本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 建立 AWS Managed Microsoft AD 群組 使用下列程序,在 AWS 管理主控台 AWS CLI或 中建立具有使用者和群組管理或 AWS Directory Service Data 的 AWS Managed Microsoft AD 群組 AWS Tools for PowerShell。 **開始任一程序之前,您需要完成下列各項:** + [建立 AWS Managed Microsoft AD](ms_ad_getting_started.md#ms_ad_getting_started_create_directory). + 若要使用使用者和群組管理或 AWS Directory Service Data CLI,必須啟用它。如需詳細資訊,請參閱[啟用使用者和群組管理或目錄服務資料](ms_ad_users_groups_mgmt_enable_disable.md)。 + 您只能從目錄 AWS 區域 的主要 啟用此功能。如需詳細資訊,請參閱[主要區域與額外區域](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/multi-region-global-primary-additional.html)。 + 您需要必要的 IAM 許可才能使用 AWS Directory Service Data。如需詳細資訊,請參閱[Directory Service API 許可:動作、資源和條件參考](UsingWithDS_IAM_ResourcePermissions.md)。若要開始將許可授予使用者和工作負載,您可以使用 [AWS 受管政策: AWSDirectoryServiceDataFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDirectoryServiceDataFullAccess)或 等 AWS 受管政策[AWS 受管政策: AWSDirectoryServiceDataReadOnlyAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDirectoryServiceDataReadOnlyAccess)。如需更多詳細資訊,請參閱 [IAM 中的安全最佳實務](https://docs.aws.amazon.com//IAM/latest/UserGuide/best-practices.html#bp-use-aws-defined-policies)。 ------ #### [ AWS 管理主控台 ] 您可以在 中建立新的 AWS Managed Microsoft AD 群組 AWS 管理主控台。建立新群組時,您可以指定群組的詳細資訊,並判斷[群組的類型和範圍](ad_group_type_and_scope.md)。您也可以選擇將使用者和子群組新增至新群組,或將新群組新增至父群組。 **使用 建立 AWS Managed Microsoft AD 群組 AWS 管理主控台** 1. 在 https://[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/) 開啟 Directory Service 主控台。 1. 從導覽窗格中,選擇 **Active Directory**,然後選擇**目錄**。系統會將您導向**目錄**畫面,您可以在其中檢視 中的目錄清單 AWS 區域。 1. 選擇目錄。系統會將您導向至**目錄詳細資訊**畫面。 1. 選擇**群組**。標籤顯示 中的群組清單 AWS 區域。 1. 選擇**建立群組**。系統會將您導向至完成建立新群組的程序。 1. **指定群組詳細資訊**頁面隨即開啟。輸入**群組名稱**。群組名稱必須符合下列條件: + 必須是唯一的群組名稱 + 長度上限為 64 個字元 + 只能包含英數字元 + \~\!@\#$%^&\*\_-\+=`\|\\(){}[]:;"'<>,.?/ **警告** 建立群組之後,就無法變更群組名稱。 1. 從下列其中一項中選擇**群組類型**: + **安全性** + **發佈** + 如需詳細資訊,請參閱 [Group type (群組類型)](ad_group_type_and_scope.md#ad_group_type)。 1. 從下列其中一項中選擇**群組範圍**: + **網域本機** + **通用** + **全域** + 您可以開啟**比較範圍**,以顯示群組範圍之間相似性和差異的圖表。如需詳細資訊,請參閱 [Group scope (群組範圍)](ad_group_type_and_scope.md#ad_group_scope)。 1. 提供主要資訊和聯絡方式後,選擇**下一步**。 1. 新增**使用者至群組 - *選用***頁面隨即開啟,您可以將使用者新增至新群組。若要尋找要新增至群組的使用者,請在使用者區段下的搜尋方塊中輸入**使用者**登入名稱。選取您要新增至群組的使用者,然後選擇**下一步**。 1. 新增**子群組 - *選用***頁面隨即開啟,您可以將現有群組新增至新群組。現有群組會成為新建立群組的子群組。當您將子群組新增至群組時,您的群組會成為父群組,而子群組會繼承群組的所有角色和許可。若要尋找要新增的群組,請在**新增子群組區段下的搜尋方塊中輸入群組**名稱。選取您要新增至新群組的子群組,然後選擇**下一步**。 1. 新增**父群組 - *選用***頁面隨即開啟,您可以將新群組新增至現有群組。新群組會成為現有群組的父群組。當您將群組新增至父群組時,您的群組會成為子群組,並繼承父群組的所有角色和許可。若要尋找要新增的群組,請在**新增父群組區段下的搜尋方塊中輸入群組**名稱。選取您要新增至新群組的父群組,然後選擇**下一步**。 1. 在**檢閱和建立群組**頁面上,檢閱您的選擇,然後選擇**建立群組**。 ------ #### [ AWS CLI ] 以下說明如何使用 AWS Directory Service Data CLI 格式化建立 AWS Managed Microsoft AD 群組的請求。建立新群組時,您必須包含目錄 ID 號碼和群組名稱。您也可以新增其他屬性,例如具有 `DisplayName` 屬性的群組顯示名稱。如需詳細資訊,請參閱[AWS Directory Service Data 屬性](ad_data_attributes.md)及[群組類型和群組範圍](ad_group_type_and_scope.md)。 **使用 建立 AWS Managed Microsoft AD 群組 AWS CLI** + 開啟 AWS CLI,然後執行下列命令,將目錄 ID、使用者名稱和群組顯示名稱取代為您的 AWS Managed Microsoft AD Directory ID、使用者名稱和所需的群組顯示名稱: ``` aws ds-data create-group \ --directory-id {{d-1234567890}} \ --sam-account-name "{{your-group-name}}" \ --other-attributes '{ "DisplayName": { "S": "{{myGroupDisplayName}}"} "Description":{ "S": "{{myGroupDescription}}"} }' ``` ------ #### [ AWS Tools for PowerShell ] 以下說明如何格式化使用 建立 AWS Managed Microsoft AD 群組的請求 AWS Tools for PowerShell。建立新群組時,您必須包含目錄 ID 號碼和群組名稱。您也可以新增其他屬性,例如具有 `DisplayName` 屬性的群組顯示名稱。如需詳細資訊,請參閱[AWS Directory Service Data 屬性](ad_data_attributes.md)及[群組類型和群組範圍](ad_group_type_and_scope.md)。 **使用 建立 AWS Managed Microsoft AD 群組 AWS Tools for PowerShell** + 開啟 PowerShell,然後執行下列命令,將目錄 ID、使用者名稱和群組顯示名稱取代為您的 AWS Managed Microsoft AD Directory ID、使用者名稱和所需的群組顯示名稱: ``` New-DSDGroup ` -DirectoryId {{d-1234567890}} ` -SAMAccountName "{{your-group-name}}" ` -OtherAttribute @{ DisplayName = [Amazon.DirectoryServiceData.Model.AttributeValue]@{S = '{{myGroupDisplayName}}' } Description = [Amazon.DirectoryServiceData.Model.AttributeValue]@{S = '{{myGroupDescription}}' } } ``` ------