本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 创建微软 AD Amazon 托管用户 使用以下步骤创建新的 Amazon 托管 Microsoft AD 用户,该用户在 Amazon Web Services 管理控制台 Amazon CLI、或中使用用户和组管理或 Amazon 目录服务数据 Amazon Tools for PowerShell。 **在开始任一过程之前,您需要完成以下操作:** + 要使用用户和组管理或 Amazon Directory Service Data CLI,必须将其启用。有关更多信息,请参阅[启用用户和组管理或 Directory Service Data](ms_ad_users_groups_mgmt_enable_disable.md)。 + 您只能从主目录中 Amazon Web Services 区域 为目录启用此功能。有关更多信息,请参阅[主区域与其他区域](https://docs.amazonaws.cn/directoryservice/latest/admin-guide/multi-region-global-primary-additional.html)。 + 您需要必要的 IAM 权限才能使用 Amazon Directory Service 数据。有关更多信息,请参阅 [Amazon Directory Service API 权限:操作、资源和条件参考](UsingWithDS_IAM_ResourcePermissions.md)。要开始向您的用户和工作负载授予权限,您可以使用 Amazon 托管策略,例如[Amazon 托管策略:AWSDirectoryServiceDataFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDirectoryServiceDataFullAccess)或[Amazon 托管策略:AWSDirectoryServiceDataReadOnlyAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDirectoryServiceDataReadOnlyAccess)。有关更多信息,请参阅 [IAM 安全最佳实践](https://docs.amazonaws.cn//IAM/latest/UserGuide/best-practices.html#bp-use-aws-defined-policies)。 ------ #### [ Amazon Web Services 管理控制台 ] 你可以在中创建一个新的 Amazon 托管 Microsoft AD 用户帐户 Amazon Web Services 管理控制台。创建新的用户账户时,您需要指定新用户的详细信息,并确定是将新用户添加到组还是将其他用户的组成员资格复制到新用户中。 有关更多信息,请参阅[Amazon “目录服务数据” 属性](ad_data_attributes.md)和[组类型和组范围](ad_group_type_and_scope.md)。 **使用创建 Amazon 托管 Microsoft AD 用户 Amazon Web Services 管理控制台** 1. 打开 Amazon Directory Service 控制台,网址为[https://console.aws.amazon.com/directoryservicev2/](https://console.amazonaws.cn/directoryservicev2/)。 1. 在导航窗格中,选择 **Active Directory**,然后选择**目录**。您将被定向到 “**目录**” 屏幕,您可以在其中查看您的目录列表 Amazon Web Services 区域。 1. 选择一个目录。系统会将您定向到**目录详细信息**屏幕。 1. 在**目录详细信息**页面的**用户**部分下,选择**创建用户账户**。 1. 将打开**指定用户详细信息**页面。在**所需信息**部分下,输入用户登录名和密码。用户登录名必须符合以下条件: + 必须是唯一的登录名称 + 最长可为 20 个字符 + 只能包含字母数字字符 + \$1\$1@\$1\$1%^&\$1\$1-\$1=`\$1\$1()\$1\$1[]:;"'<>,.?/ + 密码必须符合您的密码策略要求。有关更多信息,请 Amazon 咨询您的管理员。 **警告** 在创建用户后,将无法更改用户登录名。 1. *(可选)*在**主要信息**部分下,您可以输入用户的名字和姓氏。您也可以输入用户的显示名称和描述。 1. *(可选)*在**联系方式**部分下,您可以输入用户的电子邮件地址和电话号码。 1. *(可选)*在**工作相关信息**部分下,您可以输入用户的部门、经理、办公室和公司。 1. *(可选)*在**地址**部分下,您可以输入用户的地址。 1. *(可选)*在**账户设置**部分下,您可以输入用户的备注、首选语言和服务主体名称。 有关用户属性的更多信息,请参阅[Amazon “目录服务数据” 属性](ad_data_attributes.md)和 [Microsoft文档](https://learn.microsoft.com/en-us/windows/win32/ad/user-object-attributes)。 1. 提供用户账户详细信息后,选择**下一步**。 1. 在**将用户添加到组*(可选)***页面上,您可以将用户添加到新组或现有组中。您也可以将现有用户的组成员资格复制到新用户中。如果您不想将用户添加到组,请选择**下一步**。继续执行此过程的步骤 12。 1. *(可选)*要创建新群组,请参阅[创建 Amazon 托管的 Microsoft AD 群组](ms_ad_create_group.md)。 1. *(可选)*要将新用户添加到现有组,请执行以下操作: 1. 在**组**部分中,选择要将新用户添加到的组。要查找组,请在搜索框中输入组名称。 1. *(可选)*要将现有用户的组成员资格复制到新用户,请执行以下操作: 1. 选择**复制用户的组成员资格**选项卡。要查找您要复制其组成员资格的用户,请在**用户**部分下的搜索框中输入用户登录名。 1. 在**选定组**部分中,选择新用户要加入的组。 1. 当准备好创建新用户账户时,选择**下一步**。 1. 在**查看和创建用户**页面中,查看您所做的所有选择。选择**创建用户**。 1. 配置用户后,您将进入新用户的详细信息页面。将出现一个横幅,指示已成功创建用户。 **重要** 如果您收到一条错误消息,告知您无权创建用户,请按照错误消息中的说明请求管理员授予您访问权限。 ------ #### [ Amazon CLI ] 以下内容介绍如何使用 Amazon 目录服务数据 CLI 格式化创建新的 Amazon 托管 Microsoft AD 用户帐户的请求。您必须在请求中包含您的目录 ID 号和用户登录名。您还可以包含其他属性,例如带 `DisplayName` 属性的用户显示名称。有关更多信息,请参阅[Amazon “目录服务数据” 属性](ad_data_attributes.md)和[组类型和组范围](ad_group_type_and_scope.md)。 **使用创建 Amazon 托管微软 AD 用户 Amazon CLI** + 打开并运行以下命令 Amazon CLI,将目录 ID、用户名和显示名称替换为您 Amazon 的 Microsoft AD Directory ID 和所需的凭据: ``` aws ds-data create-user \ --directory-id d-1234567890 \ --sam-account-name "jane.doe" \ --other-attributes '{ "DisplayName" : { "S": "jane.doe"}, "Department":{ "S": "Legal"} }‘ ``` ------ #### [ Amazon Tools for PowerShell ] 下面介绍如何格式化使用创建新的 Amazon 托管 Microsoft AD 用户帐户的请求 Amazon Tools for PowerShell。您必须在请求中包含您的目录 ID 号和用户登录名。您还可以包含其他属性,例如带 `DisplayName` 属性的用户显示名称。有关更多信息,请参阅[Amazon “目录服务数据” 属性](ad_data_attributes.md)和[组类型和组范围](ad_group_type_and_scope.md)。 **使用以下工具创建 Amazon 托管 Microsoft AD 用户 PowerShell** + 打开并运行以下命令PowerShell,将目录 ID、用户名和显示名称替换为您 Amazon 的 Microsoft AD Directory ID 和所需的凭据: ``` New-DSDUser ` -DirectoryId d-1234567890 ` -SAMAccountName "jane.doe" ` -OtherAttribute @{ DisplayName = [Amazon.DirectoryServiceData.Model.AttributeValue]@{S = 'jane.doe' } Department = [Amazon.DirectoryServiceData.Model.AttributeValue]@{S = 'Legal' } } ``` ------