本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 建立 AWS Managed Microsoft AD 使用者 使用下列程序,在 AWS 管理主控台 AWS CLI或 中建立具有使用者和群組管理或 AWS Directory Service Data 的新 AWS Managed Microsoft AD 使用者 AWS Tools for PowerShell。 **開始任一程序之前,您需要完成下列各項:** + 若要使用使用者和群組管理或 AWS Directory Service Data CLI,必須啟用它。如需詳細資訊,請參閱[啟用使用者和群組管理或目錄服務資料](ms_ad_users_groups_mgmt_enable_disable.md)。 + 您只能從目錄 AWS 區域 的主要 啟用此功能。如需詳細資訊,請參閱[主要區域與額外區域](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/multi-region-global-primary-additional.html)。 + 您需要必要的 IAM 許可才能使用 AWS Directory Service Data。如需詳細資訊,請參閱[Directory Service API 許可:動作、資源和條件參考](UsingWithDS_IAM_ResourcePermissions.md)。若要開始將許可授予使用者和工作負載,您可以使用 [AWS 受管政策: AWSDirectoryServiceDataFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDirectoryServiceDataFullAccess)或 等 AWS 受管政策[AWS 受管政策: AWSDirectoryServiceDataReadOnlyAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDirectoryServiceDataReadOnlyAccess)。如需更多詳細資訊,請參閱 [IAM 中的安全最佳實務](https://docs.aws.amazon.com//IAM/latest/UserGuide/best-practices.html#bp-use-aws-defined-policies)。 ------ #### [ AWS 管理主控台 ] 您可以在 中建立新的 AWS Managed Microsoft AD 使用者帳戶 AWS 管理主控台。當您建立新的使用者帳戶時,您可以指定新使用者的詳細資訊,並決定是否要將新使用者新增至群組,還是將其他使用者的群組成員資格複製到新使用者。 如需詳細資訊,請參閱[AWS Directory Service Data 屬性](ad_data_attributes.md)及[群組類型和群組範圍](ad_group_type_and_scope.md)。 **使用 建立 AWS Managed Microsoft AD 使用者 AWS 管理主控台** 1. 在 https://[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/) 開啟 Directory Service 主控台。 1. 從導覽窗格中,選擇 **Active Directory**,然後選擇**目錄**。系統會將您導向**目錄**畫面,您可以在其中檢視 中的目錄清單 AWS 區域。 1. 選擇目錄。系統會將您導向至**目錄詳細資訊**畫面。 1. 在**目錄詳細資訊**頁面**的使用者**區段下,選擇**建立使用者帳戶**。 1. 隨即開啟**指定使用者詳細資訊**頁面。在**必要資訊**區段下,輸入使用者登入名稱和密碼。使用者登入名稱必須符合下列條件: + 必須是唯一的登入名稱 + 長度上限為 20 個字元 + 只能包含英數字元 + \$1\$1@\$1\$1%^&\$1\$1-\$1=`\$1\$1()\$1\$1[]:;"'<>,.?/ + 密碼必須符合您的密碼政策要求。如需詳細資訊,請洽詢您的 AWS 管理員。 **警告** 建立使用者之後,無法變更使用者登入名稱。 1. *(選用)* 在**主要資訊**區段下,您可以輸入使用者的名字和姓氏。您也可以輸入使用者的顯示名稱和描述。 1. *(選用)* 在**聯絡方法**區段下,您可以輸入使用者的電子郵件地址和電話號碼。 1. *(選用)* 在**工作相關資訊**區段下,您可以輸入使用者的部門、經理、辦公室和公司。 1. *(選用)* 在**地址**區段下,您可以輸入使用者的地址。 1. *(選用)* 在**帳戶設定**區段下,您可以輸入使用者的備註、偏好語言和服務主體名稱。 如需使用者屬性的詳細資訊,請參閱 [AWS Directory Service Data 屬性](ad_data_attributes.md)和 [Microsoft 文件](https://learn.microsoft.com/en-us/windows/win32/ad/user-object-attributes)。 1. 提供使用者帳戶詳細資訊後,請選擇**下一步**。 1. 在**新增使用者至群組 - *選用***頁面上,您可以將使用者新增至新群組或現有群組。您也可以將現有使用者的群組成員資格複製到新使用者。如果您不想將使用者新增至群組,請選擇**下一步**。移至步驟 12 以繼續此程序。 1. *(選用)* 若要建立新群組,請參閱[建立 AWS 受管 Microsoft AD 群組](ms_ad_create_group.md)。 1. *(選用)* 若要將新使用者新增至現有群組: 1. 在群組區段中,選取要將新使用者新增至其中的**群組**。若要尋找群組,請在搜尋方塊中輸入群組名稱。 1. *(選用)* 若要將現有使用者的群組成員資格複製到新使用者: 1. 選擇**從使用者索引標籤複製群組成員**資格。若要尋找具有您要複製之群組成員資格的使用者,請在使用者區段下的搜尋方塊中輸入**使用者**登入名稱。 1. 在**選取的群組**區段中,選取新使用者應成為其成員的群組。 1. 當您準備好建立新的使用者帳戶時,請選擇**下一步**。 1. 在**檢閱和建立使用者**頁面上,檢閱您所做的所有選擇。選擇 **Create user** (建立使用者)。 1. 設定使用者後,您已前往新使用者的詳細資訊頁面。隨即出現橫幅,指出使用者已成功建立。 **重要** 如果您收到錯誤訊息,告知您沒有建立使用者的許可,請遵循錯誤訊息中的指示,請求您的管理員授予您存取權。 ------ #### [ AWS CLI ] 以下說明如何使用 AWS Directory Service Data CLI 格式化建立新 AWS Managed Microsoft AD 使用者帳戶的請求。您必須在請求中包含目錄 ID 號碼和使用者登入名稱。您也可以包含其他屬性,例如具有 `DisplayName` 屬性的使用者顯示名稱。如需詳細資訊,請參閱[AWS Directory Service Data 屬性](ad_data_attributes.md)及[群組類型和群組範圍](ad_group_type_and_scope.md)。 **使用 建立 AWS Managed Microsoft AD 使用者 AWS CLI** + 開啟 AWS CLI,然後執行下列命令,將目錄 ID、使用者名稱和顯示名稱取代為您的 AWS Managed Microsoft AD Directory ID 和所需的登入資料: ``` aws ds-data create-user \ --directory-id d-1234567890 \ --sam-account-name "jane.doe" \ --other-attributes '{ "DisplayName" : { "S": "jane.doe"}, "Department":{ "S": "Legal"} }‘ ``` ------ #### [ AWS Tools for PowerShell ] 以下說明如何格式化建立新 AWS Managed Microsoft AD 使用者帳戶的請求 AWS Tools for PowerShell。您必須在請求中包含目錄 ID 號碼和使用者登入名稱。您也可以包含其他屬性,例如具有 `DisplayName` 屬性的使用者顯示名稱。如需詳細資訊,請參閱[AWS Directory Service Data 屬性](ad_data_attributes.md)及[群組類型和群組範圍](ad_group_type_and_scope.md)。 **使用 Tools for PowerShell 建立 AWS Managed Microsoft AD 使用者** + 開啟 PowerShell,然後執行下列命令,將目錄 ID、使用者名稱和顯示名稱取代為您的 AWS Managed Microsoft AD Directory ID 和所需的登入資料: ``` New-DSDUser ` -DirectoryId d-1234567890 ` -SAMAccountName "jane.doe" ` -OtherAttribute @{ DisplayName = [Amazon.DirectoryServiceData.Model.AttributeValue]@{S = 'jane.doe' } Department = [Amazon.DirectoryServiceData.Model.AttributeValue]@{S = 'Legal' } } ``` ------