本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Amazon 托管 Microsoft AD 中的用户和群组管理
<a name="ms_ad_manage_users_groups"></a>

 你可以在 Amazon 托管 Microsoft AD 中管理用户和群组。您可以创建用户以表示可以访问您目录的人员或实体。您还可以创建组一次向多个用户授予和拒绝权限。您不仅可以将用户添加到组，还可以将组添加到组。当您将用户添加到组时，该用户将继承分配给该组的角色和权限。将组添加到组时，这些组将共享父子关系，子组继承分配给父组的角色和权限。您也可以将用户的组成员资格复制给其他用户。

可以使用以下方法通过[Amazon Directory 服务数据](ms_ad_getting_started_directory_service_data.md)管理用户和组：
+ [Amazon Web Services 管理控制台](#ms_ad_manage_users_groups_with_console)
+ [Amazon CLI](#ms_ad_manage_users_groups_console_cli)
+ [Amazon Directory Service 数据](https://docs.amazonaws.cn/directoryservicedata/latest/DirectoryServiceDataAPIReference/Welcome.html)
+ [Amazon Tools for Windows PowerShell](https://docs.amazonaws.cn/powershell/latest/reference/items/DirectoryServiceData_cmdlets.html)

有关 Amazon Directory Service Data CLI 的演示，请YouTube观看以下视频。

或者，您可以使用[加入域的实例](#ms_ad_manage_users_groups_with_instance)。

## 使用管理用户和群组 Amazon Web Services 管理控制台
<a name="ms_ad_manage_users_groups_with_console"></a>

 您可以使用 with Di Amazon rectory Servic Amazon Web Services 管理控制台 e Data 管理用户和群组。Directory Service Data 是的扩展，它使您能够执行内置的对象管理任务。 Amazon Directory Service 其中一些任务包括创建用户和组、将用户添加到组以及将组添加到组。

有关更多信息，请参阅[使用 Amazon Web Services 管理控制台管理 Amazon Managed Microsoft AD 用户和组](ms_ad_manage_users_groups_procedures.md)。

**注意**  
要使用此功能，必须将其启用。有关更多信息，请参阅[启用用户和组管理](ms_ad_users_groups_mgmt_enable_disable.md)。  
 您只能使用主 Amazon Web Services 区域 目录中的用户和群组 Amazon Web Services 管理控制台 来管理用户和群组。有关更多信息，请参阅[主区域与其他区域](https://docs.amazonaws.cn/directoryservice/latest/admin-guide/multi-region-global-primary-additional.html)。  
您需要必要的 IAM 权限才能使用 Amazon Directory Service 数据。有关更多信息，请参阅 [Amazon Directory Service API 权限：操作、资源和条件参考](UsingWithDS_IAM_ResourcePermissions.md)。要开始向您的用户和工作负载授予权限，您可以使用 Amazon 托管策略，例如[Amazon 托管策略：AWSDirectoryServiceDataFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDirectoryServiceDataFullAccess)或[Amazon 托管策略：AWSDirectoryServiceDataReadOnlyAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDirectoryServiceDataReadOnlyAccess)。有关更多信息，请参阅 [IAM 安全最佳实践](https://docs.amazonaws.cn//IAM/latest/UserGuide/best-practices.html#bp-use-aws-defined-policies)。

## 使用管理用户和群组 Amazon CLI
<a name="ms_ad_manage_users_groups_console_cli"></a>

 您可以 Amazon CLI 通过 Di [Amazon rectory Service Data API](https://docs.amazonaws.cn/directoryservicedata/latest/DirectoryServiceDataAPIReference/Welcome.html) 管理用户和群组。Directory Service Data 是的扩展，它使您能够使用`ds-data`命名空间执行内置的对象管理任务。 Amazon Directory Service 其中一些任务包括创建用户和组、将用户添加到组以及将组添加到组。

**使用 Di Amazon rectory Service Data CLI 创建用户**  
 以下是使用`ds-data`命名空间创建用户的 Amazon CLI 命令示例。

```
aws ds-data create-user --directory-id d-1234567890 --sam-account-name "jane.doe" --region your-Primary-Region-name
```

**注意**  
要使用它 Amazon CLI，必须将其启用。有关更多信息，请参阅 [启用或禁用用户和群组管理或 Amazon Directory Service Data](ms_ad_users_groups_mgmt_enable_disable.md)。  
 您只能使用目录的主 Amazon Amazon Web Services 区域 目录中的 Directory Service Data CLI 来管理用户和群组。有关更多信息，请参阅[主区域与其他区域](https://docs.amazonaws.cn/directoryservice/latest/admin-guide/multi-region-global-primary-additional.html)。  
您需要必要的 IAM 权限才能使用 Amazon Directory Service 数据。有关更多信息，请参阅 [Amazon Directory Service API 权限：操作、资源和条件参考](UsingWithDS_IAM_ResourcePermissions.md)。要开始向用户和工作负载授予权限，您可以使用 Amazon 托管策略，例如。 [Amazon 托管策略：AWSDirectoryServiceDataFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDirectoryServiceDataFullAccess)或[Amazon 托管策略：AWSDirectoryServiceDataReadOnlyAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDirectoryServiceDataReadOnlyAccess)。有关更多信息，请参阅 [IAM 安全最佳实践](https://docs.amazonaws.cn//IAM/latest/UserGuide/best-practices.html#bp-use-aws-defined-policies)。

有关更多信息，请参阅[使用 Amazon CLI管理 Amazon Managed Microsoft AD 用户和组](ms_ad_manage_users_groups_procedures.md)。

## 使用管理用户和群组 Amazon Tools for PowerShell
<a name="ms_ad_manage_users_groups_pwershell"></a>

[Amazon Tools for PowerShell](https://docs.amazonaws.cn/powershell/latest/userguide/pstools-welcome.html)提供了两个单独的管理模块 Amazon Directory Service：`AWS.Tools.DirectoryService`(DS) 和 `AWS.Tools.DirectoryServiceData` (DSD)。使用时 Amazon Directory Service，请确保使用适合您预期操作的模块。
+ `DirectoryService` 模块包含用于管理目录服务配置和管理的 cmdlet，包括 `Enable-DSDirectoryDataAccess`、`Disable-DSDirectoryDataAccess` 和 `Reset-DSUserPassword` 等 cmdlet。
+ `DirectoryServiceData` 模块包含用于在目录中执行操作的 cmdlet，特别是侧重于用户和组管理。这些 DSD cmdlet 包括用户管理操作（`New-DSDUser`、`Get-DSDUser`、`Update-DSDUser` 和 `Remove-DSDUser`）、组管理操作（`New-DSDGroup`、`Get-DSDGroup` 和 `Update-DSDGroup`、`Remove-DSDGroup`）、组成员资格管理（`Add-DSDGroupMember` 和 `Remove-DSDGroupMember`）以及搜索功能（`Search-DSDUser` 和 `Search-DSDGroup`）。

## 使用本地实例或 Amazon EC2 实例管理用户和组
<a name="ms_ad_manage_users_groups_with_instance"></a>

 如果 Amazon Directory Service Data 不支持您的用例，我们建议您使用本地或 EC2 实例管理用户和群组。

要在 Amazon 托管 Microsoft AD 中创建用户和群组，您可以使用已加入您的 Amazon 托管 Microsoft AD 的任何实例（来自本地或 EC2）。您需要以具有权限创建用户和组的用户身份登录。您还需要在实例上安装 Active Directory 工具，以便添加具有 Active Directory 用户和计算机工具的用户和组。
+ 您可以使用管理控制台中预安装的 Active Directory Amazon Directory Service 管理工具部署预配置的 EC2 实例。有关更多信息，请参阅 [在托管的 Microsoft AD 活动目录中启动目录 Amazon 管理实例](console_instance.md)。
+ 如果您需要使用管理工具部署自托管式 EC2 实例并安装必要的工具，请参阅 [第 3 步：部署 Amazon EC2 实例来管理您的 Amazon 托管微软 AD 活动目录](microsoftadbasestep3.md)。

**Topics**
+ [使用管理用户和群组 Amazon Web Services 管理控制台](#ms_ad_manage_users_groups_with_console)
+ [使用管理用户和群组 Amazon CLI](#ms_ad_manage_users_groups_console_cli)
+ [使用管理用户和群组 Amazon Tools for PowerShell](#ms_ad_manage_users_groups_pwershell)
+ [使用本地实例或 Amazon EC2 实例管理用户和组](#ms_ad_manage_users_groups_with_instance)
+ [使用 Amazon Web Services 管理控制台、 Amazon CLI或， Amazon 管理托管的 Microsoft AD 用户和群组 Amazon Tools for PowerShell](ms_ad_manage_users_groups_procedures.md)
+ [使用 Amazon EC2 实例管理用户和群组](ms_ad_manage_users_groups_ec2.md)