本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用 AWS 管理主控台 AWS CLI、 或 管理 AWS Managed Microsoft AD 使用者和群組 AWS Tools for PowerShell
<a name="ms_ad_manage_users_groups_procedures"></a>

您可以使用 AWS 管理主控台 AWS CLI或 AWS Tools for PowerShell ，透過 管理您的 AWS Managed Microsoft AD 使用者和群組[AWS 目錄服務資料](ms_ad_getting_started_directory_service_data.md)。 AWS Directory Service Data CLI 使用 `ds-data` 命名空間。如需 的詳細資訊 AWS CLI，請參閱 [ 入門 AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html)。如需 的詳細資訊 AWS Tools for PowerShell，請參閱 [AWS Tools for PowerShell 使用者指南](https://docs.aws.amazon.com//powershell/latest/userguide/pstools-welcome.html)。

如需建立、檢視、更新和刪除 AWS Managed Microsoft AD 使用者和群組的詳細資訊，請參閱下列程序。

**Topics**
+ [啟用或停用使用者和群組管理或 AWS 目錄服務資料](ms_ad_users_groups_mgmt_enable_disable.md)
+ [建立 AWS Managed Microsoft AD 使用者](ms_ad_create_user.md)
+ [檢視和更新 AWS Managed Microsoft AD 使用者](ms_ad_view_update_user.md)
+ [刪除 AWS Managed Microsoft AD 使用者](ms_ad_delete_user.md)
+ [停用 AWS Managed Microsoft AD 使用者](ms_ad_disable_user.md)
+ [重設和啟用 AWS Managed Microsoft AD 使用者的密碼](ms_ad_reset_user_pswd.md)
+ [建立 AWS Managed Microsoft AD 群組](ms_ad_create_group.md)
+ [檢視和更新 AWS Managed Microsoft AD 群組的詳細資訊](ms_ad_view_update_group.md)
+ [刪除 AWS Managed Microsoft AD 群組](ms_ad_delete_group.md)
+ [將 AWS Managed Microsoft AD 成員新增至群組，並將群組新增至群組](ms_ad_add_remove_user_group.md)
+ [在 中複製 AWS Managed Microsoft AD 群組成員資格 AWS 管理主控台](copy_group_membership.md)

# 啟用或停用使用者和群組管理或 AWS 目錄服務資料
<a name="ms_ad_users_groups_mgmt_enable_disable"></a>

若要使用使用者和群組管理或 AWS Directory Service Data，必須啟用它。啟用後，您可以從 AWS 管理主控台 AWS CLI或 管理使用者和群組 AWS Tools for PowerShell。

**重要**  
 您只能從目錄 AWS 區域 的主要 啟用此功能。如需詳細資訊，請參閱[主要區域與額外區域](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/multi-region-global-primary-additional.html)。
 如需支援 AWS Directory Service Data 的區域清單，請參閱 [AWS 區域 支援 Directory Service Data](regions.md#regions_directory_service_data)。
 AWS Directory Service Data 的存取控制與 Amazon WorkSpaces、Amazon Quick 和 Amazon WorkMail AWS 服務 等 的存取控制不同。如需詳細資訊，請參閱[AWS 具有 Directory Service Data 的應用程式授權](ad_manage_apps_services_authorization.md#ad_manage_apps_services_authorization_ADSD)。

## 啟用 AWS 目錄服務資料
<a name="ms_ad_user_group_mgmt_enable"></a>

使用下列程序，透過 AWS 管理主控台 AWS CLI或 為現有的 AWS Managed Microsoft AD 啟用使用者和群組管理或 AWS 目錄服務資料 AWS Tools for PowerShell。

------
#### [ AWS 管理主控台 ]

您可以使用 啟用使用者和群組管理 AWS 管理主控台。

**啟用使用者和群組管理**

1. 在 https：//[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/) 開啟 Directory Service 主控台。

1. 在**目錄詳細資訊**頁面上，若要啟用使用者和群組管理，請選取**啟用**。

1. 在**啟用使用者和群組管理**對話方塊中，選取**啟用**。

------
#### [ AWS CLI ]

 以下說明如何格式化啟用 AWS Directory Service Data CLI 的請求。您必須在請求中包含目錄 ID 號碼。

**注意**  
enable AWS Directory Service Data CLI 命令使用 `aws ds`。

**啟用 AWS 目錄服務資料 CLI**
+  開啟 AWS CLI，然後執行下列命令，將目錄 ID 取代為您的 AWS Managed Microsoft AD Directory ID：

```
aws ds enable-directory-data-access --directory-id d-1234567890
```

------
#### [ AWS Tools for PowerShell ]

**使用 Tools for PowerShell 啟用目錄服務資料**
+  開啟 PowerShell，然後執行下列命令，將目錄 ID 取代為您的 AWS Managed Microsoft AD Directory ID：

```
Enable-DSDirectoryDataAccess -DirectoryId d-1234567890
```

------

## 停用 AWS 目錄服務資料
<a name="ms_ad_user_group_mgmt_disable"></a>

使用下列程序，使用 AWS 管理主控台 AWS CLI、 或 停用現有 AWS Managed Microsoft AD 的使用者和群組管理或 AWS 目錄服務資料 AWS Tools for PowerShell。

------
#### [ AWS 管理主控台 ]

您可以使用 停用使用者和群組管理 AWS 管理主控台。

**停用使用者和群組管理**

1. 在 https：//[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/) 開啟 Directory Service 主控台。

1. 在**目錄詳細資訊**頁面上，若要停用使用者和群組管理，請選取**停用**。

1. 在**停用使用者和群組管理**對話方塊中，選取**停用**。

------
#### [ AWS CLI ]

 以下說明如何格式化停用 AWS Directory Service Data CLI 的請求。您必須在請求中包含目錄 ID 號碼。

**注意**  
disable AWS Directory Service Data CLI 命令使用 `aws ds`。

**停用 AWS Directory Service Data CLI**
+  開啟 AWS CLI，然後執行下列命令，將目錄 ID 取代為您的 AWS Managed Microsoft AD Directory ID：

```
aws ds disable-directory-data-access --directory-id d-1234567890
```

------
#### [ AWS Tools for PowerShell ]

**使用 Tools for PowerShell 停用目錄服務資料**
+  開啟 PowerShell，然後執行下列命令，將目錄 ID 取代為您的 AWS Managed Microsoft AD Directory ID：

```
Disable-DSDirectoryDataAccess -DirectoryId d-123456789
```

------

# 建立 AWS Managed Microsoft AD 使用者
<a name="ms_ad_create_user"></a>

使用下列程序，在 AWS 管理主控台 AWS CLI或 中建立具有使用者和群組管理或 AWS Directory Service Data 的新 AWS Managed Microsoft AD 使用者 AWS Tools for PowerShell。

**開始任一程序之前，您需要完成下列各項：**
+ 若要使用使用者和群組管理或 AWS Directory Service Data CLI，必須啟用它。如需詳細資訊，請參閱[啟用使用者和群組管理或目錄服務資料](ms_ad_users_groups_mgmt_enable_disable.md)。
+  您只能從目錄 AWS 區域 的主要 啟用此功能。如需詳細資訊，請參閱[主要區域與額外區域](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/multi-region-global-primary-additional.html)。
+ 您需要必要的 IAM 許可才能使用 AWS Directory Service Data。如需詳細資訊，請參閱[Directory Service API 許可：動作、資源和條件參考](UsingWithDS_IAM_ResourcePermissions.md)。若要開始將許可授予使用者和工作負載，您可以使用 [AWS 受管政策： AWSDirectoryServiceDataFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDirectoryServiceDataFullAccess)或 等 AWS 受管政策[AWS 受管政策： AWSDirectoryServiceDataReadOnlyAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDirectoryServiceDataReadOnlyAccess)。如需更多詳細資訊，請參閱 [IAM 中的安全最佳實務](https://docs.aws.amazon.com//IAM/latest/UserGuide/best-practices.html#bp-use-aws-defined-policies)。

------
#### [ AWS 管理主控台 ]

 您可以在 中建立新的 AWS Managed Microsoft AD 使用者帳戶 AWS 管理主控台。當您建立新的使用者帳戶時，您可以指定新使用者的詳細資訊，並決定是否要將新使用者新增至群組，還是將其他使用者的群組成員資格複製到新使用者。

如需詳細資訊，請參閱[AWS Directory Service Data 屬性](ad_data_attributes.md)及[群組類型和群組範圍](ad_group_type_and_scope.md)。

**使用 建立 AWS Managed Microsoft AD 使用者 AWS 管理主控台**

1. 在 https：//[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/) 開啟 Directory Service 主控台。

1.  從導覽窗格中，選擇 **Active Directory**，然後選擇**目錄**。系統會將您導向**目錄**畫面，您可以在其中檢視 中的目錄清單 AWS 區域。

1.  選擇目錄。系統會將您導向至**目錄詳細資訊**畫面。

1.  在**目錄詳細資訊**頁面**的使用者**區段下，選擇**建立使用者帳戶**。

1. 隨即開啟**指定使用者詳細資訊**頁面。在**必要資訊**區段下，輸入使用者登入名稱和密碼。使用者登入名稱必須符合下列條件：
   + 必須是唯一的登入名稱
   + 長度上限為 20 個字元
   + 只能包含英數字元
   + \$1\$1@\$1\$1%^&\$1\$1-\$1=`\$1\$1()\$1\$1[]:;"'<>,.?/
   + 密碼必須符合您的密碼政策要求。如需詳細資訊，請洽詢您的 AWS 管理員。
**警告**  
建立使用者之後，無法變更使用者登入名稱。

   1. *（選用）* 在**主要資訊**區段下，您可以輸入使用者的名字和姓氏。您也可以輸入使用者的顯示名稱和描述。

   1. *（選用）* 在**聯絡方法**區段下，您可以輸入使用者的電子郵件地址和電話號碼。

   1. *（選用）* 在**工作相關資訊**區段下，您可以輸入使用者的部門、經理、辦公室和公司。

   1. *（選用）* 在**地址**區段下，您可以輸入使用者的地址。

   1. *（選用）* 在**帳戶設定**區段下，您可以輸入使用者的備註、偏好語言和服務主體名稱。

      如需使用者屬性的詳細資訊，請參閱 [AWS Directory Service Data 屬性](ad_data_attributes.md)和 [Microsoft 文件](https://learn.microsoft.com/en-us/windows/win32/ad/user-object-attributes)。

1. 提供使用者帳戶詳細資訊後，請選擇**下一步**。

1. 在**新增使用者至群組 - *選用***頁面上，您可以將使用者新增至新群組或現有群組。您也可以將現有使用者的群組成員資格複製到新使用者。如果您不想將使用者新增至群組，請選擇**下一步**。移至步驟 12 以繼續此程序。

1. *（選用）* 若要建立新群組，請參閱[建立 AWS 受管 Microsoft AD 群組](ms_ad_create_group.md)。

1. *（選用）* 若要將新使用者新增至現有群組：

   1. 在群組區段中，選取要將新使用者新增至其中的**群組**。若要尋找群組，請在搜尋方塊中輸入群組名稱。

1. *（選用）* 若要將現有使用者的群組成員資格複製到新使用者：

   1. 選擇**從使用者索引標籤複製群組成員**資格。若要尋找具有您要複製之群組成員資格的使用者，請在使用者區段下的搜尋方塊中輸入**使用者**登入名稱。

   1. 在**選取的群組**區段中，選取新使用者應成為其成員的群組。

1. 當您準備好建立新的使用者帳戶時，請選擇**下一步**。

1. 在**檢閱和建立使用者**頁面上，檢閱您所做的所有選擇。選擇 **Create user** (建立使用者)。

1. 設定使用者後，您已前往新使用者的詳細資訊頁面。隨即出現橫幅，指出使用者已成功建立。

**重要**  
 如果您收到錯誤訊息，告知您沒有建立使用者的許可，請遵循錯誤訊息中的指示，請求您的管理員授予您存取權。

------
#### [ AWS CLI ]

 以下說明如何使用 AWS Directory Service Data CLI 格式化建立新 AWS Managed Microsoft AD 使用者帳戶的請求。您必須在請求中包含目錄 ID 號碼和使用者登入名稱。您也可以包含其他屬性，例如具有 `DisplayName` 屬性的使用者顯示名稱。如需詳細資訊，請參閱[AWS Directory Service Data 屬性](ad_data_attributes.md)及[群組類型和群組範圍](ad_group_type_and_scope.md)。

**使用 建立 AWS Managed Microsoft AD 使用者 AWS CLI**
+  開啟 AWS CLI，然後執行下列命令，將目錄 ID、使用者名稱和顯示名稱取代為您的 AWS Managed Microsoft AD Directory ID 和所需的登入資料：

```
aws ds-data create-user \
  --directory-id d-1234567890 \
  --sam-account-name "jane.doe" \
  --other-attributes '{
    "DisplayName" : { "S": "jane.doe"},
    "Department":{ "S": "Legal"}
    }‘
```

------
#### [ AWS Tools for PowerShell ]

 以下說明如何格式化建立新 AWS Managed Microsoft AD 使用者帳戶的請求 AWS Tools for PowerShell。您必須在請求中包含目錄 ID 號碼和使用者登入名稱。您也可以包含其他屬性，例如具有 `DisplayName` 屬性的使用者顯示名稱。如需詳細資訊，請參閱[AWS Directory Service Data 屬性](ad_data_attributes.md)及[群組類型和群組範圍](ad_group_type_and_scope.md)。

**使用 Tools for PowerShell 建立 AWS Managed Microsoft AD 使用者**
+  開啟 PowerShell，然後執行下列命令，將目錄 ID、使用者名稱和顯示名稱取代為您的 AWS Managed Microsoft AD Directory ID 和所需的登入資料：

```
New-DSDUser `
    -DirectoryId d-1234567890 `
    -SAMAccountName "jane.doe" `
    -OtherAttribute @{
        DisplayName = [Amazon.DirectoryServiceData.Model.AttributeValue]@{S = 'jane.doe' }
        Department = [Amazon.DirectoryServiceData.Model.AttributeValue]@{S = 'Legal' }
    }
```

------

# 檢視和更新 AWS Managed Microsoft AD 使用者
<a name="ms_ad_view_update_user"></a>

使用下列程序，透過 、 或 中的使用者和群組管理或 AWS 目錄服務資料 AWS 管理主控台 AWS CLI，來檢視或更新 AWS Managed Microsoft AD 使用者的詳細資訊 AWS Tools for PowerShell。

## 檢視 AWS Managed Microsoft AD 使用者的詳細資訊
<a name="ms_ad_view_user"></a>

您可以在 AWS 管理主控台 或 中檢視使用者的詳細資訊 AWS CLI。使用者的詳細資訊包括設定檔和帳戶資訊和群組成員資格。

**開始任一程序之前，您需要完成下列各項：**
+ [建立 AWS Managed Microsoft AD](ms_ad_getting_started.md#ms_ad_getting_started_create_directory).
+ 若要使用使用者和群組管理或 AWS Directory Service Data CLI，必須啟用它。如需詳細資訊，請參閱[啟用使用者和群組管理或目錄服務資料](ms_ad_users_groups_mgmt_enable_disable.md)。
+  您只能從目錄 AWS 區域 的主要 啟用此功能。如需詳細資訊，請參閱[主要區域與額外區域](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/multi-region-global-primary-additional.html)。
+ 您需要必要的 IAM 許可才能使用 AWS Directory Service Data。如需詳細資訊，請參閱[Directory Service API 許可：動作、資源和條件參考](UsingWithDS_IAM_ResourcePermissions.md)。若要開始將許可授予使用者和工作負載，您可以使用 [AWS 受管政策： AWSDirectoryServiceDataFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDirectoryServiceDataFullAccess)或 等 AWS 受管政策[AWS 受管政策： AWSDirectoryServiceDataReadOnlyAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDirectoryServiceDataReadOnlyAccess)。如需更多詳細資訊，請參閱 [IAM 中的安全最佳實務](https://docs.aws.amazon.com//IAM/latest/UserGuide/best-practices.html#bp-use-aws-defined-policies)。
+ [建立 AWS Managed Microsoft AD 使用者](ms_ad_create_user.md).

------
#### [ AWS 管理主控台 ]

 您可以在 中檢視 AWS Managed Microsoft AD 使用者的詳細資訊 AWS 管理主控台。

**使用 檢視 AWS Managed Microsoft AD 使用者的詳細資訊和帳戶詳細資訊 AWS 管理主控台**

1. 在 https：//[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/) 開啟 Directory Service 主控台。

1.  從導覽窗格中，選擇 **Active Directory**，然後選擇**目錄**。系統會將您導向**目錄**畫面，您可以在其中檢視 中的目錄清單 AWS 區域。

1.  選擇目錄。系統會將您導向至**目錄詳細資訊**畫面。

1.  選擇 **Users** (使用者)。標籤顯示目錄中的使用者清單。

1.  選取使用者。系統會將您導向至**使用者詳細資訊**畫面。**使用者詳細資訊**畫面會顯示下列資訊：
   +  使用者所屬的群組 （群組成員資格） 
   +  設定檔詳細資訊 （例如使用者登入名稱、名字、姓氏等主要資訊） 
   +  帳戶設定 （例如帳戶資訊，例如使用者主體名稱、服務主體名稱、辨別名稱等） 
   + 帳戶狀態

如需使用者屬性的詳細資訊，請參閱 [AWS Directory Service Data 屬性](ad_data_attributes.md)和 [Microsoft 文件](https://learn.microsoft.com/en-us/windows/win32/ad/user-object-attributes)。

------
#### [ AWS CLI ]

 使用 AWS CLI，您可以檢視使用者的詳細資訊，其中包括設定檔、帳戶資訊和群組成員資格。

**使用 檢視 AWS Managed Microsoft AD 使用者的設定檔和帳戶詳細資訊 AWS CLI**  
 以下說明如何使用 AWS Directory Service Data CLI 檢視 AWS Managed Microsoft AD 使用者的詳細資訊。
+  若要檢視使用者的詳細資訊，請開啟 AWS CLI，然後執行下列命令，將目錄 ID 和使用者名稱取代為您的 AWS Managed Microsoft AD Directory ID 和使用者名稱：

```
aws ds-data describe-user --directory-id d-1234567890 --sam-account-name "jane.doe"
```

**檢視使用者的群組成員資格**  
 以下說明如何使用 AWS Directory Service Data CLI 檢視 AWS Managed Microsoft AD 使用者的群組成員資格。
+  若要檢視使用者的群組成員資格，請開啟 AWS CLI，然後執行下列命令，將目錄 ID 和使用者名稱取代為您的 AWS Managed Microsoft AD Directory ID 和使用者名稱：

```
aws ds-data list-groups-for-member --directory-id d-1234567890 --sam-account-name "jane.doe"
```

如需使用者屬性的詳細資訊，請參閱 [AWS Directory Service Data 屬性](ad_data_attributes.md)和 [Microsoft 文件](https://learn.microsoft.com/en-us/windows/win32/ad/user-object-attributes)。

------
#### [ AWS Tools for PowerShell ]

 透過 Tools for PowerShell，您可以檢視使用者的詳細資訊，其中包括設定檔、帳戶資訊和群組成員資格。

**使用 Tools for PowerShell 檢視 AWS Managed Microsoft AD 使用者的設定檔和帳戶詳細資訊**  
 以下說明如何使用 Tools for PowerShell 檢視 AWS Managed Microsoft AD 使用者的詳細資訊。
+ 若要檢視使用者的詳細資訊，請開啟 PowerShell，然後執行下列命令，將目錄 ID 和使用者名稱取代為您的 AWS Managed Microsoft AD Directory ID 和使用者名稱：

```
Get-DSDUser -DirectoryId d-1234567890 -SAMAccountName "jane.doe"
```

**檢視使用者的群組成員資格**  
 以下說明如何使用 Tools for PowerShell 檢視 AWS Managed Microsoft AD 使用者的群組成員資格。
+ 若要檢視使用者的群組成員資格，請開啟 PowerShell，然後執行下列命令，將目錄 ID 和使用者名稱取代為您的 AWS Managed Microsoft AD Directory ID 和使用者名稱：

```
(Get-DSDGroupsForMemberList -DirectoryId d-1234567890 -SAMAccountName "jane.doe").Groups
```

如需使用者屬性的詳細資訊，請參閱 [AWS Directory Service Data 屬性](ad_data_attributes.md)和 [Microsoft 文件](https://learn.microsoft.com/en-us/windows/win32/ad/user-object-attributes)。

------

## 更新 AWS Managed Microsoft AD 使用者的詳細資訊
<a name="ms_ad_update_user"></a>

使用下列程序，透過 中的使用者和群組管理或 AWS 目錄服務資料 AWS 管理主控台 AWS CLI來更新 AWS Managed Microsoft AD 使用者 AWS Tools for PowerShell。

**注意**  
屬性長度下限為 1。

**開始任一程序之前，您需要完成下列各項：**
+ [建立 AWS Managed Microsoft AD](ms_ad_getting_started.md#ms_ad_getting_started_create_directory).
+ 若要使用使用者和群組管理或 AWS Directory Service Data CLI，必須啟用它。如需詳細資訊，請參閱[啟用使用者和群組管理或目錄服務資料](ms_ad_users_groups_mgmt_enable_disable.md)。
+  您只能從目錄 AWS 區域 的主要 啟用此功能。如需詳細資訊，請參閱[主要區域與額外區域](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/multi-region-global-primary-additional.html)。
+ 您需要必要的 IAM 許可才能使用 AWS Directory Service Data。如需詳細資訊，請參閱[Directory Service API 許可：動作、資源和條件參考](UsingWithDS_IAM_ResourcePermissions.md)。若要開始將許可授予使用者和工作負載，您可以使用 [AWS 受管政策： AWSDirectoryServiceDataFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDirectoryServiceDataFullAccess)或 等 AWS 受管政策[AWS 受管政策： AWSDirectoryServiceDataReadOnlyAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDirectoryServiceDataReadOnlyAccess)。如需更多詳細資訊，請參閱 [IAM 中的安全最佳實務](https://docs.aws.amazon.com//IAM/latest/UserGuide/best-practices.html#bp-use-aws-defined-policies)。
+ [建立 AWS Managed Microsoft AD 使用者](ms_ad_create_user.md).

------
#### [ AWS 管理主控台 ]

 您可以在 中更新 AWS Managed Microsoft AD 使用者的詳細資訊 AWS 管理主控台。

**使用 更新 AWS Managed Microsoft AD 使用者的詳細資訊 AWS 管理主控台**

1. 在 https：//[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/) 開啟 Directory Service 主控台。

1.  從導覽窗格中，選擇 **Active Directory**，然後選擇**目錄**。系統會將您導向**目錄**畫面，您可以在其中檢視 中的目錄清單 AWS 區域。

1.  選擇目錄。系統會將您導向至**目錄詳細資訊**畫面。

1.  選擇 **Users** (使用者)。標籤顯示目錄中的使用者清單。

1.  選取使用者。若要尋找使用者，請在使用者區段下的搜尋方塊中輸入**使用者**登入名稱。系統會將您導向**使用者詳細資訊**畫面。

1.  若要編輯使用者所屬的群組，請選擇**群組**。您可以從此索引標籤新增和移除群組中的使用者。如需詳細資訊，請參閱[將 AWS Managed Microsoft AD 成員新增至群組](ms_ad_add_remove_user_group.md)。

1. 若要編輯使用者的設定檔詳細資訊，請選擇**設定檔**，然後選擇**編輯**。或者，選擇**動作**，然後選擇**編輯使用者**。進行並檢閱您的更新，然後選擇**儲存**。
**警告**  
建立使用者之後，無法變更使用者登入名稱。

1.  若要編輯使用者帳戶設定，請選擇**使用者帳戶設定**。或者，選擇**動作**，然後選擇**編輯使用者**。進行並檢閱您的更新，然後選擇**儲存**。

如需使用者屬性的詳細資訊，請參閱 [AWS Directory Service Data 屬性](ad_data_attributes.md)和 [Microsoft 文件](https://learn.microsoft.com/en-us/windows/win32/ad/user-object-attributes)。

------
#### [ AWS CLI ]

 以下說明如何使用 AWS Directory Service Data CLI 格式化更新 AWS Managed Microsoft AD 使用者詳細資訊的請求。

 更新使用者帳戶時，您必須包含目錄 ID 號碼和使用者登入名稱。您還必須在請求中包含要更新的更新類型和屬性，例如具有 `Surname` 參數的使用者姓氏。如需詳細資訊，請參閱 [AWS Directory Service Data 屬性](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_data_attributes.html)。
+  若要更新使用者的詳細資訊，請開啟 AWS CLI並執行下列命令，將目錄 ID、使用者名稱、使用者類型和屬性值取代為您的 AWS Managed Microsoft AD Directory ID、使用者名稱，以及所需的使用者類型和屬性值：

```
aws ds-data update-user --directory-id d-1234567890 --sam-account-name "jane.doe" --update-type "REPLACE" --surname "Doe"
```

**注意**  
使用 [update-user](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ds-data/update-user.html) CLI 命令移除使用者屬性時，您必須指定要移除的屬性和確切值。若要判斷使用者屬性，請使用 [describe-user](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ds-data/describe-user.html) 命令。

如需使用者屬性的詳細資訊，請參閱 [AWS Directory Service Data 屬性](ad_data_attributes.md)和 [Microsoft 文件](https://learn.microsoft.com/en-us/windows/win32/ad/user-object-attributes)。

------
#### [ AWS Tools for PowerShell ]

 以下說明如何格式化更新 AWS Managed Microsoft AD 使用者詳細資訊的請求 AWS Tools for PowerShell。

 更新使用者帳戶時，您必須包含目錄 ID 號碼和使用者登入名稱。您還必須在請求中包含要更新的更新類型和屬性，例如具有 `Surname` 參數的使用者姓氏。如需詳細資訊，請參閱 [AWS Directory Service Data 屬性](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_data_attributes.html)。
+  若要更新使用者的詳細資訊，請開啟 PowerShell，並執行下列命令，將目錄 ID、使用者名稱、使用者類型和屬性值取代為您的 AWS Managed Microsoft AD Directory ID、使用者名稱，以及所需的使用者類型和屬性值：

```
Update-DSDUser -DirectoryId d-1234567890 -SAMAccountName "jane.doe" -UpdateType "REPLACE" -Surname "Doe"
```

如需使用者屬性的詳細資訊，請參閱 [AWS Directory Service Data 屬性](ad_data_attributes.md)和 [Microsoft 文件](https://learn.microsoft.com/en-us/windows/win32/ad/user-object-attributes)。

------

# 刪除 AWS Managed Microsoft AD 使用者
<a name="ms_ad_delete_user"></a>

使用下列程序刪除 中具有使用者和群組管理或 AWS Directory Service Data 的 AWS Managed Microsoft AD 使用者 AWS 管理主控台 AWS CLI AWS Tools for PowerShell。

**重要**  
當您從目錄刪除使用者帳戶時，會移除有關使用者的所有資訊，包括使用者存取其帳戶和應用程式的任何許可。

**開始任一程序之前，您需要完成下列各項：**
+ [建立 AWS Managed Microsoft AD](ms_ad_getting_started.md#ms_ad_getting_started_create_directory).
+ 若要使用使用者和群組管理或 AWS Directory Service Data CLI，必須啟用它。如需詳細資訊，請參閱[啟用使用者和群組管理或目錄服務資料](ms_ad_users_groups_mgmt_enable_disable.md)。
+  您只能從目錄 AWS 區域 的主要 啟用此功能。如需詳細資訊，請參閱[主要區域與額外區域](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/multi-region-global-primary-additional.html)。
+ 您需要必要的 IAM 許可才能使用 AWS Directory Service Data。如需詳細資訊，請參閱[Directory Service API 許可：動作、資源和條件參考](UsingWithDS_IAM_ResourcePermissions.md)。若要開始將許可授予使用者和工作負載，您可以使用 [AWS 受管政策： AWSDirectoryServiceDataFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDirectoryServiceDataFullAccess)或 等 AWS 受管政策[AWS 受管政策： AWSDirectoryServiceDataReadOnlyAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDirectoryServiceDataReadOnlyAccess)。如需更多詳細資訊，請參閱 [IAM 中的安全最佳實務](https://docs.aws.amazon.com//IAM/latest/UserGuide/best-practices.html#bp-use-aws-defined-policies)。
+ [建立 AWS Managed Microsoft AD 使用者](ms_ad_create_user.md).

------
#### [ AWS 管理主控台 ]

 您可以在 中刪除 AWS Managed Microsoft AD 使用者帳戶 AWS 管理主控台。

**使用 刪除 AWS Managed Microsoft AD 使用者帳戶 AWS 管理主控台**

1. 在 https：//[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/) 開啟 Directory Service 主控台。

1.  從導覽窗格中，選擇 **Active Directory**，然後選擇**目錄**。系統會將您導向**目錄**畫面，您可以在其中檢視 中的目錄清單 AWS 區域。

1.  選擇目錄。系統會將您導向至**目錄詳細資訊**畫面。

1.  選擇 **Users** (使用者)。標籤顯示目錄中的使用者清單。

1.  選擇您要刪除其帳戶的使用者。若要尋找使用者，請在使用者區段下的搜尋方塊中輸入**使用者**登入名稱。系統會將您導向至**使用者詳細資訊**畫面。

1.  選擇**動作**。然後選擇**刪除使用者帳戶**，然後再次**刪除使用者帳戶**。

------
#### [ AWS CLI ]

 以下說明如何使用 AWS Directory Service Data CLI 格式化刪除 AWS Managed Microsoft AD 使用者帳戶的請求。

**使用 刪除 AWS Managed Microsoft AD 使用者帳戶 AWS CLI**
+  開啟 AWS CLI，然後執行下列命令，將目錄 ID 和使用者名稱取代為您的 AWS Managed Microsoft AD Directory ID 和使用者名稱：

```
aws ds-data delete-user --directory-id d-1234567890 --sam-account-name "jane.doe"
```

------
#### [ AWS Tools for PowerShell ]

 以下說明如何格式化刪除 AWS Managed Microsoft AD 使用者帳戶的請求 AWS Tools for PowerShell。

**使用 刪除 AWS Managed Microsoft AD 使用者帳戶 AWS Tools for PowerShell**
+  開啟 PowerShell，然後執行下列命令，將目錄 ID 和使用者名稱取代為您的 AWS Managed Microsoft AD Directory ID 和使用者名稱：

```
Remove-DSDUser -DirectoryId d-1234567890 -SAMAccountName "jane.doe"
```

------

# 停用 AWS Managed Microsoft AD 使用者
<a name="ms_ad_disable_user"></a>

使用下列程序，在 AWS 管理主控台 AWS CLI、 或 中停用具有使用者和群組管理或 AWS Directory Service Data 的 AWS Managed Microsoft AD 使用者 AWS Tools for PowerShell。

**重要**  
當您停用使用者帳戶時，使用者會失去存取其帳戶和應用程式的任何許可。

**開始任一程序之前，您需要完成下列各項：**
+ [建立 AWS Managed Microsoft AD](ms_ad_getting_started.md#ms_ad_getting_started_create_directory).
+ 若要使用使用者和群組管理或 AWS Directory Service Data CLI，必須啟用它。如需詳細資訊，請參閱[啟用使用者和群組管理或目錄服務資料](ms_ad_users_groups_mgmt_enable_disable.md)。
+  您只能從目錄 AWS 區域 的主要 啟用此功能。如需詳細資訊，請參閱[主要區域與額外區域](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/multi-region-global-primary-additional.html)。
+ 您需要必要的 IAM 許可才能使用 AWS Directory Service Data。如需詳細資訊，請參閱[Directory Service API 許可：動作、資源和條件參考](UsingWithDS_IAM_ResourcePermissions.md)。若要開始將許可授予使用者和工作負載，您可以使用 [AWS 受管政策： AWSDirectoryServiceDataFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDirectoryServiceDataFullAccess)或 等 AWS 受管政策[AWS 受管政策： AWSDirectoryServiceDataReadOnlyAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDirectoryServiceDataReadOnlyAccess)。如需更多詳細資訊，請參閱 [IAM 中的安全最佳實務](https://docs.aws.amazon.com//IAM/latest/UserGuide/best-practices.html#bp-use-aws-defined-policies)。
+ [建立 AWS Managed Microsoft AD 使用者](ms_ad_create_user.md).

------
#### [ AWS 管理主控台 ]

 您可以在 中停用 AWS Managed Microsoft AD 使用者帳戶 AWS 管理主控台。

**使用 停用 AWS Managed Microsoft AD 使用者帳戶 AWS 管理主控台**

1. 在 https：//[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/) 開啟 Directory Service 主控台。

1.  從導覽窗格中，選擇 **Active Directory**，然後選擇**目錄**。系統會將您導向**目錄**畫面，您可以在其中檢視 中的目錄清單 AWS 區域。

1.  選擇目錄。系統會將您導向至**目錄詳細資訊**畫面。

1.  選擇 **Users** (使用者)。標籤顯示目錄中的使用者清單。

1.  選擇您要停用其帳戶的使用者。系統會將您導向**使用者詳細資訊**畫面。

1.  選擇**動作**。然後選擇**停用使用者帳戶**，然後再次**停用使用者帳戶**。

**注意**  
 若要重新啟用使用者帳戶，您必須重設使用者的密碼。如需詳細資訊，請參閱[重設和啟用 AWS Managed Microsoft AD 使用者的密碼](ms_ad_reset_user_pswd.md)。

------
#### [ AWS CLI ]

 以下說明如何使用 AWS Directory Service Data CLI 格式化停用 AWS Managed Microsoft AD 使用者帳戶的請求。

**使用 停用 AWS Managed Microsoft AD 使用者帳戶 AWS CLI**
+  開啟 AWS CLI，然後執行下列命令，將目錄 ID 和使用者名稱取代為您的 AWS Managed Microsoft AD Directory ID 和使用者名稱：

```
aws ds-data disable-user --directory-id d-1234567890 --sam-account-name "jane.doe"
```

**注意**  
 若要重新啟用您的使用者帳戶，您必須重設使用者的密碼。如需詳細資訊，請參閱[重設和啟用 AWS Managed Microsoft AD 使用者的密碼](ms_ad_reset_user_pswd.md)。

------
#### [ AWS Tools for PowerShell ]

 以下說明如何格式化停用 AWS Managed Microsoft AD 使用者帳戶的請求 AWS Tools for PowerShell。

**使用 停用 AWS Managed Microsoft AD 使用者帳戶 AWS Tools for PowerShell**
+  開啟 PowerShell；並執行下列命令，將目錄 ID 和使用者名稱取代為您的 AWS Managed Microsoft AD Directory ID 和使用者名稱：

```
Disable-DSDUser -DirectoryId d-1234567890 -SAMAccountName "jane.doe"
```

**注意**  
 若要重新啟用您的使用者帳戶，您必須重設使用者的密碼。如需詳細資訊，請參閱[重設和啟用 AWS Managed Microsoft AD 使用者的密碼](ms_ad_reset_user_pswd.md)。

------

# 重設和啟用 AWS Managed Microsoft AD 使用者的密碼
<a name="ms_ad_reset_user_pswd"></a>

使用下列程序重設 AWS Managed Microsoft AD 使用者的密碼 AWS 管理主控台 AWS CLI，在 中的使用者和群組管理或 AWS 目錄服務資料啟用其帳戶 AWS Tools for PowerShell。

**開始任一程序之前，您需要完成下列各項：**
+ [建立 AWS Managed Microsoft AD](ms_ad_getting_started.md#ms_ad_getting_started_create_directory).
+ 若要使用使用者和群組管理或 AWS Directory Service Data CLI，必須啟用它。如需詳細資訊，請參閱[啟用使用者和群組管理或目錄服務資料](ms_ad_users_groups_mgmt_enable_disable.md)。
+  您只能從目錄 AWS 區域 的主要 啟用此功能。如需詳細資訊，請參閱[主要區域與額外區域](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/multi-region-global-primary-additional.html)。
+ 您需要必要的 IAM 許可才能使用 AWS Directory Service Data。如需詳細資訊，請參閱[Directory Service API 許可：動作、資源和條件參考](UsingWithDS_IAM_ResourcePermissions.md)。若要開始將許可授予使用者和工作負載，您可以使用 [AWS 受管政策： AWSDirectoryServiceDataFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDirectoryServiceDataFullAccess)或 等 AWS 受管政策[AWS 受管政策： AWSDirectoryServiceDataReadOnlyAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDirectoryServiceDataReadOnlyAccess)。如需更多詳細資訊，請參閱 [IAM 中的安全最佳實務](https://docs.aws.amazon.com//IAM/latest/UserGuide/best-practices.html#bp-use-aws-defined-policies)。
+ [建立 AWS Managed Microsoft AD 使用者](ms_ad_create_user.md).

------
#### [ AWS 管理主控台 ]

 您可以重設 AWS Managed Microsoft AD 使用者的密碼，以在 中啟用其帳戶 AWS 管理主控台。您可以從**目錄**畫面或**目錄詳細資訊**畫面執行此任務。

**目錄**

1. 在 https：//[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/) 開啟 Directory Service 主控台。

1.  從導覽窗格中，選擇 **Active Directory**，然後選擇**目錄**。系統會將您導向**目錄**畫面，您可以在其中檢視 中的目錄清單 AWS 區域。

1.  選擇**動作**，然後選擇**重設使用者密碼並啟用帳戶**。

   1.  在**使用者登入名稱**下，輸入您要重設密碼之使用者的使用者登入名稱。

   1.  在**新密碼**下，輸入使用者的新密碼。

   1.  在**確認密碼**下，再次輸入使用者的新密碼。

1.  確認使用者的新密碼後，請選擇**重設密碼並啟用帳戶**。

**目錄詳細資訊**

1. 在 https：//[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/) 開啟 Directory Service 主控台。

1.  從導覽窗格中，選擇 **Active Directory**，然後選擇**目錄**。系統會將您導向**目錄**畫面，您可以在其中檢視 中的目錄清單 AWS 區域。

1.  選擇目錄。系統會將您導向至**目錄詳細資訊**畫面。

1.  選擇 **Users** (使用者)。標籤顯示目錄中的使用者清單。

1.  選取您要重設密碼的使用者。

1.  選擇**動作**，然後選擇**重設使用者密碼並啟用帳戶**。

   1.  在**新密碼**下，輸入使用者的新密碼。

   1.  在**確認密碼**下，再次輸入使用者的新密碼。

1.  確認使用者的新密碼後，請選擇**重設密碼並啟用帳戶**。

------
#### [ AWS CLI ]

 您可以重設 AWS Managed Microsoft AD 使用的密碼，以透過 AWS Directory Service Data CLI 啟用其帳戶。

**注意**  
重設使用者的密碼命令使用 `aws ds`。

**使用 重設 AWS Managed Microsoft AD 使用者的密碼 AWS CLI**
+  若要重設使用者的密碼，請開啟 AWS CLI，然後執行下列命令，將目錄 ID、使用者名稱和密碼取代為您的 AWS Managed Microsoft AD Directory ID、使用者名稱和密碼，以及所需的登入資料：

```
aws ds reset-user-password --directory-id d-1234567890 --user-name "jane.doe" --new-password "your-password"
```

------
#### [ AWS Tools for PowerShell ]

 您可以重設 AWS Managed Microsoft AD 使用的密碼，以啟用其 帳戶 AWS Tools for PowerShell。

**使用 重設 AWS Managed Microsoft AD 使用者的密碼 AWS Tools for PowerShell**
+  若要重設使用者的密碼，請開啟 PowerShell，並執行下列命令，將目錄 ID、使用者名稱和密碼取代為您的 AWS Managed Microsoft AD Directory ID、使用者名稱和密碼，以及所需的登入資料：

```
Reset-DSUserPassword -DirectoryId d-1234567890 -UserName "jane.doe" -NewPassword "your-password"
```

------

# 建立 AWS Managed Microsoft AD 群組
<a name="ms_ad_create_group"></a>

使用下列程序，在 AWS 管理主控台 AWS CLI或 中建立具有使用者和群組管理或 AWS Directory Service Data 的 AWS Managed Microsoft AD 群組 AWS Tools for PowerShell。

**開始任一程序之前，您需要完成下列各項：**
+ [建立 AWS Managed Microsoft AD](ms_ad_getting_started.md#ms_ad_getting_started_create_directory).
+ 若要使用使用者和群組管理或 AWS Directory Service Data CLI，必須啟用它。如需詳細資訊，請參閱[啟用使用者和群組管理或目錄服務資料](ms_ad_users_groups_mgmt_enable_disable.md)。
+  您只能從目錄 AWS 區域 的主要 啟用此功能。如需詳細資訊，請參閱[主要區域與額外區域](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/multi-region-global-primary-additional.html)。
+ 您需要必要的 IAM 許可才能使用 AWS Directory Service Data。如需詳細資訊，請參閱[Directory Service API 許可：動作、資源和條件參考](UsingWithDS_IAM_ResourcePermissions.md)。若要開始將許可授予使用者和工作負載，您可以使用 [AWS 受管政策： AWSDirectoryServiceDataFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDirectoryServiceDataFullAccess)或 等 AWS 受管政策[AWS 受管政策： AWSDirectoryServiceDataReadOnlyAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDirectoryServiceDataReadOnlyAccess)。如需更多詳細資訊，請參閱 [IAM 中的安全最佳實務](https://docs.aws.amazon.com//IAM/latest/UserGuide/best-practices.html#bp-use-aws-defined-policies)。

------
#### [ AWS 管理主控台 ]

 您可以在 中建立新的 AWS Managed Microsoft AD 群組 AWS 管理主控台。建立新群組時，您可以指定群組的詳細資訊，並判斷[群組的類型和範圍](ad_group_type_and_scope.md)。您也可以選擇將使用者和子群組新增至新群組，或將新群組新增至父群組。

**使用 建立 AWS Managed Microsoft AD 群組 AWS 管理主控台**

1. 在 https：//[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/) 開啟 Directory Service 主控台。

1.  從導覽窗格中，選擇 **Active Directory**，然後選擇**目錄**。系統會將您導向**目錄**畫面，您可以在其中檢視 中的目錄清單 AWS 區域。

1.  選擇目錄。系統會將您導向至**目錄詳細資訊**畫面。

1.  選擇**群組**。標籤顯示 中的群組清單 AWS 區域。

1.  選擇**建立群組**。系統會將您導向至完成建立新群組的程序。

1. **指定群組詳細資訊**頁面隨即開啟。輸入**群組名稱**。群組名稱必須符合下列條件：
   + 必須是唯一的群組名稱
   + 長度上限為 64 個字元
   + 只能包含英數字元
   + \$1\$1@\$1\$1%^&\$1\$1-\$1=`\$1\$1()\$1\$1[]:;"'<>,.?/
**警告**  
建立群組之後，就無法變更群組名稱。

1. 從下列其中一項中選擇**群組類型**：
   + **安全性**
   + **發佈**
     + 如需詳細資訊，請參閱 [Group type (群組類型)](ad_group_type_and_scope.md#ad_group_type)。

1. 從下列其中一項中選擇**群組範圍**：
   + **網域本機**
   + **通用**
   + **全域**
     + 您可以開啟**比較範圍**，以顯示群組範圍之間相似性和差異的圖表。如需詳細資訊，請參閱 [Group scope (群組範圍)](ad_group_type_and_scope.md#ad_group_scope)。

1. 提供主要資訊和聯絡方式後，選擇**下一步**。

1. 新增**使用者至群組 - *選用***頁面隨即開啟，您可以將使用者新增至新群組。若要尋找要新增至群組的使用者，請在使用者區段下的搜尋方塊中輸入**使用者**登入名稱。選取您要新增至群組的使用者，然後選擇**下一步**。

1. 新增**子群組 - *選用***頁面隨即開啟，您可以將現有群組新增至新群組。現有群組會成為新建立群組的子群組。當您將子群組新增至群組時，您的群組會成為父群組，而子群組會繼承群組的所有角色和許可。若要尋找要新增的群組，請在**新增子群組區段下的搜尋方塊中輸入群組**名稱。選取您要新增至新群組的子群組，然後選擇**下一步**。

1. 新增**父群組 - *選用***頁面隨即開啟，您可以將新群組新增至現有群組。新群組會成為現有群組的父群組。當您將群組新增至父群組時，您的群組會成為子群組，並繼承父群組的所有角色和許可。若要尋找要新增的群組，請在**新增父群組區段下的搜尋方塊中輸入群組**名稱。選取您要新增至新群組的父群組，然後選擇**下一步**。

1. 在**檢閱和建立群組**頁面上，檢閱您的選擇，然後選擇**建立群組**。

------
#### [ AWS CLI ]

 以下說明如何使用 AWS Directory Service Data CLI 格式化建立 AWS Managed Microsoft AD 群組的請求。建立新群組時，您必須包含目錄 ID 號碼和群組名稱。您也可以新增其他屬性，例如具有 `DisplayName` 屬性的群組顯示名稱。如需詳細資訊，請參閱[AWS Directory Service Data 屬性](ad_data_attributes.md)及[群組類型和群組範圍](ad_group_type_and_scope.md)。

**使用 建立 AWS Managed Microsoft AD 群組 AWS CLI**
+  開啟 AWS CLI，然後執行下列命令，將目錄 ID、使用者名稱和群組顯示名稱取代為您的 AWS Managed Microsoft AD Directory ID、使用者名稱和所需的群組顯示名稱：

```
aws ds-data create-group \
    --directory-id d-1234567890 \
    --sam-account-name "your-group-name" \
    --other-attributes '{
        "DisplayName": { "S": "myGroupDisplayName"}
        "Description":{ "S": "myGroupDescription"}
    }'
```

------
#### [ AWS Tools for PowerShell ]

 以下說明如何格式化使用 建立 AWS Managed Microsoft AD 群組的請求 AWS Tools for PowerShell。建立新群組時，您必須包含目錄 ID 號碼和群組名稱。您也可以新增其他屬性，例如具有 `DisplayName` 屬性的群組顯示名稱。如需詳細資訊，請參閱[AWS Directory Service Data 屬性](ad_data_attributes.md)及[群組類型和群組範圍](ad_group_type_and_scope.md)。

**使用 建立 AWS Managed Microsoft AD 群組 AWS Tools for PowerShell**
+  開啟 PowerShell，然後執行下列命令，將目錄 ID、使用者名稱和群組顯示名稱取代為您的 AWS Managed Microsoft AD Directory ID、使用者名稱和所需的群組顯示名稱：

```
New-DSDGroup `
    -DirectoryId d-1234567890 `
    -SAMAccountName "your-group-name" `
    -OtherAttribute @{
        DisplayName = [Amazon.DirectoryServiceData.Model.AttributeValue]@{S = 'myGroupDisplayName' }
        Description = [Amazon.DirectoryServiceData.Model.AttributeValue]@{S = 'myGroupDescription' }
    }
```

------

# 檢視和更新 AWS Managed Microsoft AD 群組的詳細資訊
<a name="ms_ad_view_update_group"></a>

使用下列程序，透過 、 或 中的使用者和群組管理或 AWS 目錄服務資料 AWS 管理主控台 AWS CLI，檢視或更新 AWS Managed Microsoft AD 群組的詳細資訊 AWS Tools for PowerShell。

## 檢視 AWS Managed Microsoft AD 群組的詳細資訊
<a name="ms_ad_view_group"></a>

您可以在 AWS 管理主控台 AWS CLI、 或 中檢視或更新群組的詳細資訊 AWS Tools for PowerShell。

**開始任一程序之前，您需要完成下列各項：**
+ [建立 AWS Managed Microsoft AD](ms_ad_getting_started.md#ms_ad_getting_started_create_directory).
+ 若要使用使用者和群組管理或 AWS Directory Service Data CLI，必須啟用它。如需詳細資訊，請參閱[啟用使用者和群組管理或目錄服務資料](ms_ad_users_groups_mgmt_enable_disable.md)。
+  您只能從目錄 AWS 區域 的主要 啟用此功能。如需詳細資訊，請參閱[主要區域與額外區域](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/multi-region-global-primary-additional.html)。
+ 您需要必要的 IAM 許可才能使用 AWS Directory Service Data。如需詳細資訊，請參閱[Directory Service API 許可：動作、資源和條件參考](UsingWithDS_IAM_ResourcePermissions.md)。若要開始將許可授予使用者和工作負載，您可以使用 [AWS 受管政策： AWSDirectoryServiceDataFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDirectoryServiceDataFullAccess)或 等 AWS 受管政策[AWS 受管政策： AWSDirectoryServiceDataReadOnlyAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDirectoryServiceDataReadOnlyAccess)。如需更多詳細資訊，請參閱 [IAM 中的安全最佳實務](https://docs.aws.amazon.com//IAM/latest/UserGuide/best-practices.html#bp-use-aws-defined-policies)。
+ [建立 AWS Managed Microsoft AD 群組](ms_ad_create_group.md)。

------
#### [ AWS 管理主控台 ]

 您可以在 中檢視 AWS Managed Microsoft AD 群組的詳細資訊 AWS 管理主控台。

**使用 檢視 AWS Managed Microsoft AD 群組的詳細資訊 AWS 管理主控台**

1. 在 https：//[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/) 開啟 Directory Service 主控台。

1. 從導覽窗格中，選擇 **Active Directory**，然後選擇**目錄**。系統會將您導向**目錄**畫面，您可以在其中檢視 中的目錄清單 AWS 區域。

1.  選擇目錄。系統會將您導向至**目錄詳細資訊**畫面。

1.  選擇**群組**。標籤顯示 中的群組清單 AWS 區域。

1.  選擇群組。若要尋找群組，請在群組區段下的搜尋方塊中輸入**群組**名稱。系統會將您導向至**群組詳細資訊**畫面。**群組詳細資訊**畫面顯示下列資訊：
   +  **成員**索引標籤列出屬於您群組成員的使用者和子群組。
   +  **父群組**索引標籤會列出您的群組所屬的父群組。
   +  **屬性**索引標籤會列出群組屬性 （例如群組名稱、群組顯示名稱等主要資訊）。

------
#### [ AWS CLI ]

 您可以使用 AWS Directory Service Data CLI 檢視 AWS Managed Microsoft AD 群組的詳細資訊。

**使用 檢視 AWS Managed Microsoft AD 群組的詳細資訊 AWS CLI**  
 以下說明如何使用 檢視 AWS Managed Microsoft AD 群組的詳細資訊 AWS CLI。
+  若要檢視群組的詳細資訊，請開啟 AWS CLI，然後執行下列命令，將目錄 ID 和群組名稱取代為您的 AWS Managed Microsoft AD Directory ID 和群組名稱：

```
aws ds-data describe-group --directory-id d-1234567890 --sam-account-name "your-group-name"
```

**使用 檢視 AWS Managed Microsoft AD 群組的群組成員 AWS CLI**  
 以下說明如何使用 檢視 AWS Managed Microsoft AD 群組的成員 AWS CLI。
+  若要檢視群組的詳細資訊，請開啟 AWS CLI，然後執行下列命令，將目錄 ID 和群組名稱取代為您的 AWS Managed Microsoft AD Directory ID 和群組名稱：

```
aws ds-data list-group-members --directory-id d-1234567890 --sam-account-name "your-group-name"
```

------
#### [ AWS Tools for PowerShell ]

 您可以使用 檢視 AWS Managed Microsoft AD 群組的詳細資訊 AWS Tools for PowerShell。

**若要使用 檢視 AWS Managed Microsoft AD 群組的詳細資訊 AWS Tools for PowerShell**  
 以下說明如何使用 Tools for PowerShell 檢視 AWS Managed Microsoft AD 群組的詳細資訊。
+ 若要檢視群組的詳細資訊，請開啟 PowerShell，然後執行下列命令，將目錄 ID 和群組名稱取代為您的 AWS Managed Microsoft AD Directory ID 和群組名稱：

```
Get-DSDGroup -DirectoryId d-1234567890 -SAMAccountName "your-group-name"
```

**若要使用 檢視 AWS Managed Microsoft AD 群組的群組成員 AWS Tools for PowerShell**  
 以下說明如何使用 Tools for PowerShell 檢視 AWS Managed Microsoft AD 群組的成員。
+  若要檢視群組的詳細資訊，請開啟 PowerShell，然後執行下列命令，將目錄 ID 和群組名稱取代為您的 AWS Managed Microsoft AD Directory ID 和群組名稱：

```
(Get-DSDGroupMemberList -DirectoryId d-1234567890 -SAMAccountName "your-group-name").Members
```

------

## 更新 AWS Managed Microsoft AD 群組的詳細資訊
<a name="ms_ad_update_group"></a>

使用下列程序，在 AWS 管理主控台 AWS CLI、 或 中使用使用者和群組管理或 AWS Directory Service Data 更新 AWS Managed Microsoft AD 群組的詳細資訊 AWS Tools for PowerShell。

**開始任一程序之前，您需要完成下列各項：**
+ [建立 AWS Managed Microsoft AD](ms_ad_getting_started.md#ms_ad_getting_started_create_directory).
+ 若要使用使用者和群組管理或 AWS Directory Service Data CLI，必須啟用它。如需詳細資訊，請參閱[啟用使用者和群組管理或目錄服務資料](ms_ad_users_groups_mgmt_enable_disable.md)。
+  您只能從目錄 AWS 區域 的主要 啟用此功能。如需詳細資訊，請參閱[主要區域與額外區域](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/multi-region-global-primary-additional.html)。
+ 您需要必要的 IAM 許可才能使用 AWS Directory Service Data。如需詳細資訊，請參閱[Directory Service API 許可：動作、資源和條件參考](UsingWithDS_IAM_ResourcePermissions.md)。若要開始將許可授予使用者和工作負載，您可以使用 [AWS 受管政策： AWSDirectoryServiceDataFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDirectoryServiceDataFullAccess)或 等 AWS 受管政策[AWS 受管政策： AWSDirectoryServiceDataReadOnlyAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDirectoryServiceDataReadOnlyAccess)。如需更多詳細資訊，請參閱 [IAM 中的安全最佳實務](https://docs.aws.amazon.com//IAM/latest/UserGuide/best-practices.html#bp-use-aws-defined-policies)。
+ [建立 AWS Managed Microsoft AD 群組](ms_ad_create_group.md)。

------
#### [ AWS 管理主控台 ]

您可以使用 更新群組的詳細資訊 AWS 管理主控台。如需詳細資訊，請參閱 [AWS Directory Service Data 屬性](ad_data_attributes.md) 和 [群組類型和群組範圍](ad_group_type_and_scope.md)

**使用 更新 AWS Managed Microsoft AD 群組的詳細資訊 AWS 管理主控台**

1. 在 https：//[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/) 開啟 Directory Service 主控台。

1.  從導覽窗格中，選擇 **Active Directory**，然後選擇**目錄**。系統會將您導向**目錄**畫面，您可以在其中檢視 中的目錄清單 AWS 區域。

1.  選擇目錄。系統會將您導向至**目錄詳細資訊**畫面。

1.  選擇**群組**。標籤顯示 中的群組清單 AWS 區域。

1.  選擇群組。若要尋找群組，請在群組區段下的搜尋方塊中輸入**群組**名稱。系統會將您導向至**群組詳細資訊**畫面。

1.  若要編輯屬於您群組成員的使用者和子群組，請選擇**成員**。您可以從此索引標籤新增和移除 群組中的使用者和子群組。如需詳細資訊，請參閱[將成員新增至群組，並將群組新增至群組](ms_ad_add_remove_user_group.md)。

1.  若要編輯群組所屬的父群組，請選擇**父群組**。在此索引標籤中，您可以從父群組新增和移除您的群組。如需詳細資訊，請參閱[將成員新增至群組，並將群組新增至群組](ms_ad_add_remove_user_group.md)。

1.  若要編輯群組屬性，請選擇**屬性**，然後選擇**編輯**。或者，選擇**動作**，然後選擇**編輯群組**。進行並檢閱您的更新，然後選擇**儲存**。

------
#### [ AWS CLI ]

 以下說明如何使用 AWS Directory Service Data CLI 格式化更新 AWS Managed Microsoft AD 群組詳細資訊的請求。

 更新群組時，您必須包含目錄 ID 號碼和群組名稱。您還必須在請求中包含要更新的更新類型和屬性，例如具有 `EmailAddress` 參數的群組電子郵件地址。如需詳細資訊，請參閱[AWS Directory Service Data 屬性](ad_data_attributes.md)及[群組類型和群組範圍](ad_group_type_and_scope.md)。
+ 

**使用 更新 AWS Managed Microsoft AD 群組的詳細資訊 AWS CLI**

   若要更新群組的詳細資訊，請開啟 AWS CLI並執行下列命令，將目錄 ID、群組名稱、更新類型和屬性取代為您的 AWS Managed Microsoft AD Directory ID、群組名稱，以及所需的更新類型和屬性：

```
aws ds-data update-group --directory-id d-1234567890 --sam-account-name "your-group-name" --update-type "REPLACE" --group-scope "global"
```

------
#### [ AWS Tools for PowerShell ]

 以下說明如何格式化更新 AWS Managed Microsoft AD 群組詳細資訊的請求 AWS Tools for PowerShell。

 更新群組時，您必須包含目錄 ID 號碼和群組名稱。您還必須在請求中包含要更新的更新類型和屬性，例如具有 `EmailAddress` 參數的群組電子郵件地址。如需詳細資訊，請參閱[AWS Directory Service Data 屬性](ad_data_attributes.md)及[群組類型和群組範圍](ad_group_type_and_scope.md)。
+ 

**使用 更新 AWS Managed Microsoft AD 群組的詳細資訊 AWS Tools for PowerShell**

   若要更新群組的詳細資訊，請開啟 PowerShell，並執行下列命令，將目錄 ID、群組名稱、更新類型和屬性取代為您的 AWS Managed Microsoft AD Directory ID、群組名稱，以及所需的更新類型和屬性：

```
Update-DSDGroup -DirectoryId d-1234567890 -SAMAccountName "your-group-name" -UpdateType "REPLACE" -GroupScope "global"
```

------

# 刪除 AWS Managed Microsoft AD 群組
<a name="ms_ad_delete_group"></a>

使用下列程序，在 AWS 管理主控台 AWS CLI、 或 中刪除具有使用者和群組管理或 AWS Directory Service Data 的 AWS Managed Microsoft AD 群組 AWS Tools for PowerShell。

**重要**  
當您刪除群組時，會移除群組的所有相關資訊，包括群組成員繼承的任何許可。

**開始任一程序之前，您需要完成下列各項：**
+ [建立 AWS Managed Microsoft AD](ms_ad_getting_started.md#ms_ad_getting_started_create_directory).
+ 若要使用使用者和群組管理或 AWS Directory Service Data CLI，必須啟用它。如需詳細資訊，請參閱[啟用使用者和群組管理或目錄服務資料](ms_ad_users_groups_mgmt_enable_disable.md)。
+  您只能從目錄 AWS 區域 的主要 啟用此功能。如需詳細資訊，請參閱[主要區域與額外區域](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/multi-region-global-primary-additional.html)。
+ 您需要必要的 IAM 許可才能使用 AWS Directory Service Data。如需詳細資訊，請參閱[Directory Service API 許可：動作、資源和條件參考](UsingWithDS_IAM_ResourcePermissions.md)。若要開始將許可授予使用者和工作負載，您可以使用 [AWS 受管政策： AWSDirectoryServiceDataFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDirectoryServiceDataFullAccess)或 等 AWS 受管政策[AWS 受管政策： AWSDirectoryServiceDataReadOnlyAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDirectoryServiceDataReadOnlyAccess)。如需更多詳細資訊，請參閱 [IAM 中的安全最佳實務](https://docs.aws.amazon.com//IAM/latest/UserGuide/best-practices.html#bp-use-aws-defined-policies)。
+ [建立 AWS Managed Microsoft AD 群組](ms_ad_create_group.md)。

------
#### [ AWS 管理主控台 ]

 您可以在 中刪除 AWS Managed Microsoft AD 群組 AWS 管理主控台。

**使用 刪除 AWS Managed Microsoft AD 群組 AWS 管理主控台**

1. 在 https：//[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/) 開啟 Directory Service 主控台。

1.  從導覽窗格中，選擇 **Active Directory**，然後選擇**目錄**。系統會將您導向**目錄**畫面，您可以在其中檢視 中的目錄清單 AWS 區域。

1.  選擇目錄。系統會將您導向至**目錄詳細資訊**畫面。

1.  選擇**群組**。標籤顯示 中的群組清單 AWS 區域。

1.  選擇您要刪除的群組。若要尋找群組，請在群組區段下的搜尋方塊中輸入**群組**名稱。系統會將您導向至**群組詳細資訊**畫面。

1.  選擇 **Delete group (刪除群組)**。此時會出現一個對話方塊，您可以選擇**確認**以刪除群組。

------
#### [ AWS CLI ]

 以下說明如何使用 AWS Directory Service Data CLI 格式化刪除 AWS Managed Microsoft AD 群組的請求。

**使用 刪除 AWS Managed Microsoft AD 群組 AWS CLI**
+  開啟 AWS CLI，然後執行下列命令，將目錄 ID 和群組名稱取代為您的 AWS Managed Microsoft AD Directory ID 和群組名稱：

```
aws ds-data delete-group --directory-id d-1234567890 --sam-account-name "your-group-name"
```

------
#### [ AWS Tools for PowerShell ]

 以下說明如何使用 格式化刪除 AWS Managed Microsoft AD 群組的請求 AWS Tools for PowerShell。

**使用 刪除 AWS Managed Microsoft AD 群組 AWS Tools for PowerShell**
+  開啟 PowerShell，然後執行下列命令，將目錄 ID 和群組名稱取代為您的 AWS Managed Microsoft AD Directory ID 和群組名稱：

```
Remove-DSDGroup -DirectoryId d-1234567890 -SAMAccountName "your-group-name"
```

------

# 將 AWS Managed Microsoft AD 成員新增至群組，並將群組新增至群組
<a name="ms_ad_add_remove_user_group"></a>

 使用 [AWS Directory Service Data API](https://docs.aws.amazon.com/directoryservicedata/latest/DirectoryServiceDataAPIReference/Welcome.html)，成員可以是使用者、群組或電腦。使用者代表可存取您目錄的個人或實體。群組可讓您一次授予和拒絕多個使用者的許可。

使用下列程序，將 AWS Managed Microsoft AD 使用者新增至群組或群組，或在 AWS 管理主控台 AWS CLI、 或 中使用使用者和群組管理或 AWS 目錄服務資料新增至另一個群組 AWS Tools for PowerShell。

## 將使用者新增至群組
<a name="add_user_to_group"></a>

使用下列程序，將 AWS Managed Microsoft AD 使用者新增至 AWS 管理主控台 AWS CLI、 或 中具有使用者和群組管理或 AWS Directory Service Data 的群組 AWS Tools for PowerShell。

**重要**  
 當您將 AWS Managed Microsoft AD 使用者新增至群組時，該使用者會繼承指派給群組的角色和許可。這些角色和許可是使用者群組成員資格的一部分。

**開始任一程序之前，您需要完成下列各項：**
+ [建立 AWS Managed Microsoft AD](ms_ad_getting_started.md#ms_ad_getting_started_create_directory).
+ 若要使用使用者和群組管理或 AWS Directory Service Data CLI，必須啟用它。如需詳細資訊，請參閱[啟用使用者和群組管理或目錄服務資料](ms_ad_users_groups_mgmt_enable_disable.md)。
+  您只能從目錄 AWS 區域 的主要 啟用此功能。如需詳細資訊，請參閱[主要區域與額外區域](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/multi-region-global-primary-additional.html)。
+ 您需要必要的 IAM 許可才能使用 AWS Directory Service Data。如需詳細資訊，請參閱[Directory Service API 許可：動作、資源和條件參考](UsingWithDS_IAM_ResourcePermissions.md)。若要開始將許可授予使用者和工作負載，您可以使用 [AWS 受管政策： AWSDirectoryServiceDataFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDirectoryServiceDataFullAccess)或 等 AWS 受管政策[AWS 受管政策： AWSDirectoryServiceDataReadOnlyAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDirectoryServiceDataReadOnlyAccess)。如需更多詳細資訊，請參閱 [IAM 中的安全最佳實務](https://docs.aws.amazon.com//IAM/latest/UserGuide/best-practices.html#bp-use-aws-defined-policies)。
+ [建立 AWS Managed Microsoft AD 使用者](ms_ad_create_user.md)。
+ [建立 AWS Managed Microsoft AD 群組](ms_ad_create_group.md)。

------
#### [ AWS 管理主控台 ]

您可以使用 將 AWS Managed Microsoft AD 成員新增至群組 AWS 管理主控台。

**使用 將 AWS Managed Microsoft AD 使用者新增至群組 AWS 管理主控台**

1. 在 https：//[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/) 開啟 Directory Service 主控台。

1.  從導覽窗格中，選擇 **Active Directory**，然後選擇**目錄**。系統會將您導向**目錄**畫面，您可以在其中檢視 中的目錄清單 AWS 區域。

1.  選擇目錄。系統會將您導向至**目錄詳細資訊**畫面。

1.  選擇 **Groups (群組)**。若要尋找群組，請在群組區段下的搜尋方塊中輸入**群組**名稱。標籤顯示 中的群組清單 AWS 區域。

1.  選擇群組。系統會將您導向至**群組詳細資訊**畫面。

1.  選擇**成員**。標籤會依群組中的成員類型顯示使用者和子群組的清單。

1.  在**成員**索引標籤下，選擇**新增成員**。

1.  在**成員**下，選取您要新增至群組的使用者，然後選擇**新增成員至群組**。若要尋找成員，請在**成員**區段下的搜尋方塊中輸入使用者的使用者登入名稱和群組名稱。

------
#### [ AWS CLI ]

 以下說明如何使用 AWS Directory Service Data CLI 格式化將 AWS Managed Microsoft AD 成員新增至群組的請求。

**使用 將 AWS Managed Microsoft AD 使用者新增至群組 AWS CLI**
+  若要將使用者新增至群組，請開啟 AWS CLI，然後執行下列命令，將目錄 ID、群組和成員名稱取代為您的 AWS Managed Microsoft AD Directory ID，以及群組和成員名稱：

```
aws ds-data add-group-member --directory-id d-1234567890 --group-name "your-group-name" --member-name "jane.doe"
```

------
#### [ AWS Tools for PowerShell ]

 以下說明如何格式化將 AWS Managed Microsoft AD 成員新增至 群組的請求 AWS Tools for PowerShell。

**將 AWS Managed Microsoft AD 使用者新增至具有 的群組 AWS Tools for PowerShell**
+  若要將使用者新增至群組，請開啟 PowerShell，然後執行下列命令，將目錄 ID、群組和成員名稱取代為您的 AWS Managed Microsoft AD Directory ID，以及群組和成員名稱：

```
Add-DSDGroupMember -DirectoryId d-1234567890 -GroupName "your-group-name" -MemberName "jane.doe"
```

------

## 從群組中移除使用者
<a name="remove_user_from_group"></a>

 使用 [AWS Directory Service Data API](https://docs.aws.amazon.com/directoryservicedata/latest/DirectoryServiceDataAPIReference/Welcome.html)，成員可以是使用者、群組或電腦。使用者代表可存取您目錄的個人或實體。群組可讓您一次授予和拒絕多個使用者的許可。

使用下列程序，將 AWS Managed Microsoft AD 使用者移除至 AWS 管理主控台、 AWS CLI或 中具有使用者和群組管理或 AWS Directory Service Data 的群組 AWS Tools for PowerShell。

**重要**  
 當您從群組中移除 AWS Managed Microsoft AD 使用者時，使用者會失去指派給群組的角色和許可的存取權。這些角色和許可是群組成員資格的一部分。

**開始任一程序之前，您需要完成下列各項：**
+ [建立 AWS Managed Microsoft AD](ms_ad_getting_started.md#ms_ad_getting_started_create_directory).
+ 若要使用使用者和群組管理或 AWS Directory Service Data CLI，必須啟用它。如需詳細資訊，請參閱[啟用使用者和群組管理或目錄服務資料](ms_ad_users_groups_mgmt_enable_disable.md)。
+  您只能從目錄 AWS 區域 的主要 啟用此功能。如需詳細資訊，請參閱[主要區域與額外區域](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/multi-region-global-primary-additional.html)。
+ 您需要必要的 IAM 許可才能使用 AWS Directory Service Data。如需詳細資訊，請參閱[Directory Service API 許可：動作、資源和條件參考](UsingWithDS_IAM_ResourcePermissions.md)。若要開始將許可授予使用者和工作負載，您可以使用 [AWS 受管政策： AWSDirectoryServiceDataFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDirectoryServiceDataFullAccess)或 等 AWS 受管政策[AWS 受管政策： AWSDirectoryServiceDataReadOnlyAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDirectoryServiceDataReadOnlyAccess)。如需更多詳細資訊，請參閱 [IAM 中的安全最佳實務](https://docs.aws.amazon.com//IAM/latest/UserGuide/best-practices.html#bp-use-aws-defined-policies)。
+ [建立 AWS Managed Microsoft AD 使用者](ms_ad_create_user.md)。
+ [建立 AWS Managed Microsoft AD 群組](ms_ad_create_group.md)。

------
#### [ AWS 管理主控台 ]

您可以使用 從 群組中移除 AWS Managed Microsoft AD 成員 AWS 管理主控台。

**使用 從 群組中移除 AWS Managed Microsoft AD 使用者 AWS 管理主控台**

1. 在 https：//[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/) 開啟 Directory Service 主控台。

1.  從導覽窗格中，選擇 **Active Directory**，然後選擇**目錄**。系統會將您導向**目錄**畫面，您可以在其中檢視 中的目錄清單 AWS 區域。

1.  選擇目錄。系統會將您導向至**目錄詳細資訊**畫面。

1.  選擇 **Groups (群組)**。標籤顯示 中的群組清單 AWS 區域。

1.  選擇群組。若要尋找群組，請在群組區段下的搜尋方塊中輸入**群組**名稱。系統會將您導向至**群組詳細資訊**畫面。

1.  選擇**成員**。標籤會依群組中的成員類型顯示使用者和子群組的清單。

1.  選取您要從群組中移除的使用者，然後選擇**移除**。若要尋找使用者，請在**成員**區段下的搜尋方塊中輸入使用者登入名稱。

1.  確認您要從群組中移除使用者，然後再次選擇**移除**。

------
#### [ AWS CLI ]

 以下說明如何使用 AWS Directory Service Data CLI 格式化從群組中移除 AWS Managed Microsoft AD 成員的請求。

**從具有 的群組中移除 AWS Managed Microsoft AD 使用者 AWS CLI**
+  若要將使用者移除至群組，請開啟 AWS CLI，然後執行下列命令，將目錄 ID、群組和成員名稱取代為您的 AWS Managed Microsoft AD Directory ID、群組和成員名稱：

```
aws ds-data remove-group-member --directory-id d-1234567890 --group-name "your-group-name" --member-name "jane.doe"
```

------
#### [ AWS Tools for PowerShell ]

 以下說明如何格式化從 群組中移除 AWS Managed Microsoft AD 成員的請求 AWS Tools for PowerShell。

**從具有 的群組中移除 AWS Managed Microsoft AD 使用者 AWS Tools for PowerShell**
+  若要將使用者移除至群組，請開啟 PowerShell，然後執行下列命令，將目錄 ID、群組和成員名稱取代為您的 AWS Managed Microsoft AD Directory ID、群組和成員名稱：

```
Remove-DSDGroupMember -DirectoryId d-1234567890 -GroupName "your-group-name" -MemberName "jane.doe"
```

------

## 將群組新增至群組
<a name="add_group_to_group"></a>

當您將 AWS Managed Microsoft AD 群組新增至另一個群組時，群組會共用父子關係。子群組可以存取指派給父群組的角色和許可。您可以將子群組新增至您的群組，並將您的群組新增至父群組。

**開始任一程序之前，您需要完成下列各項：**
+ [建立 AWS Managed Microsoft AD](ms_ad_getting_started.md#ms_ad_getting_started_create_directory).
+ 若要使用使用者和群組管理或 AWS Directory Service Data CLI，必須啟用它。如需詳細資訊，請參閱[啟用使用者和群組管理或目錄服務資料](ms_ad_users_groups_mgmt_enable_disable.md)。
+  您只能從目錄 AWS 區域 的主要 啟用此功能。如需詳細資訊，請參閱[主要區域與額外區域](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/multi-region-global-primary-additional.html)。
+ 您需要必要的 IAM 許可才能使用 AWS Directory Service Data。如需詳細資訊，請參閱[Directory Service API 許可：動作、資源和條件參考](UsingWithDS_IAM_ResourcePermissions.md)。若要開始將許可授予使用者和工作負載，您可以使用 [AWS 受管政策： AWSDirectoryServiceDataFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDirectoryServiceDataFullAccess)或 等 AWS 受管政策[AWS 受管政策： AWSDirectoryServiceDataReadOnlyAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDirectoryServiceDataReadOnlyAccess)。如需更多詳細資訊，請參閱 [IAM 中的安全最佳實務](https://docs.aws.amazon.com//IAM/latest/UserGuide/best-practices.html#bp-use-aws-defined-policies)。
+ [建立 AWS Managed Microsoft AD 群組](ms_ad_create_group.md)。

------
#### [ AWS 管理主控台 ]

您可以使用 將 AWS Managed Microsoft AD 群組新增至群組 AWS 管理主控台。

**使用 將子群組新增至您的群組 AWS 管理主控台**

1. 在 https：//[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/) 開啟 Directory Service 主控台。

1.  從導覽窗格中，選擇 **Active Directory**，然後選擇**目錄**。系統會將您導向**目錄**畫面，您可以在其中檢視 中的目錄清單 AWS 區域。

1.  選擇目錄。系統會將您導向至**目錄詳細資訊**畫面。

1.  選擇 **Groups (群組)**。標籤顯示 中的群組清單 AWS 區域。

1.  選擇群組。若要尋找群組，請在群組區段下的搜尋方塊中輸入**群組**名稱。系統會將您導向至**群組詳細資訊**畫面。

1.  選擇**成員**。標籤會依群組中的成員類型顯示使用者和子群組的清單。

1.  選擇**新增成員**。

1.  在**成員** （成員） 下，選取您要新增至群組的子群組，然後選擇**新增成員至群組**。

**使用 將父群組新增至群組 AWS 管理主控台**

1. 在 https：//[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/) 開啟 Directory Service 主控台。

1.  從導覽窗格中，選擇 **Active Directory**，然後選擇**目錄**。系統會將您導向**目錄**畫面，您可以在其中檢視 中的目錄清單 AWS 區域。

1.  選擇目錄。系統會將您導向至**目錄詳細資訊**畫面。

1.  選擇 **Groups (群組)**。標籤顯示 中的群組清單 AWS 區域。

1.  選擇群組。若要尋找群組，請在群組區段下的搜尋方塊中輸入**群組**名稱。系統會將您導向至**群組詳細資訊**畫面。

1.  選擇**父群組**。標籤顯示群組所屬的群組清單。

1.  選擇**新增父群組**。

1.  在**群組** （群組） 下，選取您要新增群組的群組，然後再次選擇**新增父群組**。

------
#### [ AWS CLI ]

 以下說明如何使用 AWS Directory Service Data CLI 格式化將 AWS Managed Microsoft AD 群組新增至群組的請求。

**使用 將子群組新增至您的群組 AWS CLI**
+  若要將子群組新增至父群組，請開啟 AWS CLI，然後執行下列命令，將目錄 ID、群組和成員名稱取代為您的 AWS Managed Microsoft AD Directory ID、群組和成員名稱：

```
aws ds-data add-group-member --directory-id d-1234567890 --group-name "parent-group-name" --member-name "child-group-name"
```

------
#### [ AWS Tools for PowerShell ]

 以下說明如何格式化將 AWS Managed Microsoft AD 群組新增至 群組的請求 AWS Tools for PowerShell。

**使用 將子群組新增至您的群組 AWS Tools for PowerShell**
+  若要將子群組新增至父群組，請開啟 PowerShell，然後執行下列命令，將目錄 ID、群組和成員名稱取代為您的 AWS Managed Microsoft AD Directory ID、群組和成員名稱：

```
Add-DSDGroupMember -DirectoryId d-1234567890 -GroupName "parent-group-name" -MemberName "child-group-name"
```

------

## 從群組中移除群組
<a name="remove_group_from_group"></a>

 當您從另一個群組移除 AWS Managed Microsoft AD 群組時，群組將不再共用父子關係。子群組無法存取指派給父群組的角色和許可。您可以從您的群組移除子群組，並從父群組移除您的群組。

**開始任一程序之前，您需要完成下列各項：**
+ [建立 AWS Managed Microsoft AD](ms_ad_getting_started.md#ms_ad_getting_started_create_directory).
+ 若要使用使用者和群組管理或 AWS Directory Service Data CLI，必須啟用它。如需詳細資訊，請參閱[啟用使用者和群組管理或目錄服務資料](ms_ad_users_groups_mgmt_enable_disable.md)。
+  您只能從目錄 AWS 區域 的主要 啟用此功能。如需詳細資訊，請參閱[主要區域與額外區域](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/multi-region-global-primary-additional.html)。
+ 您需要必要的 IAM 許可才能使用 AWS Directory Service Data。如需詳細資訊，請參閱[Directory Service API 許可：動作、資源和條件參考](UsingWithDS_IAM_ResourcePermissions.md)。若要開始將許可授予使用者和工作負載，您可以使用 [AWS 受管政策： AWSDirectoryServiceDataFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDirectoryServiceDataFullAccess)或 等 AWS 受管政策[AWS 受管政策： AWSDirectoryServiceDataReadOnlyAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDirectoryServiceDataReadOnlyAccess)。如需更多詳細資訊，請參閱 [IAM 中的安全最佳實務](https://docs.aws.amazon.com//IAM/latest/UserGuide/best-practices.html#bp-use-aws-defined-policies)。
+ [建立 AWS Managed Microsoft AD 群組](ms_ad_create_group.md)。

------
#### [ AWS 管理主控台 ]

 您可以使用 將 AWS Managed Microsoft AD 群組移除至群組 AWS 管理主控台。

**使用 從 群組中移除子群組 AWS 管理主控台**

1. 在 https：//[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/) 開啟 Directory Service 主控台。

1.  從導覽窗格中，選擇 **Active Directory**，然後選擇**目錄**。系統會將您導向**目錄**畫面，您可以在其中檢視 中的目錄清單 AWS 區域。

1.  選擇目錄。系統會將您導向至**目錄詳細資訊**畫面。

1.  選擇 **Groups (群組)**。標籤顯示 中的群組清單 AWS 區域。

1.  選擇群組。系統會將您導向至**群組詳細資訊**畫面。若要尋找群組，請在群組區段下的搜尋方塊中輸入**群組**名稱。

1.  選擇**成員**。標籤會依群組中的成員類型顯示使用者和子群組的清單。

1.  選取您要從群組中移除的子群組 （然後選取**移除**)。

1.  確認您要從群組中移除的子群組 （然後），然後再次選擇**移除**。

**使用 從父群組中移除您的群組 AWS 管理主控台**

1. 在 https：//[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/) 開啟 Directory Service 主控台。

1.  從導覽窗格中，選擇 **Active Directory**，然後選擇**目錄**。系統會將您導向**目錄**畫面，您可以在其中檢視 中的目錄清單 AWS 區域。

1.  選擇目錄。系統會將您導向至**目錄詳細資訊**畫面。

1.  選擇 **Groups (群組)**。標籤顯示 中的群組清單 AWS 區域。

1.  選擇群組。系統會將您導向至**群組詳細資訊**畫面。若要尋找群組，請在群組區段下的搜尋方塊中輸入**群組**名稱。

1.  選擇**父群組**。標籤顯示您的群組所屬的群組清單。

1.  選取您要從中移除群組的父群組，然後選擇**移除父群組**。

1.  確認您要從中移除群組的父群組，然後再次選擇**移除父群組**。

------
#### [ AWS CLI ]

以下說明如何使用 AWS Directory Service Data CLI，將移除 AWS Managed Microsoft AD 群組的請求格式化為群組。
+ 

**使用 從父群組移除子群組 AWS CLI**

   若要從父群組新增移除子群組，請開啟 AWS CLI，然後執行下列命令，將目錄 ID、群組和成員名稱取代為您的 AWS Managed Microsoft AD Directory ID、群組和成員名稱：

```
aws ds-data remove-group-member --directory-id d-1234567890 --group-name "parent-group-name" --member-name "child-group-name"
```

------
#### [ AWS Tools for PowerShell ]

以下說明如何將移除 AWS Managed Microsoft AD 群組的請求格式化為 群組 AWS Tools for PowerShell。
+ 

**若要使用 從父群組中移除子群組 AWS Tools for PowerShell**

   若要從父群組新增移除子群組，請開啟 PowerShell，然後執行下列命令，將目錄 ID、群組和成員名稱取代為您的 AWS Managed Microsoft AD Directory ID、群組和成員名稱：

```
Remove-DSDGroupMember -DirectoryId d-1234567890 -GroupName "parent-group-name" -MemberName "child-group-name"
```

------

# 在 中複製 AWS Managed Microsoft AD 群組成員資格 AWS 管理主控台
<a name="copy_group_membership"></a>

 您可以將群組成員資格從一個 AWS Managed Microsoft AD 使用者複製到 中的另一個使用者 AWS 管理主控台。群組成員資格是使用者在將角色和許可新增至群組時繼承的角色和許可。

**開始此程序之前，您需要完成以下項目：**
+ [建立 AWS Managed Microsoft AD](ms_ad_getting_started.md#ms_ad_getting_started_create_directory).
+ 若要使用使用者和群組管理或 AWS Directory Service Data CLI，必須啟用它。如需詳細資訊，請參閱[啟用使用者和群組管理或目錄服務資料](ms_ad_users_groups_mgmt_enable_disable.md)。
+  您只能從目錄 AWS 區域 的主要 啟用此功能。如需詳細資訊，請參閱[主要區域與額外區域](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/multi-region-global-primary-additional.html)。
+ 您需要必要的 IAM 許可才能使用 AWS Directory Service Data。如需詳細資訊，請參閱[Directory Service API 許可：動作、資源和條件參考](UsingWithDS_IAM_ResourcePermissions.md)。若要開始將許可授予使用者和工作負載，您可以使用 [AWS 受管政策： AWSDirectoryServiceDataFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDirectoryServiceDataFullAccess)或 等 AWS 受管政策[AWS 受管政策： AWSDirectoryServiceDataReadOnlyAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDirectoryServiceDataReadOnlyAccess)。如需更多詳細資訊，請參閱 [IAM 中的安全最佳實務](https://docs.aws.amazon.com//IAM/latest/UserGuide/best-practices.html#bp-use-aws-defined-policies)。
+ [建立 AWS Managed Microsoft AD 群組](ms_ad_create_group.md)。

**使用 複製 AWS Managed Microsoft AD 群組成員資格 AWS 管理主控台**

1. 在 https：//[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/) 開啟 Directory Service 主控台。

1.  從導覽窗格中，選擇 **Active Directory**，然後選擇**目錄**。系統會將您導向**目錄**畫面，您可以在其中檢視 中的目錄清單 AWS 區域。

1.  選擇目錄。系統會將您導向至**目錄詳細資訊**畫面。

1.  選擇 **Groups (群組)**。標籤顯示 中的群組清單 AWS 區域。

1. 選擇您要複製其群組成員資格的帳戶。若要尋找使用者，請在使用者區段下的搜尋方塊中輸入**使用者**登入名稱。系統會將您導向**使用者詳細資訊**畫面。

1.  選擇**複製所有群組成員**資格。系統會將您導向至一個程序，您可以在其中指定要複製的群組。

   1.  對於**要複製的驗證群組**，**在要複製的群組**下，選取具有您要複製之角色和許可的群組，然後選擇**下一步**。

   1.  對於**選取目的地帳戶**，在**帳戶類型**下，選擇**現有使用者帳戶**，將群組成員資格複製到現有使用者帳戶。或者，選擇**新使用者帳戶**以建立新的使用者，並將群組成員資格複製到新的使用者帳戶。若要尋找群組，請在**所選群組區段下的搜尋方塊中輸入群組**的名稱。

      1. *（選用）* 如果您選擇**現有的使用者帳戶**，請選取您要將角色和許可複製到其中的目的地帳戶，然後選擇**下一步**。

      1. *（選用）* 如果您選擇**新增使用者帳戶**，請完成程序，然後選擇**下一步**。如需建立使用者的資訊，請參閱 [建立使用者](ms_ad_create_user.md)。

   1.  針對**檢閱和複製群組成員**資格，檢閱您的選擇，然後選擇**複製群組成員資格**。