1. *（可选）*要创建新群组，请参阅[创建 AWS 托管的 Microsoft AD 群组](ms_ad_create_group.md)。

1. *（可选）*要将新用户添加到现有组，请执行以下操作：

   1. 在**组**部分中，选择要将新用户添加到的组。要查找组，请在搜索框中输入组名称。

1. *（可选）*要将现有用户的组成员资格复制到新用户，请执行以下操作：

   1. 选择**复制用户的组成员资格**选项卡。要查找您要复制其组成员资格的用户，请在**用户**部分下的搜索框中输入用户登录名。

   1. 在**选定组**部分中，选择新用户要加入的组。

1. 当准备好创建新用户账户时，选择**下一步**。

1. 在**查看和创建用户**页面中，查看您所做的所有选择。选择**创建用户**。

1. 配置用户后，您将进入新用户的详细信息页面。将出现一个横幅，指示已成功创建用户。

**重要**  
 如果您收到一条错误消息，告知您无权创建用户，请按照错误消息中的说明请求管理员授予您访问权限。

------
#### [ AWS CLI ]

 以下内容介绍如何使用 AWS 目录服务数据 CLI 格式化创建新的 AWS 托管 Microsoft AD 用户帐户的请求。您必须在请求中包含您的目录 ID 号和用户登录名。您还可以包含其他属性，例如带 `DisplayName` 属性的用户显示名称。有关更多信息，请参阅[AWS “目录服务数据” 属性](ad_data_attributes.md)和[组类型和组范围](ad_group_type_and_scope.md)。

**使用创建 AWS 托管微软 AD 用户 AWS CLI**
+  打开并运行以下命令 AWS CLI，将目录 ID、用户名和显示名称替换为您 AWS 的 Microsoft AD Directory ID 和所需的凭据：

```
aws ds-data create-user \
  --directory-id d-1234567890 \
  --sam-account-name "jane.doe" \
  --other-attributes '{
    "DisplayName" : { "S": "jane.doe"},
    "Department":{ "S": "Legal"}
    }‘
```

------
#### [ AWS Tools for PowerShell ]

 下面介绍如何格式化使用创建新的 AWS 托管 Microsoft AD 用户帐户的请求 AWS Tools for PowerShell。您必须在请求中包含您的目录 ID 号和用户登录名。您还可以包含其他属性，例如带 `DisplayName` 属性的用户显示名称。有关更多信息，请参阅[AWS “目录服务数据” 属性](ad_data_attributes.md)和[组类型和组范围](ad_group_type_and_scope.md)。

**使用以下工具创建 AWS 托管 Microsoft AD 用户 PowerShell**
+  打开并运行以下命令PowerShell，将目录 ID、用户名和显示名称替换为您 AWS 的 Microsoft AD Directory ID 和所需的凭据：

```
New-DSDUser `
    -DirectoryId d-1234567890 `
    -SAMAccountName "jane.doe" `
    -OtherAttribute @{
        DisplayName = [Amazon.DirectoryServiceData.Model.AttributeValue]@{S = 'jane.doe' }
        Department = [Amazon.DirectoryServiceData.Model.AttributeValue]@{S = 'Legal' }
    }
```

------

# 查看和更新 AWS 托管的 Microsoft AD 用户
<a name="ms_ad_view_update_user"></a>

使用以下步骤查看或更新 Microsoft AD AWS 托管用户的详细信息，包括用户和群组管理或 AWS 目录服务数据（位于 AWS 管理控制台、 AWS CLI、或） AWS Tools for PowerShell。

## 查看 AWS 托管 Microsoft AD 用户的详细信息
<a name="ms_ad_view_user"></a>

您可以在 AWS 管理控制台 或中查看用户的详细信息 AWS CLI。用户的详细信息包括个人资料和账户信息以及组成员资格。

**在开始任一过程之前，您需要完成以下操作：**
+ [创建你的 Microsoft AWS 托管广告](ms_ad_getting_started.md#ms_ad_getting_started_create_directory).
+ 要使用用户和组管理或 AWS Directory Service Data CLI，必须将其启用。有关更多信息，请参阅[启用用户和组管理或 Directory Service Data](ms_ad_users_groups_mgmt_enable_disable.md)。
+  您只能从主目录中 AWS 区域 为目录启用此功能。有关更多信息，请参阅[主区域与其他区域](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/multi-region-global-primary-additional.html)。
+ 您需要必要的 IAM 权限才能使用 AWS Directory Service 数据。有关更多信息，请参阅 [Directory Service API 权限：操作、资源和条件参考](UsingWithDS_IAM_ResourcePermissions.md)。要开始向您的用户和工作负载授予权限，您可以使用 AWS 托管策略，例如[AWS 托管策略：AWSDirectoryServiceDataFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDirectoryServiceDataFullAccess)或[AWS 托管策略：AWSDirectoryServiceDataReadOnlyAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDirectoryServiceDataReadOnlyAccess)。有关更多信息，请参阅 [IAM 安全最佳实践](https://docs.aws.amazon.com//IAM/latest/UserGuide/best-practices.html#bp-use-aws-defined-policies)。
+ [创建微软 AD AWS 托管用户](ms_ad_create_user.md).

------
#### [ AWS 管理控制台 ]

 你可以在中查看 AWS 托管 Microsoft AD 用户的详细信息 AWS 管理控制台。

**要查看 AWS 托管 Microsoft AD 用户的详细信息和账户详情，请使用 AWS 管理控制台**

1. 打开 Directory Service 控制台，网址为[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/)。

1.  在导航窗格中，选择 **Active Directory**，然后选择**目录**。您将被定向到 “**目录**” 屏幕，您可以在其中查看您的目录列表 AWS 区域。

1.  选择一个目录。系统会将您定向到**目录详细信息**屏幕。

1.  选择**用户**。该选项卡将显示您目录中用户的列表。

1.  选择一个用户。系统会将您定向到**用户详细信息**屏幕。**用户详细信息**屏幕显示以下信息：
   +  用户所属的组（组成员资格） 
   +  个人资料详细信息（例如用户登录名、名字、姓氏等主要信息） 
   +  账户设置（例如账户信息，如用户主体名称、服务主体名称、可分辨名称等） 
   + 账户状态

有关用户属性的更多信息，请参阅[AWS “目录服务数据” 属性](ad_data_attributes.md)和 [Microsoft文档](https://learn.microsoft.com/en-us/windows/win32/ad/user-object-attributes)。

------
#### [ AWS CLI ]

 使用 AWS CLI，您可以查看用户的详细信息，包括个人资料和帐户信息以及群组成员资格。

**要查看 AWS 托管 Microsoft AD 用户的个人资料和账户详情，请使用 AWS CLI**  
 以下内容介绍如何使用 AWS 目录服务数据 CLI 查看 AWS 托管 Microsoft AD 用户的详细信息。
+  要查看用户的详细信息，请打开并运行以下命令 AWS CLI，将目录 ID 和用户名替换为您的 AWS 托管 Microsoft AD 目录 ID 和用户名：

```
aws ds-data describe-user --directory-id d-1234567890 --sam-account-name "jane.doe"
```

**查看用户的组成员资格**  
 以下内容介绍如何使用 AWS 目录服务数据 CLI 查看 AWS 托管 Microsoft AD 用户的群组成员资格。
+  要查看用户的群组成员资格，请打开并运行以下命令 AWS CLI，将目录 ID 和用户名替换为你的 AWS 托管 Microsoft AD 目录 ID 和用户名：

```
aws ds-data list-groups-for-member --directory-id d-1234567890 --sam-account-name "jane.doe"
```

有关用户属性的更多信息，请参阅[AWS “目录服务数据” 属性](ad_data_attributes.md)和 [Microsoft文档](https://learn.microsoft.com/en-us/windows/win32/ad/user-object-attributes)。

------
#### [ AWS Tools for PowerShell ]

 使用 Tools for PowerShell，您可以查看用户的详细信息，包括个人资料和帐户信息以及群组成员资格。

**使用以下工具查看 AWS 托管 Microsoft AD 用户的个人资料和帐户详细信息 PowerShell**  
 以下内容介绍如何使用工具查看 AWS 托管 Microsoft AD 用户的详细信息 PowerShell。
+ 要查看用户的详细信息，请打开并运行以下命令PowerShell，将目录 ID 和用户名替换为您的 AWS 托管 Microsoft AD 目录 ID 和用户名：

```
Get-DSDUser -DirectoryId d-1234567890 -SAMAccountName "jane.doe"
```

**查看用户的组成员资格**  
 下面介绍如何使用工具查看 AWS 托管 Microsoft AD 用户的群组成员资格 PowerShell。
+ 要查看用户的群组成员资格，请打开并运行以下命令PowerShell，将目录 ID 和用户名替换为你的 AWS 托管 Microsoft AD 目录 ID 和用户名：

```
(Get-DSDGroupsForMemberList -DirectoryId d-1234567890 -SAMAccountName "jane.doe").Groups
```

有关用户属性的更多信息，请参阅[AWS “目录服务数据” 属性](ad_data_attributes.md)和 [Microsoft文档](https://learn.microsoft.com/en-us/windows/win32/ad/user-object-attributes)。

------

## 更新微软 AD AWS 托管用户的详细信息
<a name="ms_ad_update_user"></a>

使用以下步骤使用用户和群组 AWS 管理或 AWS 目录服务数据更新托管 Microsoft AD 用户，其中任一栏位于 AWS 管理控制台、 AWS CLI、 AWS Tools for PowerShell。

**注意**  
最小属性长度为 1。

**在开始任一过程之前，您需要完成以下操作：**
+ [创建你的 Microsoft AWS 托管广告](ms_ad_getting_started.md#ms_ad_getting_started_create_directory).
+ 要使用用户和组管理或 AWS Directory Service Data CLI，必须将其启用。有关更多信息，请参阅[启用用户和组管理或 Directory Service Data](ms_ad_users_groups_mgmt_enable_disable.md)。
+  您只能从主目录中 AWS 区域 为目录启用此功能。有关更多信息，请参阅[主区域与其他区域](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/multi-region-global-primary-additional.html)。
+ 您需要必要的 IAM 权限才能使用 AWS Directory Service 数据。有关更多信息，请参阅 [Directory Service API 权限：操作、资源和条件参考](UsingWithDS_IAM_ResourcePermissions.md)。要开始向您的用户和工作负载授予权限，您可以使用 AWS 托管策略，例如[AWS 托管策略：AWSDirectoryServiceDataFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDirectoryServiceDataFullAccess)或[AWS 托管策略：AWSDirectoryServiceDataReadOnlyAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDirectoryServiceDataReadOnlyAccess)。有关更多信息，请参阅 [IAM 安全最佳实践](https://docs.aws.amazon.com//IAM/latest/UserGuide/best-practices.html#bp-use-aws-defined-policies)。
+ [创建微软 AD AWS 托管用户](ms_ad_create_user.md).

------
#### [ AWS 管理控制台 ]

 你可以在中更新 Microsoft AD AWS 托管用户的详细信息 AWS 管理控制台。

**要更新 AWS 托管 Microsoft AD 用户的详细信息，请使用 AWS 管理控制台**

1. 打开 Directory Service 控制台，网址为[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/)。

1.  在导航窗格中，选择 **Active Directory**，然后选择**目录**。您将被定向到 “**目录**” 屏幕，您可以在其中查看您的目录列表 AWS 区域。

1.  选择一个目录。系统会将您定向到**目录详细信息**屏幕。

1.  选择**用户**。该选项卡将显示您目录中用户的列表。

1.  选择一个用户。要查找用户，请在**用户**部分下的搜索框中输入用户登录名。系统会将您定向到**用户详细信息**屏幕。

1.  要编辑用户所属的组，请选择**组**。在此选项卡中，您可以将用户添加到组，或从组中删除用户。有关更多信息，请参阅[将 Microsoft AD AWS 托管成员添加到群组](ms_ad_add_remove_user_group.md)。

1. 要编辑用户的个人资料详细信息，请选择**个人资料**，然后选择**编辑**。或者选择**操作**，然后选择**编辑用户**。进行更新并查看更新，然后选择**保存**。
**警告**  
在创建用户后，将无法更改用户登录名。

1.  要编辑用户的账户设置，请选择**用户账户设置**。或者选择**操作**，然后选择**编辑用户**。进行更新并查看更新，然后选择**保存**。

有关用户属性的更多信息，请参阅[AWS “目录服务数据” 属性](ad_data_attributes.md)和 [Microsoft文档](https://learn.microsoft.com/en-us/windows/win32/ad/user-object-attributes)。

------
#### [ AWS CLI ]

 以下内容介绍如何使用 AWS 目录服务数据 CLI 格式化更新 AWS 托管 Microsoft AD 用户详细信息的请求。

 当您更新用户账户时，必须包含您的目录 ID 号和用户登录名。您还必须在请求中包含更新类型和要更新的属性，例如带 `Surname` 参数的用户姓氏。有关更多信息，请参阅 [AWS Directory Service Data 属性](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_data_attributes.html)。
+  要更新用户的详细信息，请打开并运行以下命令 AWS CLI，将目录 ID、用户名、用户类型和属性值替换为您 AWS 的 Microsoft AD Directory ID、用户名以及所需的用户类型和属性值：

```
aws ds-data update-user --directory-id d-1234567890 --sam-account-name "jane.doe" --update-type "REPLACE" --surname "Doe"
```

**注意**  
使用 [update-user](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ds-data/update-user.html) CLI 命令移除用户属性时，必须指定要移除的属性和确切值。要确定用户属性，可使用 [describe-user](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ds-data/describe-user.html) 命令。

有关用户属性的更多信息，请参阅[AWS “目录服务数据” 属性](ad_data_attributes.md)和 [Microsoft文档](https://learn.microsoft.com/en-us/windows/win32/ad/user-object-attributes)。

------
#### [ AWS Tools for PowerShell ]

 以下内容介绍如何格式化更新 AWS 托管 Microsoft AD 用户详细信息的请求 AWS Tools for PowerShell。

 当您更新用户账户时，必须包含您的目录 ID 号和用户登录名。您还必须在请求中包含更新类型和要更新的属性，例如带 `Surname` 参数的用户姓氏。有关更多信息，请参阅 [AWS Directory Service Data 属性](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_data_attributes.html)。
+  要更新用户的详细信息，请打开并运行以下命令PowerShell，将目录 ID、用户名、用户类型和属性值替换为您 AWS 的 Microsoft AD Directory ID、用户名以及所需的用户类型和属性值：

```
Update-DSDUser -DirectoryId d-1234567890 -SAMAccountName "jane.doe" -UpdateType "REPLACE" -Surname "Doe"
```

有关用户属性的更多信息，请参阅[AWS “目录服务数据” 属性](ad_data_attributes.md)和 [Microsoft文档](https://learn.microsoft.com/en-us/windows/win32/ad/user-object-attributes)。

------

# 删除微软 AD AWS 托管用户
<a name="ms_ad_delete_user"></a>

使用以下步骤删除具有用户和组 AWS 管理功能或 AWS 目录服务数据的 Microsoft AD 托管 Microsoft AD 用户 AWS 管理控制台， AWS CLI、、 AWS Tools for PowerShell。

**重要**  
当您从目录中删除用户账户时，有关该用户的所有信息都将被删除，包括该用户访问其账户和应用程序的所有权限。

**在开始任一过程之前，您需要完成以下操作：**
+ [创建你的 Microsoft AWS 托管广告](ms_ad_getting_started.md#ms_ad_getting_started_create_directory).
+ 要使用用户和组管理或 AWS Directory Service Data CLI，必须将其启用。有关更多信息，请参阅[启用用户和组管理或 Directory Service Data](ms_ad_users_groups_mgmt_enable_disable.md)。
+  您只能从主目录中 AWS 区域 为目录启用此功能。有关更多信息，请参阅[主区域与其他区域](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/multi-region-global-primary-additional.html)。
+ 您需要必要的 IAM 权限才能使用 AWS Directory Service 数据。有关更多信息，请参阅 [Directory Service API 权限：操作、资源和条件参考](UsingWithDS_IAM_ResourcePermissions.md)。要开始向您的用户和工作负载授予权限，您可以使用 AWS 托管策略，例如[AWS 托管策略：AWSDirectoryServiceDataFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDirectoryServiceDataFullAccess)或[AWS 托管策略：AWSDirectoryServiceDataReadOnlyAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDirectoryServiceDataReadOnlyAccess)。有关更多信息，请参阅 [IAM 安全最佳实践](https://docs.aws.amazon.com//IAM/latest/UserGuide/best-practices.html#bp-use-aws-defined-policies)。
+ [创建微软 AD AWS 托管用户](ms_ad_create_user.md).

------
#### [ AWS 管理控制台 ]

 你可以在中删除 AWS 托管的 Microsoft AD 用户帐户 AWS 管理控制台。

**使用删除 AWS 托管的 Microsoft AD 用户帐户 AWS 管理控制台**

1. 打开 Directory Service 控制台，网址为[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/)。

1.  在导航窗格中，选择 **Active Directory**，然后选择**目录**。您将被定向到 “**目录**” 屏幕，您可以在其中查看您的目录列表 AWS 区域。

1.  选择一个目录。系统会将您定向到**目录详细信息**屏幕。

1.  选择**用户**。该选项卡将显示您目录中用户的列表。

1.  选择要删除其账户的用户。要查找用户，请在**用户**部分下的搜索框中输入用户登录名。系统会将您定向到**用户详细信息**屏幕。

1.  选择**操作**。然后选择**删除用户账户**，然后再次选择**删除用户账户**。

------
#### [ AWS CLI ]

 以下内容介绍如何使用 AWS 目录服务数据 CLI 格式化删除 AWS 托管 Microsoft AD 用户帐户的请求。

**使用删除 AWS 托管的 Microsoft AD 用户帐户 AWS CLI**
+  打开并运行以下命令 AWS CLI，将目录 ID 和用户名替换为你的 AWS 托管 Microsoft AD 目录 ID 和用户名：

```
aws ds-data delete-user --directory-id d-1234567890 --sam-account-name "jane.doe"
```

------
#### [ AWS Tools for PowerShell ]

 下面介绍如何格式化删除 AWS 托管 Microsoft AD 用户帐户的请求 AWS Tools for PowerShell。

**使用删除 AWS 托管的 Microsoft AD 用户帐户 AWS Tools for PowerShell**
+  打开并运行以下命令PowerShell，将目录 ID 和用户名替换为您的 AWS 托管 Microsoft AD 目录 ID 和用户名：

```
Remove-DSDUser -DirectoryId d-1234567890 -SAMAccountName "jane.doe"
```

------

# 禁用微软 AD AWS 托管用户
<a name="ms_ad_disable_user"></a>

使用以下步骤禁用具有用户和组 AWS 管理功能或 AWS 目录服务数据的托管 Microsoft AD 用户 AWS 管理控制台、 AWS CLI、或 AWS Tools for PowerShell。

**重要**  
当您禁用用户账户时，该用户将失去访问其账户和应用程序的所有权限。

**在开始任一过程之前，您需要完成以下操作：**
+ [创建你的 Microsoft AWS 托管广告](ms_ad_getting_started.md#ms_ad_getting_started_create_directory).
+ 要使用用户和组管理或 AWS Directory Service Data CLI，必须将其启用。有关更多信息，请参阅[启用用户和组管理或 Directory Service Data](ms_ad_users_groups_mgmt_enable_disable.md)。
+  您只能从主目录中 AWS 区域 为目录启用此功能。有关更多信息，请参阅[主区域与其他区域](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/multi-region-global-primary-additional.html)。
+ 您需要必要的 IAM 权限才能使用 AWS Directory Service 数据。有关更多信息，请参阅 [Directory Service API 权限：操作、资源和条件参考](UsingWithDS_IAM_ResourcePermissions.md)。要开始向您的用户和工作负载授予权限，您可以使用 AWS 托管策略，例如[AWS 托管策略：AWSDirectoryServiceDataFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDirectoryServiceDataFullAccess)或[AWS 托管策略：AWSDirectoryServiceDataReadOnlyAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDirectoryServiceDataReadOnlyAccess)。有关更多信息，请参阅 [IAM 安全最佳实践](https://docs.aws.amazon.com//IAM/latest/UserGuide/best-practices.html#bp-use-aws-defined-policies)。
+ [创建微软 AD AWS 托管用户](ms_ad_create_user.md).

------
#### [ AWS 管理控制台 ]

 你可以在中禁用 AWS 托管 Microsoft AD 用户帐户 AWS 管理控制台。

**使用禁用 Microsoft AD AWS 托管用户帐户 AWS 管理控制台**

1. 打开 Directory Service 控制台，网址为[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/)。

1.  在导航窗格中，选择 **Active Directory**，然后选择**目录**。您将被定向到 “**目录**” 屏幕，您可以在其中查看您的目录列表 AWS 区域。

1.  选择一个目录。系统会将您定向到**目录详细信息**屏幕。

1.  选择**用户**。该选项卡将显示您目录中用户的列表。

1.  选择要禁用其账户的用户。系统会将您定向到**用户详细信息**屏幕。

1.  选择**操作**。然后选择**禁用用户账户**，然后再次选择**禁用用户账户**。

**注意**  
 要重新启用用户账户，必须重置用户的密码。有关更多信息，请参阅 [重置和启用 AWS 托管 Microsoft AD 用户的密码](ms_ad_reset_user_pswd.md)。

------
#### [ AWS CLI ]

 以下内容介绍如何使用 Di AWS rectory Service Data CLI 格式化禁用 Microsoft AD AWS 托管用户帐户的请求。

**使用禁用 Microsoft AD AWS 托管用户帐户 AWS CLI**
+  打开并运行以下命令 AWS CLI，将目录 ID 和用户名替换为你的 AWS 托管 Microsoft AD 目录 ID 和用户名：

```
aws ds-data disable-user --directory-id d-1234567890 --sam-account-name "jane.doe"
```

**注意**  
 要重新启用用户账户，必须重置用户的密码。有关更多信息，请参阅 [重置和启用 AWS 托管 Microsoft AD 用户的密码](ms_ad_reset_user_pswd.md)。

------
#### [ AWS Tools for PowerShell ]

 下面介绍如何格式化禁用 Microsoft AD AWS 托管用户帐户的 AWS Tools for PowerShell请求。

**使用禁用 AWS 托管 Microsoft AD 用户帐户 AWS Tools for PowerShell**
+  打开PowerShell;，然后运行以下命令，将目录 ID 和用户名替换为你的 AWS 托管 Microsoft AD 目录 ID 和用户名：

```
Disable-DSDUser -DirectoryId d-1234567890 -SAMAccountName "jane.doe"
```

**注意**  
 要重新启用用户账户，必须重置用户的密码。有关更多信息，请参阅 [重置和启用 AWS 托管 Microsoft AD 用户的密码](ms_ad_reset_user_pswd.md)。

------

# 重置和启用 AWS 托管 Microsoft AD 用户的密码
<a name="ms_ad_reset_user_pswd"></a>

使用以下步骤重置 Microsoft AD AWS 托管用户的密码，以启用其帐户的用户和群组管理或 AWS 目录服务数据，其中任一栏位于 AWS 管理控制台、 AWS CLI、中 AWS Tools for PowerShell。

**在开始任一过程之前，您需要完成以下操作：**
+ [创建你的 Microsoft AWS 托管广告](ms_ad_getting_started.md#ms_ad_getting_started_create_directory).
+ 要使用用户和组管理或 AWS Directory Service Data CLI，必须将其启用。有关更多信息，请参阅[启用用户和组管理或 Directory Service Data](ms_ad_users_groups_mgmt_enable_disable.md)。
+  您只能从主目录中 AWS 区域 为目录启用此功能。有关更多信息，请参阅[主区域与其他区域](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/multi-region-global-primary-additional.html)。
+ 您需要必要的 IAM 权限才能使用 AWS Directory Service 数据。有关更多信息，请参阅 [Directory Service API 权限：操作、资源和条件参考](UsingWithDS_IAM_ResourcePermissions.md)。要开始向您的用户和工作负载授予权限，您可以使用 AWS 托管策略，例如[AWS 托管策略：AWSDirectoryServiceDataFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDirectoryServiceDataFullAccess)或[AWS 托管策略：AWSDirectoryServiceDataReadOnlyAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDirectoryServiceDataReadOnlyAccess)。有关更多信息，请参阅 [IAM 安全最佳实践](https://docs.aws.amazon.com//IAM/latest/UserGuide/best-practices.html#bp-use-aws-defined-policies)。
+ [创建微软 AD AWS 托管用户](ms_ad_create_user.md).

------
#### [ AWS 管理控制台 ]

 你可以重置 AWS 托管 Microsoft AD 用户的密码以在中启用他们的帐户 AWS 管理控制台。您可以在**目录**屏幕或**目录详细信息**屏幕中执行此任务。

**目录**

1. 打开 Directory Service 控制台，网址为[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/)。

1.  在导航窗格中，选择 **Active Directory**，然后选择**目录**。您将被定向到 “**目录**” 屏幕，您可以在其中查看您的目录列表 AWS 区域。

1.  选择**操作**，然后选择**重置用户密码并启用账户**。

   1.  在**用户登录名**下，输入要重置密码的用户的登录名。

   1.  在**新密码**下，输入用户的新密码。

   1.  在**确认密码**下，再次输入用户的新密码。

1.  确认用户的新密码后，选择**重置密码并启用账户**。

**目录详细信息**

1. 打开 Directory Service 控制台，网址为[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/)。

1.  在导航窗格中，选择 **Active Directory**，然后选择**目录**。您将被定向到 “**目录**” 屏幕，您可以在其中查看您的目录列表 AWS 区域。

1.  选择一个目录。系统会将您定向到**目录详细信息**屏幕。

1.  选择**用户**。该选项卡将显示您目录中用户的列表。

1.  选择要重置密码的用户。

1.  选择**操作**，然后选择**重置用户密码并启用账户**。

   1.  在**新密码**下，输入用户的新密码。

   1.  在**确认密码**下，再次输入用户的新密码。

1.  确认用户的新密码后，选择**重置密码并启用账户**。

------
#### [ AWS CLI ]

 您可以使用 AWS 目录服务数据 CLI 重置 AWS 托管 Microsoft AD 用户的密码，以启用其帐户。

**注意**  
重置用户的密码命令使用 `aws ds`。

**使用重置 AWS 托管 Microsoft AD 用户的密码 AWS CLI**
+  要重置用户的密码，请打开并运行以下命令 AWS CLI，将目录 ID、用户名和密码替换为您的 AWS 托管 Microsoft AD 目录 ID、用户名和所需凭据：

```
aws ds reset-user-password --directory-id d-1234567890 --user-name "jane.doe" --new-password "your-password"
```

------
#### [ AWS Tools for PowerShell ]

 你可以重置 AWS 托管 Microsoft AD 用户的密码以启用他们的帐户 AWS Tools for PowerShell。

**使用重置 AWS 托管 Microsoft AD 用户的密码 AWS Tools for PowerShell**
+  要重置用户的密码，请打开 PowerShell，然后运行以下命令，将目录 ID、用户名和密码替换为您的 AWS Managed Microsoft AD Directory ID、用户名和所需的凭证：

```
Reset-DSUserPassword -DirectoryId d-1234567890 -UserName "jane.doe" -NewPassword "your-password"
```

------

# 创建 AWS 托管微软 AD 组
<a name="ms_ad_create_group"></a>

使用以下步骤创建具有用户和组 AWS 管理或 AWS 目录服务数据的托管 Microsoft AD 组，或者在 AWS 管理控制台 AWS CLI、或中 AWS Tools for PowerShell。

**在开始任一过程之前，您需要完成以下操作：**
+ [创建你的 Microsoft AWS 托管广告](ms_ad_getting_started.md#ms_ad_getting_started_create_directory).
+ 要使用用户和组管理或 AWS Directory Service Data CLI，必须将其启用。有关更多信息，请参阅[启用用户和组管理或 Directory Service Data](ms_ad_users_groups_mgmt_enable_disable.md)。
+  您只能从主目录中 AWS 区域 为目录启用此功能。有关更多信息，请参阅[主区域与其他区域](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/multi-region-global-primary-additional.html)。
+ 您需要必要的 IAM 权限才能使用 AWS Directory Service 数据。有关更多信息，请参阅 [Directory Service API 权限：操作、资源和条件参考](UsingWithDS_IAM_ResourcePermissions.md)。要开始向您的用户和工作负载授予权限，您可以使用 AWS 托管策略，例如[AWS 托管策略：AWSDirectoryServiceDataFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDirectoryServiceDataFullAccess)或[AWS 托管策略：AWSDirectoryServiceDataReadOnlyAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDirectoryServiceDataReadOnlyAccess)。有关更多信息，请参阅 [IAM 安全最佳实践](https://docs.aws.amazon.com//IAM/latest/UserGuide/best-practices.html#bp-use-aws-defined-policies)。

------
#### [ AWS 管理控制台 ]

 你可以在中创建新的 AWS 托管 Microsoft AD 组 AWS 管理控制台。创建新组时，您需要指定组的详细信息并确定[组的类型和范围](ad_group_type_and_scope.md)。您还可以选择是将用户和子组添加到您的新组，还是将您的新组添加到父组。

**使用创建 AWS 托管 Microsoft AD 组 AWS 管理控制台**

1. 打开 Directory Service 控制台，网址为[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/)。

1.  在导航窗格中，选择 **Active Directory**，然后选择**目录**。您将被定向到 “**目录**” 屏幕，您可以在其中查看您的目录列表 AWS 区域。

1.  选择一个目录。系统会将您定向到**目录详细信息**屏幕。

1.  选择**组**。该选项卡将显示您的 AWS 区域中组的列表。

1.  选择**创建群组**。系统会将您定向到完成新组创建的过程。

1. **指定组详细信息**页面将打开。输入**组名称**。组名称必须符合以下条件：
   + 组名称必须唯一
   + 最长可为 64 个字符
   + 只能包含字母数字字符
   + \$1\$1@\$1\$1%^&\$1\$1-\$1=`\$1\$1()\$1\$1[]:;"'<>,.?/
**警告**  
组创建后，将无法更改组名称。

1. 从以下选项中选择**组类型**：
   + **安全性**
   + **分配**
     + 要了解更多信息，请参阅[Group type](ad_group_type_and_scope.md#ad_group_type)。

1. 从以下选项中选择**组范围**：
   + **本地域**
   + **通用**
   + **Global**
     + 您可以打开**比较范围**，以显示组范围之间的相似之处和不同之处的图表。要了解更多信息，请参阅[Group scope](ad_group_type_and_scope.md#ad_group_scope)。

1. 提供主要信息和联系方式后，选择**下一步**。

1. **将用户添加到组*（可选）***页面将打开，您可以将用户添加到新组中。要查找要添加到组的用户，请在**用户**部分下的搜索框中输入用户登录名。选择要添加到组的用户，然后选择**下一步**。

1. **添加子组*（可选）***页面将打开，您可以将现有组添加到新组中。现有组将成为新创建组的子组。当您将子组添加到您的组时，您的组将成为父组，而子组将继承您的组的所有角色和权限。要查找要添加的组，请在**添加子组**部分下的搜索框中输入组名称。选择要添加到新组的子组，然后选择**下一步**。

1. **添加父组*（可选）***页面将打开，您可以将新组添加到现有组中。新组将成为现有组的父组。当将您的组添加到父组时，您的组将成为子组，并继承父组的所有角色和权限。要查找要添加的组，请在**添加父组**部分下的搜索框中输入组名称。选择要添加到新组的父组，然后选择**下一步**。

1. 在**查看和创建组**页面上，查看您的选择，然后选择**创建组**。

------
#### [ AWS CLI ]

 下面介绍如何使用 AWS 目录服务数据 CLI 格式化创建 AWS 托管 Microsoft AD 组的请求。当您创建新组时，必须包含您的目录 ID 号和组名称。您还可以包含其他属性，例如带 `DisplayName` 属性的组显示名称。有关更多信息，请参阅[AWS “目录服务数据” 属性](ad_data_attributes.md)和[组类型和组范围](ad_group_type_and_scope.md)。

**使用创建 AWS 托管 Microsoft AD 组 AWS CLI**
+  打开并运行以下命令 AWS CLI，将目录 ID、用户名和群组显示名称替换为您 AWS 的 Microsoft AD Directory ID、用户名和所需的群组显示名称：

```
aws ds-data create-group \
    --directory-id d-1234567890 \
    --sam-account-name "your-group-name" \
    --other-attributes '{
        "DisplayName": { "S": "myGroupDisplayName"}
        "Description":{ "S": "myGroupDescription"}
    }'
```

------
#### [ AWS Tools for PowerShell ]

 下面介绍如何格式化使用创建 AWS 托管 Microsoft AD 组的请求 AWS Tools for PowerShell。当您创建新组时，必须包含您的目录 ID 号和组名称。您还可以包含其他属性，例如带 `DisplayName` 属性的组显示名称。有关更多信息，请参阅[AWS “目录服务数据” 属性](ad_data_attributes.md)和[组类型和组范围](ad_group_type_and_scope.md)。

**使用创建 AWS 托管 Microsoft AD 组 AWS Tools for PowerShell**
+  打开并运行以下命令PowerShell，将目录 ID、用户名和群组显示名称替换为您 AWS 的 Microsoft AD Directory ID、用户名和所需的群组显示名称：

```
New-DSDGroup `
    -DirectoryId d-1234567890 `
    -SAMAccountName "your-group-name" `
    -OtherAttribute @{
        DisplayName = [Amazon.DirectoryServiceData.Model.AttributeValue]@{S = 'myGroupDisplayName' }
        Description = [Amazon.DirectoryServiceData.Model.AttributeValue]@{S = 'myGroupDescription' }
    }
```

------

# 查看和更新 AWS 托管 Microsoft AD 组的详细信息
<a name="ms_ad_view_update_group"></a>

使用以下步骤查看或更新 AWS 托管 Microsoft AD 组的详细信息，包括用户和群组管理或 AWS 目录服务数据（位于 AWS 管理控制台、 AWS CLI、或） AWS Tools for PowerShell。

## 查看 AWS 托管 Microsoft AD 组的详细信息
<a name="ms_ad_view_group"></a>

您可以在 AWS 管理控制台、 AWS CLI或中查看或更新群组的详细信息 AWS Tools for PowerShell。

**在开始任一过程之前，您需要完成以下操作：**
+ [创建你的 Microsoft AWS 托管广告](ms_ad_getting_started.md#ms_ad_getting_started_create_directory).
+ 要使用用户和组管理或 AWS Directory Service Data CLI，必须将其启用。有关更多信息，请参阅[启用用户和组管理或 Directory Service Data](ms_ad_users_groups_mgmt_enable_disable.md)。
+  您只能从主目录中 AWS 区域 为目录启用此功能。有关更多信息，请参阅[主区域与其他区域](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/multi-region-global-primary-additional.html)。
+ 您需要必要的 IAM 权限才能使用 AWS Directory Service 数据。有关更多信息，请参阅 [Directory Service API 权限：操作、资源和条件参考](UsingWithDS_IAM_ResourcePermissions.md)。要开始向您的用户和工作负载授予权限，您可以使用 AWS 托管策略，例如[AWS 托管策略：AWSDirectoryServiceDataFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDirectoryServiceDataFullAccess)或[AWS 托管策略：AWSDirectoryServiceDataReadOnlyAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDirectoryServiceDataReadOnlyAccess)。有关更多信息，请参阅 [IAM 安全最佳实践](https://docs.aws.amazon.com//IAM/latest/UserGuide/best-practices.html#bp-use-aws-defined-policies)。
+ [创建 AWS 托管微软 AD 组](ms_ad_create_group.md)。

------
#### [ AWS 管理控制台 ]

 你可以在中查看 AWS 托管 Microsoft AD 组的详细信息 AWS 管理控制台。

**要查看 AWS 托管 Microsoft AD 组的详细信息，请使用 AWS 管理控制台**

1. 打开 Directory Service 控制台，网址为[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/)。

1. 在导航窗格中，选择 **Active Directory**，然后选择**目录**。您将被定向到 “**目录**” 屏幕，您可以在其中查看您的目录列表 AWS 区域。

1.  选择一个目录。系统会将您定向到**目录详细信息**屏幕。

1.  选择**组**。该选项卡将显示您的 AWS 区域中组的列表。

1.  选择一个组。要查找组，请在**组**部分下的搜索框中输入组名称。系统会将您定向到**组详细信息**屏幕。**组详细信息**屏幕显示以下信息：
   +  **成员**选项卡列出了属于您的组的用户和子组。
   +  **父组**选项卡列出了您的组所属的父组。
   +  **属性**选项卡列出了组属性（例如组名称、组显示名称等主要信息）。

------
#### [ AWS CLI ]

 你可以使用 Di AWS rectory Service Data CLI 查看 AWS 托管 Microsoft AD 组的详细信息。

**要查看 AWS 托管 Microsoft AD 组的详细信息，请使用 AWS CLI**  
 下文介绍如何使用查看 AWS 托管 Microsoft AD 组的详细信息 AWS CLI。
+  要查看群组的详细信息，请打开并运行以下命令 AWS CLI，将目录 ID 和群组名称替换为您 AWS 的 Microsoft AD Directory ID 和群组名称：

```
aws ds-data describe-group --directory-id d-1234567890 --sam-account-name "your-group-name"
```

**要查看 AWS 托管 Microsoft AD 群组的群组成员，请使用 AWS CLI**  
 以下内容介绍如何使用查看 AWS 托管 Microsoft AD 群组的成员 AWS CLI。
+  要查看群组的详细信息，请打开并运行以下命令 AWS CLI，将目录 ID 和群组名称替换为您 AWS 的 Microsoft AD Directory ID 和群组名称：

```
aws ds-data list-group-members --directory-id d-1234567890 --sam-account-name "your-group-name"
```

------
#### [ AWS Tools for PowerShell ]

 你可以使用查看 AWS 托管 Microsoft AD 组的详细信息 AWS Tools for PowerShell。

**要查看 AWS 托管的 Microsoft AD 群组的详细信息，请使用 AWS Tools for PowerShell**  
 以下内容介绍如何使用工具查看 AWS 托管 Microsoft AD 组的详细信息 PowerShell。
+ 要查看组的详细信息，请打开 PowerShell，然后运行以下命令，将目录 ID 和组名称替换为您的 AWS Managed Microsoft AD Directory ID 和组名称：

```
Get-DSDGroup -DirectoryId d-1234567890 -SAMAccountName "your-group-name"
```

**使用以下方式查看 AWS 托管 Microsoft AD 群组的群组成员 AWS Tools for PowerShell**  
 以下内容介绍如何使用工具查看 AWS 托管 Microsoft AD 群组的成员 PowerShell。
+  要查看组的详细信息，请打开 PowerShell，然后运行以下命令，将目录 ID 和组名称替换为您的 AWS Managed Microsoft AD Directory ID 和组名称：

```
(Get-DSDGroupMemberList -DirectoryId d-1234567890 -SAMAccountName "your-group-name").Members
```

------

## 更新 AWS 托管 Microsoft AD 组的详细信息
<a name="ms_ad_update_group"></a>

使用以下步骤使用、或中的用户和组 AWS 管理或 AWS 目录服务数据来更新托管 Microsoft AD 组的 AWS 管理控制台详细信息 AWS Tools for PowerShell。 AWS CLI

**在开始任一过程之前，您需要完成以下操作：**
+ [创建你的 Microsoft AWS 托管广告](ms_ad_getting_started.md#ms_ad_getting_started_create_directory).
+ 要使用用户和组管理或 AWS Directory Service Data CLI，必须将其启用。有关更多信息，请参阅[启用用户和组管理或 Directory Service Data](ms_ad_users_groups_mgmt_enable_disable.md)。
+  您只能从主目录中 AWS 区域 为目录启用此功能。有关更多信息，请参阅[主区域与其他区域](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/multi-region-global-primary-additional.html)。
+ 您需要必要的 IAM 权限才能使用 AWS Directory Service 数据。有关更多信息，请参阅 [Directory Service API 权限：操作、资源和条件参考](UsingWithDS_IAM_ResourcePermissions.md)。要开始向您的用户和工作负载授予权限，您可以使用 AWS 托管策略，例如[AWS 托管策略：AWSDirectoryServiceDataFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDirectoryServiceDataFullAccess)或[AWS 托管策略：AWSDirectoryServiceDataReadOnlyAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDirectoryServiceDataReadOnlyAccess)。有关更多信息，请参阅 [IAM 安全最佳实践](https://docs.aws.amazon.com//IAM/latest/UserGuide/best-practices.html#bp-use-aws-defined-policies)。
+ [创建 AWS 托管微软 AD 组](ms_ad_create_group.md)。

------
#### [ AWS 管理控制台 ]

您可以使用 AWS 管理控制台更新组详细信息。有关更多信息，请参阅 [AWS “目录服务数据” 属性](ad_data_attributes.md) 和 [组类型和组范围](ad_group_type_and_scope.md)

**要更新 AWS 托管 Microsoft AD 组的详细信息，请使用 AWS 管理控制台**

1. 打开 Directory Service 控制台，网址为[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/)。

1.  在导航窗格中，选择 **Active Directory**，然后选择**目录**。您将被定向到 “**目录**” 屏幕，您可以在其中查看您的目录列表 AWS 区域。

1.  选择一个目录。系统会将您定向到**目录详细信息**屏幕。

1.  选择**组**。该选项卡将显示您的 AWS 区域中组的列表。

1.  选择一个组。要查找组，请在**组**部分下的搜索框中输入组名称。系统会将您定向到**组详细信息**屏幕。

1.  要编辑属于您的组的用户和子组，请选择**成员**。在此选项卡中，您可以将用户和子组添加到您的组中，或从中删除用户和子组。有关更多信息，请参阅 [在组中添加和删除成员以及在组中添加和删除组](ms_ad_add_remove_user_group.md)。

1.  要编辑您的组所属的父组，请选择**父组**。在此选项卡中，您可以将您的组添加到父组，或从中删除您的组。有关更多信息，请参阅 [在组中添加和删除成员以及在组中添加和删除组](ms_ad_add_remove_user_group.md)。

1.  要编辑您的组属性，请选择**属性**，然后选择**编辑**。或者选择**操作**，然后选择**编辑组**。进行更新并查看更新，然后选择**保存**。

------
#### [ AWS CLI ]

 以下内容介绍如何使用 AWS 目录服务数据 CLI 格式化更新 AWS 托管 Microsoft AD 组详细信息的请求。

 当您更新组时，必须包含您的目录 ID 号和组名称。您还必须在请求中包含更新类型和要更新的属性，例如带 `EmailAddress` 参数的组电子邮件地址。有关更多信息，请参阅[AWS “目录服务数据” 属性](ad_data_attributes.md)和[组类型和组范围](ad_group_type_and_scope.md)。
+ 

**要更新 AWS 托管 Microsoft AD 组的详细信息，请使用 AWS CLI**

   要更新群组的详细信息，请打开并运行以下命令 AWS CLI，将目录 ID、群组名称、更新类型和属性替换为您 AWS 的 Microsoft AD Directory ID、群组名称以及所需的更新类型和属性：

```
aws ds-data update-group --directory-id d-1234567890 --sam-account-name "your-group-name" --update-type "REPLACE" --group-scope "global"
```

------
#### [ AWS Tools for PowerShell ]

 下面介绍如何格式化更新 AWS 托管 Microsoft AD 组详细信息的请求 AWS Tools for PowerShell。

 当您更新组时，必须包含您的目录 ID 号和组名称。您还必须在请求中包含更新类型和要更新的属性，例如带 `EmailAddress` 参数的组电子邮件地址。有关更多信息，请参阅[AWS “目录服务数据” 属性](ad_data_attributes.md)和[组类型和组范围](ad_group_type_and_scope.md)。
+ 

**要更新 AWS 托管 Microsoft AD 组的详细信息，请使用 AWS Tools for PowerShell**

   要更新群组的详细信息，请打开并运行以下命令PowerShell，将目录 ID、群组名称、更新类型和属性替换为您 AWS 的 Microsoft AD Directory ID、群组名称以及所需的更新类型和属性：

```
Update-DSDGroup -DirectoryId d-1234567890 -SAMAccountName "your-group-name" -UpdateType "REPLACE" -GroupScope "global"
```

------

# 删除 AWS 托管的微软 AD 组
<a name="ms_ad_delete_group"></a>

使用以下步骤删除、、或中包含用户和组管理或 AWS 目录服务数据的 AWS 托管 Microsoft AD 组 AWS Tools for PowerShell。 AWS 管理控制台 AWS CLI

**重要**  
删除组时，有关该组的所有信息都将被删除，包括组成员继承的所有权限。

**在开始任一过程之前，您需要完成以下操作：**
+ [创建你的 Microsoft AWS 托管广告](ms_ad_getting_started.md#ms_ad_getting_started_create_directory).
+ 要使用用户和组管理或 AWS Directory Service Data CLI，必须将其启用。有关更多信息，请参阅[启用用户和组管理或 Directory Service Data](ms_ad_users_groups_mgmt_enable_disable.md)。
+  您只能从主目录中 AWS 区域 为目录启用此功能。有关更多信息，请参阅[主区域与其他区域](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/multi-region-global-primary-additional.html)。
+ 您需要必要的 IAM 权限才能使用 AWS Directory Service 数据。有关更多信息，请参阅 [Directory Service API 权限：操作、资源和条件参考](UsingWithDS_IAM_ResourcePermissions.md)。要开始向您的用户和工作负载授予权限，您可以使用 AWS 托管策略，例如[AWS 托管策略：AWSDirectoryServiceDataFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDirectoryServiceDataFullAccess)或[AWS 托管策略：AWSDirectoryServiceDataReadOnlyAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDirectoryServiceDataReadOnlyAccess)。有关更多信息，请参阅 [IAM 安全最佳实践](https://docs.aws.amazon.com//IAM/latest/UserGuide/best-practices.html#bp-use-aws-defined-policies)。
+ [创建 AWS 托管微软 AD 组](ms_ad_create_group.md)。

------
#### [ AWS 管理控制台 ]

 你可以在中删除 AWS 托管的 Microsoft AD 组 AWS 管理控制台。

**使用以下命令删除 AWS 托管的 Microsoft AD 组 AWS 管理控制台**

1. 打开 Directory Service 控制台，网址为[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/)。

1.  在导航窗格中，选择 **Active Directory**，然后选择**目录**。您将被定向到 “**目录**” 屏幕，您可以在其中查看您的目录列表 AWS 区域。

1.  选择一个目录。系统会将您定向到**目录详细信息**屏幕。

1.  选择**组**。该选项卡将显示您的 AWS 区域中组的列表。

1.  选择您要删除的组。要查找组，请在**组**部分下的搜索框中输入组名称。系统会将您定向到**组详细信息**屏幕。

1.  选择**删除组**。将出现一个对话框，您可以在其中选择**确认**以删除该组。

------
#### [ AWS CLI ]

 下面介绍如何使用 AWS 目录服务数据 CLI 格式化删除 AWS 托管 Microsoft AD 组的请求。

**使用以下命令删除 AWS 托管的 Microsoft AD 组 AWS CLI**
+  打开并运行以下命令 AWS CLI，将目录 ID 和群组名称替换为你的 AWS 托管 Microsoft AD 目录 ID 和群组名称：

```
aws ds-data delete-group --directory-id d-1234567890 --sam-account-name "your-group-name"
```

------
#### [ AWS Tools for PowerShell ]

 下文介绍如何格式化删除 AWS 托管 Microsoft AD 组的请求 AWS Tools for PowerShell。

**使用以下命令删除 AWS 托管的 Microsoft AD 组 AWS Tools for PowerShell**
+  打开并运行以下命令PowerShell，将目录 ID 和组名称替换为您 AWS 的 Microsoft AD Directory ID 和群组名称：

```
Remove-DSDGroup -DirectoryId d-1234567890 -SAMAccountName "your-group-name"
```

------

# 向群组添加和移除 AWS 托管 Microsoft AD 成员以及向群组添加和移除群组
<a name="ms_ad_add_remove_user_group"></a>

 使用 [AWS Directory Service Data API](https://docs.aws.amazon.com/directoryservicedata/latest/DirectoryServiceDataAPIReference/Welcome.html)，成员可以是用户、组或计算机。用户表示可以访问您目录的人员或实体。组允许您一次向多个用户授予和拒绝权限。

使用以下过程将 AWS 受管 Microsoft AD 用户添加到群组或从群组中移除或移除到另一个群组中 AWS 管理控制台、 AWS CLI、或中包含用户和群组管理或 AWS Directory Service 数据的群组 AWS Tools for PowerShell。

## 将用户添加到组
<a name="add_user_to_group"></a>

使用以下步骤将 Microsoft AD AWS 托管用户添加到包含用户和组管理或 AWS 目录服务数据的群组中 AWS 管理控制台、 AWS CLI、或中 AWS Tools for PowerShell。

**重要**  
 当你将 Microsoft AD AWS 托管用户添加到群组时，该用户将继承分配给该群组的角色和权限。这些角色和权限是用户的组成员资格的一部分。

**在开始任一过程之前，您需要完成以下操作：**
+ [创建你的 Microsoft AWS 托管广告](ms_ad_getting_started.md#ms_ad_getting_started_create_directory).
+ 要使用用户和组管理或 AWS Directory Service Data CLI，必须将其启用。有关更多信息，请参阅[启用用户和组管理或 Directory Service Data](ms_ad_users_groups_mgmt_enable_disable.md)。
+  您只能从主目录中 AWS 区域 为目录启用此功能。有关更多信息，请参阅[主区域与其他区域](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/multi-region-global-primary-additional.html)。
+ 您需要必要的 IAM 权限才能使用 AWS Directory Service 数据。有关更多信息，请参阅 [Directory Service API 权限：操作、资源和条件参考](UsingWithDS_IAM_ResourcePermissions.md)。要开始向您的用户和工作负载授予权限，您可以使用 AWS 托管策略，例如[AWS 托管策略：AWSDirectoryServiceDataFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDirectoryServiceDataFullAccess)或[AWS 托管策略：AWSDirectoryServiceDataReadOnlyAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDirectoryServiceDataReadOnlyAccess)。有关更多信息，请参阅 [IAM 安全最佳实践](https://docs.aws.amazon.com//IAM/latest/UserGuide/best-practices.html#bp-use-aws-defined-policies)。
+ [创建微软 AD AWS 托管用户](ms_ad_create_user.md)。
+ [创建 AWS 托管微软 AD 组](ms_ad_create_group.md)。

------
#### [ AWS 管理控制台 ]

你可以使用将 AWS 托管 Microsoft AD 成员添加到群组中 AWS 管理控制台。

**要将 AWS 托管的 Microsoft AD 用户添加到群组中 AWS 管理控制台**

1. 打开 Directory Service 控制台，网址为[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/)。

1.  在导航窗格中，选择 **Active Directory**，然后选择**目录**。您将被定向到 “**目录**” 屏幕，您可以在其中查看您的目录列表 AWS 区域。

1.  选择一个目录。系统会将您定向到**目录详细信息**屏幕。

1.  选择**组**。要查找组，请在**组**部分下的搜索框中输入组名称。该选项卡显示您的群组列表 AWS 区域。

1.  选择一个组。系统会将您定向到**组详细信息**屏幕。

1.  选择**成员**。该选项卡将按组中的成员类型显示用户和子组列表。

1.  在**成员**选项卡下，选择**添加成员**。

1.  在**成员**下，选择要添加到组中的用户，然后选择**将成员添加到组**。要查找成员，请在**成员**部分下的搜索框中输入用户的登录名和组的名称。

------
#### [ AWS CLI ]

 下面介绍如何使用 AWS 目录服务数据 CLI 格式化将 AWS 托管 Microsoft AD 成员添加到群组的请求。

**要将 Microsoft AD AWS 托管用户添加到群组中，请使用 AWS CLI**
+  要将用户添加到群组，请打开并运行以下命令，将目录 ID AWS CLI、群组和成员名称替换为您的 AWS 托管 Microsoft AD Directory ID 以及群组和成员名称：

```
aws ds-data add-group-member --directory-id d-1234567890 --group-name "your-group-name" --member-name "jane.doe"
```

------
#### [ AWS Tools for PowerShell ]

 下面介绍如何格式化将 AWS 托管 Microsoft AD 成员添加到群组的请求 AWS Tools for PowerShell。

**使用以下方法将 AWS 托管 Microsoft AD 用户添加到群组 AWS Tools for PowerShell**
+  要将用户添加到组，请打开 PowerShell，然后运行以下命令，将目录 ID、组和成员名称替换为您的 AWS Managed Microsoft AD Directory ID 以及组和成员名称：

```
Add-DSDGroupMember -DirectoryId d-1234567890 -GroupName "your-group-name" -MemberName "jane.doe"
```

------

## 从组中删除用户
<a name="remove_user_from_group"></a>

 使用 [AWS Directory Service Data API](https://docs.aws.amazon.com/directoryservicedata/latest/DirectoryServiceDataAPIReference/Welcome.html)，成员可以是用户、组或计算机。用户表示可以访问您目录的人员或实体。组允许您一次向多个用户授予和拒绝权限。

使用以下步骤将 Microsoft AD AWS 托管用户移至包含用户和组管理或 AWS 目录服务数据的群组中 AWS 管理控制台、 AWS CLI、或 AWS Tools for PowerShell。

**重要**  
 当你从群组中移除 Microsoft AD AWS 托管用户时，该用户将无法访问分配给该群组的角色和权限。这些角色和权限是组成员资格的一部分。

**在开始任一过程之前，您需要完成以下操作：**
+ [创建你的 Microsoft AWS 托管广告](ms_ad_getting_started.md#ms_ad_getting_started_create_directory).
+ 要使用用户和组管理或 AWS Directory Service Data CLI，必须将其启用。有关更多信息，请参阅[启用用户和组管理或 Directory Service Data](ms_ad_users_groups_mgmt_enable_disable.md)。
+  您只能从主目录中 AWS 区域 为目录启用此功能。有关更多信息，请参阅[主区域与其他区域](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/multi-region-global-primary-additional.html)。
+ 您需要必要的 IAM 权限才能使用 AWS Directory Service 数据。有关更多信息，请参阅 [Directory Service API 权限：操作、资源和条件参考](UsingWithDS_IAM_ResourcePermissions.md)。要开始向您的用户和工作负载授予权限，您可以使用 AWS 托管策略，例如[AWS 托管策略：AWSDirectoryServiceDataFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDirectoryServiceDataFullAccess)或[AWS 托管策略：AWSDirectoryServiceDataReadOnlyAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDirectoryServiceDataReadOnlyAccess)。有关更多信息，请参阅 [IAM 安全最佳实践](https://docs.aws.amazon.com//IAM/latest/UserGuide/best-practices.html#bp-use-aws-defined-policies)。
+ [创建微软 AD AWS 托管用户](ms_ad_create_user.md)。
+ [创建 AWS 托管微软 AD 组](ms_ad_create_group.md)。

------
#### [ AWS 管理控制台 ]

你可以使用将 AWS 托管 Microsoft AD 成员从群组中移除 AWS 管理控制台。

**要将 AWS 托管 Microsoft AD 用户从群组中移除 AWS 管理控制台**

1. 打开 Directory Service 控制台，网址为[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/)。

1.  在导航窗格中，选择 **Active Directory**，然后选择**目录**。您将被定向到 “**目录**” 屏幕，您可以在其中查看您的目录列表 AWS 区域。

1.  选择一个目录。系统会将您定向到**目录详细信息**屏幕。

1.  选择**组**。该选项卡将显示您的 AWS 区域中组的列表。

1.  选择一个组。要查找组，请在**组**部分下的搜索框中输入组名称。系统会将您定向到**组详细信息**屏幕。

1.  选择**成员**。该选项卡将按组中的成员类型显示用户和子组列表。

1.  选择要从组中删除的用户，然后选择**删除**。要查找用户，请在**成员**部分下的搜索框中输入用户登录名。

1.  确认要从组中删除用户，然后再次选择**删除**。

------
#### [ AWS CLI ]

 下面介绍如何使用 AWS 目录服务数据 CLI 格式化从群组中移除 Microsoft AD AWS 托管成员的请求。

**使用以下命令从群组中移除 Microsoft AD AWS 托管用户 AWS CLI**
+  要将用户移至群组，请打开并运行以下命令，将目录 ID AWS CLI、群组和成员名称替换为您的 AWS 托管 Microsoft AD Directory ID、群组和成员名称：

```
aws ds-data remove-group-member --directory-id d-1234567890 --group-name "your-group-name" --member-name "jane.doe"
```

------
#### [ AWS Tools for PowerShell ]

 下面介绍如何格式化从群组中移除 AWS 托管 Microsoft AD 成员的请求 AWS Tools for PowerShell。

**使用以下命令从群组中移除 Microsoft AD AWS 托管用户 AWS Tools for PowerShell**
+  要从组中删除用户，请打开 PowerShell，然后运行以下命令，将目录 ID、组和成员名称替换为您的 AWS Managed Microsoft AD Directory ID、组和成员名称：

```
Remove-DSDGroupMember -DirectoryId d-1234567890 -GroupName "your-group-name" -MemberName "jane.doe"
```

------

## 将组添加到组
<a name="add_group_to_group"></a>

当你将 AWS 托管 Microsoft AD 群组添加到另一个群组时，这些群组将共享父子关系。子组将可以访问分配给该父组的角色和权限。您可以将子组添加到您的组，也可以将您的组添加到父组。

**在开始任一过程之前，您需要完成以下操作：**
+ [创建你的 Microsoft AWS 托管广告](ms_ad_getting_started.md#ms_ad_getting_started_create_directory).
+ 要使用用户和组管理或 AWS Directory Service Data CLI，必须将其启用。有关更多信息，请参阅[启用用户和组管理或 Directory Service Data](ms_ad_users_groups_mgmt_enable_disable.md)。
+  您只能从主目录中 AWS 区域 为目录启用此功能。有关更多信息，请参阅[主区域与其他区域](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/multi-region-global-primary-additional.html)。
+ 您需要必要的 IAM 权限才能使用 AWS Directory Service 数据。有关更多信息，请参阅 [Directory Service API 权限：操作、资源和条件参考](UsingWithDS_IAM_ResourcePermissions.md)。要开始向您的用户和工作负载授予权限，您可以使用 AWS 托管策略，例如[AWS 托管策略：AWSDirectoryServiceDataFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDirectoryServiceDataFullAccess)或[AWS 托管策略：AWSDirectoryServiceDataReadOnlyAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDirectoryServiceDataReadOnlyAccess)。有关更多信息，请参阅 [IAM 安全最佳实践](https://docs.aws.amazon.com//IAM/latest/UserGuide/best-practices.html#bp-use-aws-defined-policies)。
+ [创建 AWS 托管微软 AD 组](ms_ad_create_group.md)。

------
#### [ AWS 管理控制台 ]

你可以使用将 AWS 托管 Microsoft AD 组添加到群组中 AWS 管理控制台。

**要将子群组添加到您的群组中，请使用 AWS 管理控制台**

1. 打开 Directory Service 控制台，网址为[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/)。

1.  在导航窗格中，选择 **Active Directory**，然后选择**目录**。您将被定向到 “**目录**” 屏幕，您可以在其中查看您的目录列表 AWS 区域。

1.  选择一个目录。系统会将您定向到**目录详细信息**屏幕。

1.  选择**组**。该选项卡将显示您的 AWS 区域中组的列表。

1.  选择一个组。要查找组，请在**组**部分下的搜索框中输入组名称。系统会将您定向到**组详细信息**屏幕。

1.  选择**成员**。该选项卡将按组中的成员类型显示用户和子组列表。

1.  选择**添加成员**。

1.  在**成员**下，选择要添加到您的组的子组，然后选择**将成员添加到组**。

**要将父群组添加到群组中 AWS 管理控制台**

1. 打开 Directory Service 控制台，网址为[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/)。

1.  在导航窗格中，选择 **Active Directory**，然后选择**目录**。您将被定向到 “**目录**” 屏幕，您可以在其中查看您的目录列表 AWS 区域。

1.  选择一个目录。系统会将您定向到**目录详细信息**屏幕。

1.  选择**组**。该选项卡将显示您的 AWS 区域中组的列表。

1.  选择一个组。要查找组，请在**组**部分下的搜索框中输入组名称。系统会将您定向到**组详细信息**屏幕。

1.  选择**父组**。该选项卡将显示您的组所属组的列表。

1.  选择**添加父组**。

1.  在**组**下，选择要将您的组添加到的组，然后再次选择**添加父组**。

------
#### [ AWS CLI ]

 下面介绍如何使用 AWS 目录服务数据 CLI 格式化将 AWS 托管 Microsoft AD 组添加到群组的请求。

**要将子群组添加到您的群组中，请使用 AWS CLI**
+  要将子群组添加到父群组，请打开并运行以下命令，将目录 ID AWS CLI、群组和成员名称替换为您 AWS 的 Microsoft AD Directory ID、群组和成员名称：

```
aws ds-data add-group-member --directory-id d-1234567890 --group-name "parent-group-name" --member-name "child-group-name"
```

------
#### [ AWS Tools for PowerShell ]

 下面介绍如何格式化将 AWS 托管 Microsoft AD 组添加到群组的请求 AWS Tools for PowerShell。

**要将子群组添加到您的群组，请使用以下方法 AWS Tools for PowerShell**
+  要将子群组添加到父群组，请打开并运行以下命令，将目录 ID PowerShell、群组和成员名称替换为您 AWS 的 Microsoft AD Directory ID、群组和成员名称：

```
Add-DSDGroupMember -DirectoryId d-1234567890 -GroupName "parent-group-name" -MemberName "child-group-name"
```

------

## 从组中删除组
<a name="remove_group_from_group"></a>

 当你从另一个群组中移除 AWS 托管 Microsoft AD 群组时，这些群组将不再共享父子关系。子组将无法访问分配给该父组的角色和权限。您可以从您的组中删除子组，也可以从父组中删除您的组。

**在开始任一过程之前，您需要完成以下操作：**
+ [创建你的 Microsoft AWS 托管广告](ms_ad_getting_started.md#ms_ad_getting_started_create_directory).
+ 要使用用户和组管理或 AWS Directory Service Data CLI，必须将其启用。有关更多信息，请参阅[启用用户和组管理或 Directory Service Data](ms_ad_users_groups_mgmt_enable_disable.md)。
+  您只能从主目录中 AWS 区域 为目录启用此功能。有关更多信息，请参阅[主区域与其他区域](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/multi-region-global-primary-additional.html)。
+ 您需要必要的 IAM 权限才能使用 AWS Directory Service 数据。有关更多信息，请参阅 [Directory Service API 权限：操作、资源和条件参考](UsingWithDS_IAM_ResourcePermissions.md)。要开始向您的用户和工作负载授予权限，您可以使用 AWS 托管策略，例如[AWS 托管策略：AWSDirectoryServiceDataFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDirectoryServiceDataFullAccess)或[AWS 托管策略：AWSDirectoryServiceDataReadOnlyAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDirectoryServiceDataReadOnlyAccess)。有关更多信息，请参阅 [IAM 安全最佳实践](https://docs.aws.amazon.com//IAM/latest/UserGuide/best-practices.html#bp-use-aws-defined-policies)。
+ [创建 AWS 托管微软 AD 组](ms_ad_create_group.md)。

------
#### [ AWS 管理控制台 ]

 你可以使用将 AWS 托管 Microsoft AD 组移到群组中 AWS 管理控制台。

**要将子群组从您的群组中移除，请使用 AWS 管理控制台**

1. 打开 Directory Service 控制台，网址为[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/)。

1.  在导航窗格中，选择 **Active Directory**，然后选择**目录**。您将被定向到 “**目录**” 屏幕，您可以在其中查看您的目录列表 AWS 区域。

1.  选择一个目录。系统会将您定向到**目录详细信息**屏幕。

1.  选择**组**。该选项卡将显示您的 AWS 区域中组的列表。

1.  选择一个组。系统会将您定向到**组详细信息**屏幕。要查找组，请在**组**部分下的搜索框中输入组名称。

1.  选择**成员**。该选项卡将按组中的成员类型显示用户和子组列表。

1.  选择要从您的组中删除的子组，然后选择**删除**。

1.  确认要从您的组中删除的子组，然后再次选择**删除**。

**要将您的群组从父群组中移除 AWS 管理控制台**

1. 打开 Directory Service 控制台，网址为[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/)。

1.  在导航窗格中，选择 **Active Directory**，然后选择**目录**。您将被定向到 “**目录**” 屏幕，您可以在其中查看您的目录列表 AWS 区域。

1.  选择一个目录。系统会将您定向到**目录详细信息**屏幕。

1.  选择**组**。该选项卡将显示您的 AWS 区域中组的列表。

1.  选择一个组。系统会将您定向到**组详细信息**屏幕。要查找组，请在**组**部分下的搜索框中输入组名称。

1.  选择**父组**。该选项卡将显示您的组所属组的列表。

1.  选择要从中删除您的组的父组，然后选择**删除父组**。

1.  确认要从中删除您的组的父组，然后再次选择**删除父组**。

------
#### [ AWS CLI ]

下面介绍如何使用 AWS 目录服务数据 CLI 格式化将 AWS 托管 Microsoft AD 组移至群组的请求。
+ 

**使用以下命令将子组从父组中移除 AWS CLI**

   要从父群组中添加移除子群组，请打开并运行以下命令 AWS CLI，将目录 ID、群组和成员名称替换为您 AWS 的 Microsoft AD Directory ID、群组和成员名称：

```
aws ds-data remove-group-member --directory-id d-1234567890 --group-name "parent-group-name" --member-name "child-group-name"
```

------
#### [ AWS Tools for PowerShell ]

下面介绍如何格式化将 AWS 托管 Microsoft AD 组移至群组的请求 AWS Tools for PowerShell。
+ 

**使用以下命令从父组中移除子组 AWS Tools for PowerShell**

   要从父群组中添加移除子群组，请打开并运行以下命令PowerShell，将目录 ID、群组和成员名称替换为您 AWS 的 Microsoft AD Directory ID、群组和成员名称：

```
Remove-DSDGroupMember -DirectoryId d-1234567890 -GroupName "parent-group-name" -MemberName "child-group-name"
```

------

# 将 AWS 托管的 Microsoft AD 组成员资格复制到 AWS 管理控制台
<a name="copy_group_membership"></a>

 您可以在中将群组成员资格从一个 AWS 托管 Microsoft AD 用户复制到另一个用户。 AWS 管理控制台组成员资格是在将用户添加到组时其继承的角色和权限。

**在开始此过程之前，您需要完成以下操作：**
+ [创建你的 Microsoft AWS 托管广告](ms_ad_getting_started.md#ms_ad_getting_started_create_directory).
+ 要使用用户和组管理或 AWS Directory Service Data CLI，必须将其启用。有关更多信息，请参阅[启用用户和组管理或 Directory Service Data](ms_ad_users_groups_mgmt_enable_disable.md)。
+  您只能从主目录中 AWS 区域 为目录启用此功能。有关更多信息，请参阅[主区域与其他区域](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/multi-region-global-primary-additional.html)。
+ 您需要必要的 IAM 权限才能使用 AWS Directory Service 数据。有关更多信息，请参阅 [Directory Service API 权限：操作、资源和条件参考](UsingWithDS_IAM_ResourcePermissions.md)。要开始向您的用户和工作负载授予权限，您可以使用 AWS 托管策略，例如[AWS 托管策略：AWSDirectoryServiceDataFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDirectoryServiceDataFullAccess)或[AWS 托管策略：AWSDirectoryServiceDataReadOnlyAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDirectoryServiceDataReadOnlyAccess)。有关更多信息，请参阅 [IAM 安全最佳实践](https://docs.aws.amazon.com//IAM/latest/UserGuide/best-practices.html#bp-use-aws-defined-policies)。
+ [创建 AWS 托管微软 AD 组](ms_ad_create_group.md)。

**使用复制 AWS 托管 Microsoft AD 组成员资格 AWS 管理控制台**

1. 打开 Directory Service 控制台，网址为[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/)。

1.  在导航窗格中，选择 **Active Directory**，然后选择**目录**。系统会将您定向到**目录**屏幕，您可以在其中查看您的 AWS 区域中目录的列表。

1.  选择一个目录。系统会将您定向到**目录详细信息**屏幕。

1.  选择**组**。该选项卡将显示您的 AWS 区域中组的列表。

1. 选择要复制其账户的组成员资格的用户。要查找用户，请在**用户**部分下的搜索框中输入用户登录名。系统会将您定向到**用户详细信息**屏幕。

1.  选择**复制所有组成员资格**。系统会将您定向到指定要复制的组的过程。

   1.  对于**验证要复制的组**，在**要复制的组**下，选择包含要复制的角色和权限的组，然后选择**下一步**。

   1.  对于**选择目标账户**，在**账户类型**下，选择**现有用户账户**，将组成员资格复制到现有用户账户中。或者，选择**新建用户账户**以创建新用户，并将组成员资格复制到新用户账户中。要查找组，请在**选定组**部分下的搜索框中输入组名称。

      1. *（可选）*如果选择**现有用户账户**，请选择要将角色和权限复制到的目标账户，然后选择**下一步**。

      1. *（可选）*如果选择**新建用户账户**，请完成该过程，然后选择**下一步**。有关创建用户的信息，请参阅[创建用户](ms_ad_create_user.md)。

   1.  对于**查看和复制组成员资格**，请查看您的选择，然后选择**复制组成员资格**。