

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 將 AWS Managed Microsoft AD 成員新增至群組，並將群組新增至群組
<a name="ms_ad_add_remove_user_group"></a>

 使用 [AWS Directory Service Data API](https://docs.aws.amazon.com/directoryservicedata/latest/DirectoryServiceDataAPIReference/Welcome.html)，成員可以是使用者、群組或電腦。使用者代表可存取您目錄的個人或實體。群組可讓您一次授予和拒絕多個使用者的許可。

使用下列程序，將 AWS Managed Microsoft AD 使用者新增至群組或群組，或在 AWS 管理主控台 AWS CLI、 或 中使用使用者和群組管理或 AWS 目錄服務資料新增至另一個群組 AWS Tools for PowerShell。

## 將使用者新增至群組
<a name="add_user_to_group"></a>

使用下列程序，將 AWS Managed Microsoft AD 使用者新增至 AWS 管理主控台 AWS CLI、 或 中具有使用者和群組管理或 AWS Directory Service Data 的群組 AWS Tools for PowerShell。

**重要**  
 當您將 AWS Managed Microsoft AD 使用者新增至群組時，該使用者會繼承指派給群組的角色和許可。這些角色和許可是使用者群組成員資格的一部分。

**開始任一程序之前，您需要完成下列各項：**
+ [建立 AWS Managed Microsoft AD](ms_ad_getting_started.md#ms_ad_getting_started_create_directory).
+ 若要使用使用者和群組管理或 AWS Directory Service Data CLI，必須啟用它。如需詳細資訊，請參閱[啟用使用者和群組管理或目錄服務資料](ms_ad_users_groups_mgmt_enable_disable.md)。
+  您只能從目錄 AWS 區域 的主要 啟用此功能。如需詳細資訊，請參閱[主要區域與額外區域](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/multi-region-global-primary-additional.html)。
+ 您需要必要的 IAM 許可才能使用 AWS Directory Service Data。如需詳細資訊，請參閱[Directory Service API 許可：動作、資源和條件參考](UsingWithDS_IAM_ResourcePermissions.md)。若要開始將許可授予使用者和工作負載，您可以使用 [AWS 受管政策： AWSDirectoryServiceDataFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDirectoryServiceDataFullAccess)或 等 AWS 受管政策[AWS 受管政策： AWSDirectoryServiceDataReadOnlyAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDirectoryServiceDataReadOnlyAccess)。如需更多詳細資訊，請參閱 [IAM 中的安全最佳實務](https://docs.aws.amazon.com//IAM/latest/UserGuide/best-practices.html#bp-use-aws-defined-policies)。
+ [建立 AWS Managed Microsoft AD 使用者](ms_ad_create_user.md)。
+ [建立 AWS Managed Microsoft AD 群組](ms_ad_create_group.md)。

------
#### [ AWS 管理主控台 ]

您可以使用 將 AWS Managed Microsoft AD 成員新增至群組 AWS 管理主控台。

**使用 將 AWS Managed Microsoft AD 使用者新增至群組 AWS 管理主控台**

1. 在 https：//[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/) 開啟 Directory Service 主控台。

1.  從導覽窗格中，選擇 **Active Directory**，然後選擇**目錄**。系統會將您導向**目錄**畫面，您可以在其中檢視 中的目錄清單 AWS 區域。

1.  選擇目錄。系統會將您導向至**目錄詳細資訊**畫面。

1.  選擇 **Groups (群組)**。若要尋找群組，請在群組區段下的搜尋方塊中輸入**群組**名稱。標籤顯示 中的群組清單 AWS 區域。

1.  選擇群組。系統會將您導向至**群組詳細資訊**畫面。

1.  選擇**成員**。標籤會依群組中的成員類型顯示使用者和子群組的清單。

1.  在**成員**索引標籤下，選擇**新增成員**。

1.  在**成員**下，選取您要新增至群組的使用者，然後選擇**新增成員至群組**。若要尋找成員，請在**成員**區段下的搜尋方塊中輸入使用者的使用者登入名稱和群組名稱。

------
#### [ AWS CLI ]

 以下說明如何使用 AWS Directory Service Data CLI 格式化將 AWS Managed Microsoft AD 成員新增至群組的請求。

**使用 將 AWS Managed Microsoft AD 使用者新增至群組 AWS CLI**
+  若要將使用者新增至群組，請開啟 AWS CLI，然後執行下列命令，將目錄 ID、群組和成員名稱取代為您的 AWS Managed Microsoft AD Directory ID，以及群組和成員名稱：

```
aws ds-data add-group-member --directory-id d-1234567890 --group-name "your-group-name" --member-name "jane.doe"
```

------
#### [ AWS Tools for PowerShell ]

 以下說明如何格式化將 AWS Managed Microsoft AD 成員新增至 群組的請求 AWS Tools for PowerShell。

**將 AWS Managed Microsoft AD 使用者新增至具有 的群組 AWS Tools for PowerShell**
+  若要將使用者新增至群組，請開啟 PowerShell，然後執行下列命令，將目錄 ID、群組和成員名稱取代為您的 AWS Managed Microsoft AD Directory ID，以及群組和成員名稱：

```
Add-DSDGroupMember -DirectoryId d-1234567890 -GroupName "your-group-name" -MemberName "jane.doe"
```

------

## 從群組中移除使用者
<a name="remove_user_from_group"></a>

 使用 [AWS Directory Service Data API](https://docs.aws.amazon.com/directoryservicedata/latest/DirectoryServiceDataAPIReference/Welcome.html)，成員可以是使用者、群組或電腦。使用者代表可存取您目錄的個人或實體。群組可讓您一次授予和拒絕多個使用者的許可。

使用下列程序，將 AWS Managed Microsoft AD 使用者移除至 AWS 管理主控台、 AWS CLI或 中具有使用者和群組管理或 AWS Directory Service Data 的群組 AWS Tools for PowerShell。

**重要**  
 當您從群組中移除 AWS Managed Microsoft AD 使用者時，使用者會失去指派給群組的角色和許可的存取權。這些角色和許可是群組成員資格的一部分。

**開始任一程序之前，您需要完成下列各項：**
+ [建立 AWS Managed Microsoft AD](ms_ad_getting_started.md#ms_ad_getting_started_create_directory).
+ 若要使用使用者和群組管理或 AWS Directory Service Data CLI，必須啟用它。如需詳細資訊，請參閱[啟用使用者和群組管理或目錄服務資料](ms_ad_users_groups_mgmt_enable_disable.md)。
+  您只能從目錄 AWS 區域 的主要 啟用此功能。如需詳細資訊，請參閱[主要區域與額外區域](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/multi-region-global-primary-additional.html)。
+ 您需要必要的 IAM 許可才能使用 AWS Directory Service Data。如需詳細資訊，請參閱[Directory Service API 許可：動作、資源和條件參考](UsingWithDS_IAM_ResourcePermissions.md)。若要開始將許可授予使用者和工作負載，您可以使用 [AWS 受管政策： AWSDirectoryServiceDataFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDirectoryServiceDataFullAccess)或 等 AWS 受管政策[AWS 受管政策： AWSDirectoryServiceDataReadOnlyAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDirectoryServiceDataReadOnlyAccess)。如需更多詳細資訊，請參閱 [IAM 中的安全最佳實務](https://docs.aws.amazon.com//IAM/latest/UserGuide/best-practices.html#bp-use-aws-defined-policies)。
+ [建立 AWS Managed Microsoft AD 使用者](ms_ad_create_user.md)。
+ [建立 AWS Managed Microsoft AD 群組](ms_ad_create_group.md)。

------
#### [ AWS 管理主控台 ]

您可以使用 從 群組中移除 AWS Managed Microsoft AD 成員 AWS 管理主控台。

**使用 從 群組中移除 AWS Managed Microsoft AD 使用者 AWS 管理主控台**

1. 在 https：//[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/) 開啟 Directory Service 主控台。

1.  從導覽窗格中，選擇 **Active Directory**，然後選擇**目錄**。系統會將您導向**目錄**畫面，您可以在其中檢視 中的目錄清單 AWS 區域。

1.  選擇目錄。系統會將您導向至**目錄詳細資訊**畫面。

1.  選擇 **Groups (群組)**。標籤顯示 中的群組清單 AWS 區域。

1.  選擇群組。若要尋找群組，請在群組區段下的搜尋方塊中輸入**群組**名稱。系統會將您導向至**群組詳細資訊**畫面。

1.  選擇**成員**。標籤會依群組中的成員類型顯示使用者和子群組的清單。

1.  選取您要從群組中移除的使用者，然後選擇**移除**。若要尋找使用者，請在**成員**區段下的搜尋方塊中輸入使用者登入名稱。

1.  確認您要從群組中移除使用者，然後再次選擇**移除**。

------
#### [ AWS CLI ]

 以下說明如何使用 AWS Directory Service Data CLI 格式化從群組中移除 AWS Managed Microsoft AD 成員的請求。

**從具有 的群組中移除 AWS Managed Microsoft AD 使用者 AWS CLI**
+  若要將使用者移除至群組，請開啟 AWS CLI，然後執行下列命令，將目錄 ID、群組和成員名稱取代為您的 AWS Managed Microsoft AD Directory ID、群組和成員名稱：

```
aws ds-data remove-group-member --directory-id d-1234567890 --group-name "your-group-name" --member-name "jane.doe"
```

------
#### [ AWS Tools for PowerShell ]

 以下說明如何格式化從 群組中移除 AWS Managed Microsoft AD 成員的請求 AWS Tools for PowerShell。

**從具有 的群組中移除 AWS Managed Microsoft AD 使用者 AWS Tools for PowerShell**
+  若要將使用者移除至群組，請開啟 PowerShell，然後執行下列命令，將目錄 ID、群組和成員名稱取代為您的 AWS Managed Microsoft AD Directory ID、群組和成員名稱：

```
Remove-DSDGroupMember -DirectoryId d-1234567890 -GroupName "your-group-name" -MemberName "jane.doe"
```

------

## 將群組新增至群組
<a name="add_group_to_group"></a>

當您將 AWS Managed Microsoft AD 群組新增至另一個群組時，群組會共用父子關係。子群組可以存取指派給父群組的角色和許可。您可以將子群組新增至您的群組，並將您的群組新增至父群組。

**開始任一程序之前，您需要完成下列各項：**
+ [建立 AWS Managed Microsoft AD](ms_ad_getting_started.md#ms_ad_getting_started_create_directory).
+ 若要使用使用者和群組管理或 AWS Directory Service Data CLI，必須啟用它。如需詳細資訊，請參閱[啟用使用者和群組管理或目錄服務資料](ms_ad_users_groups_mgmt_enable_disable.md)。
+  您只能從目錄 AWS 區域 的主要 啟用此功能。如需詳細資訊，請參閱[主要區域與額外區域](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/multi-region-global-primary-additional.html)。
+ 您需要必要的 IAM 許可才能使用 AWS Directory Service Data。如需詳細資訊，請參閱[Directory Service API 許可：動作、資源和條件參考](UsingWithDS_IAM_ResourcePermissions.md)。若要開始將許可授予使用者和工作負載，您可以使用 [AWS 受管政策： AWSDirectoryServiceDataFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDirectoryServiceDataFullAccess)或 等 AWS 受管政策[AWS 受管政策： AWSDirectoryServiceDataReadOnlyAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDirectoryServiceDataReadOnlyAccess)。如需更多詳細資訊，請參閱 [IAM 中的安全最佳實務](https://docs.aws.amazon.com//IAM/latest/UserGuide/best-practices.html#bp-use-aws-defined-policies)。
+ [建立 AWS Managed Microsoft AD 群組](ms_ad_create_group.md)。

------
#### [ AWS 管理主控台 ]

您可以使用 將 AWS Managed Microsoft AD 群組新增至群組 AWS 管理主控台。

**使用 將子群組新增至您的群組 AWS 管理主控台**

1. 在 https：//[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/) 開啟 Directory Service 主控台。

1.  從導覽窗格中，選擇 **Active Directory**，然後選擇**目錄**。系統會將您導向**目錄**畫面，您可以在其中檢視 中的目錄清單 AWS 區域。

1.  選擇目錄。系統會將您導向至**目錄詳細資訊**畫面。

1.  選擇 **Groups (群組)**。標籤顯示 中的群組清單 AWS 區域。

1.  選擇群組。若要尋找群組，請在群組區段下的搜尋方塊中輸入**群組**名稱。系統會將您導向至**群組詳細資訊**畫面。

1.  選擇**成員**。標籤會依群組中的成員類型顯示使用者和子群組的清單。

1.  選擇**新增成員**。

1.  在**成員** （成員） 下，選取您要新增至群組的子群組，然後選擇**新增成員至群組**。

**使用 將父群組新增至群組 AWS 管理主控台**

1. 在 https：//[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/) 開啟 Directory Service 主控台。

1.  從導覽窗格中，選擇 **Active Directory**，然後選擇**目錄**。系統會將您導向**目錄**畫面，您可以在其中檢視 中的目錄清單 AWS 區域。

1.  選擇目錄。系統會將您導向至**目錄詳細資訊**畫面。

1.  選擇 **Groups (群組)**。標籤顯示 中的群組清單 AWS 區域。

1.  選擇群組。若要尋找群組，請在群組區段下的搜尋方塊中輸入**群組**名稱。系統會將您導向至**群組詳細資訊**畫面。

1.  選擇**父群組**。標籤顯示群組所屬的群組清單。

1.  選擇**新增父群組**。

1.  在**群組** （群組） 下，選取您要新增群組的群組，然後再次選擇**新增父群組**。

------
#### [ AWS CLI ]

 以下說明如何使用 AWS Directory Service Data CLI 格式化將 AWS Managed Microsoft AD 群組新增至群組的請求。

**使用 將子群組新增至您的群組 AWS CLI**
+  若要將子群組新增至父群組，請開啟 AWS CLI，然後執行下列命令，將目錄 ID、群組和成員名稱取代為您的 AWS Managed Microsoft AD Directory ID、群組和成員名稱：

```
aws ds-data add-group-member --directory-id d-1234567890 --group-name "parent-group-name" --member-name "child-group-name"
```

------
#### [ AWS Tools for PowerShell ]

 以下說明如何格式化將 AWS Managed Microsoft AD 群組新增至 群組的請求 AWS Tools for PowerShell。

**使用 將子群組新增至您的群組 AWS Tools for PowerShell**
+  若要將子群組新增至父群組，請開啟 PowerShell，然後執行下列命令，將目錄 ID、群組和成員名稱取代為您的 AWS Managed Microsoft AD Directory ID、群組和成員名稱：

```
Add-DSDGroupMember -DirectoryId d-1234567890 -GroupName "parent-group-name" -MemberName "child-group-name"
```

------

## 從群組中移除群組
<a name="remove_group_from_group"></a>

 當您從另一個群組移除 AWS Managed Microsoft AD 群組時，群組將不再共用父子關係。子群組無法存取指派給父群組的角色和許可。您可以從您的群組移除子群組，並從父群組移除您的群組。

**開始任一程序之前，您需要完成下列各項：**
+ [建立 AWS Managed Microsoft AD](ms_ad_getting_started.md#ms_ad_getting_started_create_directory).
+ 若要使用使用者和群組管理或 AWS Directory Service Data CLI，必須啟用它。如需詳細資訊，請參閱[啟用使用者和群組管理或目錄服務資料](ms_ad_users_groups_mgmt_enable_disable.md)。
+  您只能從目錄 AWS 區域 的主要 啟用此功能。如需詳細資訊，請參閱[主要區域與額外區域](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/multi-region-global-primary-additional.html)。
+ 您需要必要的 IAM 許可才能使用 AWS Directory Service Data。如需詳細資訊，請參閱[Directory Service API 許可：動作、資源和條件參考](UsingWithDS_IAM_ResourcePermissions.md)。若要開始將許可授予使用者和工作負載，您可以使用 [AWS 受管政策： AWSDirectoryServiceDataFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDirectoryServiceDataFullAccess)或 等 AWS 受管政策[AWS 受管政策： AWSDirectoryServiceDataReadOnlyAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDirectoryServiceDataReadOnlyAccess)。如需更多詳細資訊，請參閱 [IAM 中的安全最佳實務](https://docs.aws.amazon.com//IAM/latest/UserGuide/best-practices.html#bp-use-aws-defined-policies)。
+ [建立 AWS Managed Microsoft AD 群組](ms_ad_create_group.md)。

------
#### [ AWS 管理主控台 ]

 您可以使用 將 AWS Managed Microsoft AD 群組移除至群組 AWS 管理主控台。

**使用 從 群組中移除子群組 AWS 管理主控台**

1. 在 https：//[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/) 開啟 Directory Service 主控台。

1.  從導覽窗格中，選擇 **Active Directory**，然後選擇**目錄**。系統會將您導向**目錄**畫面，您可以在其中檢視 中的目錄清單 AWS 區域。

1.  選擇目錄。系統會將您導向至**目錄詳細資訊**畫面。

1.  選擇 **Groups (群組)**。標籤顯示 中的群組清單 AWS 區域。

1.  選擇群組。系統會將您導向至**群組詳細資訊**畫面。若要尋找群組，請在群組區段下的搜尋方塊中輸入**群組**名稱。

1.  選擇**成員**。標籤會依群組中的成員類型顯示使用者和子群組的清單。

1.  選取您要從群組中移除的子群組 （然後選取**移除**)。

1.  確認您要從群組中移除的子群組 （然後），然後再次選擇**移除**。

**使用 從父群組中移除您的群組 AWS 管理主控台**

1. 在 https：//[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/) 開啟 Directory Service 主控台。

1.  從導覽窗格中，選擇 **Active Directory**，然後選擇**目錄**。系統會將您導向**目錄**畫面，您可以在其中檢視 中的目錄清單 AWS 區域。

1.  選擇目錄。系統會將您導向至**目錄詳細資訊**畫面。

1.  選擇 **Groups (群組)**。標籤顯示 中的群組清單 AWS 區域。

1.  選擇群組。系統會將您導向至**群組詳細資訊**畫面。若要尋找群組，請在群組區段下的搜尋方塊中輸入**群組**名稱。

1.  選擇**父群組**。標籤顯示您的群組所屬的群組清單。

1.  選取您要從中移除群組的父群組，然後選擇**移除父群組**。

1.  確認您要從中移除群組的父群組，然後再次選擇**移除父群組**。

------
#### [ AWS CLI ]

以下說明如何使用 AWS Directory Service Data CLI，將移除 AWS Managed Microsoft AD 群組的請求格式化為群組。
+ 

**使用 從父群組移除子群組 AWS CLI**

   若要從父群組新增移除子群組，請開啟 AWS CLI，然後執行下列命令，將目錄 ID、群組和成員名稱取代為您的 AWS Managed Microsoft AD Directory ID、群組和成員名稱：

```
aws ds-data remove-group-member --directory-id d-1234567890 --group-name "parent-group-name" --member-name "child-group-name"
```

------
#### [ AWS Tools for PowerShell ]

以下說明如何將移除 AWS Managed Microsoft AD 群組的請求格式化為 群組 AWS Tools for PowerShell。
+ 

**若要使用 從父群組中移除子群組 AWS Tools for PowerShell**

   若要從父群組新增移除子群組，請開啟 PowerShell，然後執行下列命令，將目錄 ID、群組和成員名稱取代為您的 AWS Managed Microsoft AD Directory ID、群組和成員名稱：

```
Remove-DSDGroupMember -DirectoryId d-1234567890 -GroupName "parent-group-name" -MemberName "child-group-name"
```

------