AWS Management Console AWS CLI AWS Tools for PowerShell Lokale oder EC2 Amazon-Instance

Benutzer- und Gruppenverwaltung in AWS Managed Microsoft AD

Sie können Benutzer und Gruppen in AWS Managed Microsoft AD verwalten. Sie erstellen einen Benutzer, der eine Person oder Entität repräsentiert, die auf Ihr Verzeichnis zugreifen kann. Sie können auch eine Gruppe erstellen, um mehr als einem Benutzer gleichzeitig Berechtigungen zu erteilen oder zu verweigern. Sie können nicht nur Benutzer zu einer Gruppe hinzufügen, sondern auch Gruppen zu einer Gruppe. Wenn Sie einen Benutzer zu einer Gruppe hinzufügen, erbt der Benutzer die Rollen und Berechtigungen, die der Gruppe zugewiesen sind. Wenn Sie einer Gruppe eine Gruppe hinzufügen, teilen sich die Gruppen eine Eltern-Kind-Beziehung, in der die untergeordnete Gruppe die Rollen und Berechtigungen erbt, die der übergeordneten Gruppe zugewiesen sind. Sie können auch die Gruppenmitgliedschaften eines Benutzers in einen anderen Benutzer kopieren.

Sie können Benutzer und Gruppen mit AWS Verzeichnisdienstdaten den folgenden Methoden verwalten:

Eine Demonstration der AWS Verzeichnisdienstdaten CLI finden Sie im Folgenden YouTube Video.

Alternativ können Sie eine Instanz verwenden, die in eine Domäne eingebunden ist.

Verwalten Sie Benutzer und Gruppen mit dem AWS Management Console

Sie können Benutzer und Gruppen AWS Management Console mit den AWS Verzeichnisdienstdaten verwalten. Directory Service Data ist eine Erweiterung von AWS Directory Service , die Ihnen die Möglichkeit bietet, integrierte Objektverwaltungsaufgaben auszuführen. Einige dieser Aufgaben umfassen das Erstellen von Benutzern und Gruppen und das Hinzufügen von Benutzern zu Gruppen sowie Gruppen zu einer Gruppe.

Weitere Informationen finden Sie unter Verwalten von AWS verwalteten Microsoft AD-Benutzern und -Gruppen mit dem AWS Management Console.

Anmerkung

Um diese Funktion verwenden zu können, muss sie aktiviert sein. Weitere Informationen finden Sie unter Benutzer- und Gruppenverwaltung aktivieren.

Sie können Benutzer und Gruppen nur mit dem AWS Management Console aus dem Primärverzeichnis AWS-Region für Ihr Verzeichnis verwalten. Weitere Informationen finden Sie unter Primäre Regionen im Vergleich zu zusätzlichen Regionen.

Sie benötigen die erforderlichen IAM Berechtigungen, um AWS Directory Service Data verwenden zu können. Weitere Informationen finden Sie unter AWS Directory Service APIBerechtigungen: Referenz zu Aktionen, Ressourcen und Bedingungen. Um mit der Gewährung von Berechtigungen für Ihre Benutzer und Workloads zu beginnen, können Sie AWS verwaltete Richtlinien wie AWSDirectoryServiceDataFullAccess oder AWSDirectoryServiceDataReadOnlyAccess verwenden. Weitere Informationen finden Sie unter Bewährte Sicherheitsmethoden unter IAM.

Verwalten Sie Benutzer und Gruppen mit dem AWS CLI

Sie können Benutzer und Gruppen AWS CLI mithilfe der AWS Verzeichnisdienstdaten verwaltenAPI. Directory Service Data ist eine Erweiterung von AWS Directory Service , die Ihnen die Möglichkeit bietet, integrierte Objektverwaltungsaufgaben mithilfe des ds-data Namespace auszuführen. Einige dieser Aufgaben umfassen das Erstellen von Benutzern und Gruppen und das Hinzufügen von Benutzern zu Gruppen sowie von Gruppen zu einer Gruppe.

Erstellen Sie einen Benutzer mit AWS Verzeichnisdienstdaten CLI

Im Folgenden finden Sie einen AWS CLI Beispielbefehl, der den ds-data Namespace verwendet, um einen Benutzer zu erstellen.


aws ds-data create-user --directory-id d-1234567890 --sam-account-name "jane.doe" --region your-Primary-Region-name

Anmerkung

Um dies verwenden zu können AWS CLI, muss es aktiviert sein. Weitere Informationen finden Sie unter Benutzer- und Gruppenverwaltung oder AWS Verzeichnisdienstdaten aktivieren oder deaktivieren.

Sie können Benutzer und Gruppen nur mit den AWS Verzeichnisdienstdaten CLI aus dem Primärverzeichnis AWS-Region für Ihr Verzeichnis verwalten. Weitere Informationen finden Sie unter Primäre Regionen im Vergleich zu zusätzlichen Regionen.

Sie benötigen die erforderlichen IAM Berechtigungen, um AWS Directory Service Data verwenden zu können. Weitere Informationen finden Sie unter AWS Directory Service APIBerechtigungen: Referenz zu Aktionen, Ressourcen und Bedingungen. Um mit der Gewährung von Berechtigungen für Ihre Benutzer und Workloads zu beginnen, können Sie AWS verwaltete Richtlinien wie verwenden. AWSDirectoryServiceDataFullAccessoderAWSDirectoryServiceDataReadOnlyAccess. Weitere Informationen finden Sie unter Bewährte Sicherheitsmethoden in IAM

Weitere Informationen finden Sie unter Verwalten von AWS verwalteten Microsoft AD-Benutzern und -Gruppen mit dem AWS CLI.

Verwalten Sie Benutzer und Gruppen mit AWS Tools for PowerShell

Das AWS Tools for PowerShellbietet zwei separate Module für die Verwaltung AWS Directory Service: AWS.Tools.DirectoryService (DS) und AWS.Tools.DirectoryServiceData (DSD). Stellen Sie bei der Arbeit mit sicher AWS Directory Service, dass Sie das richtige Modul für Ihren beabsichtigten Betrieb verwenden.

Das DirectoryService Modul enthält Cmdlets zur Verwaltung der Konfiguration und Verwaltung des Verzeichnisdienstes, einschließlich Cmdlets wieEnable-DSDirectoryDataAccess, und. Disable-DSDirectoryDataAccess Reset-DSUserPassword
Das DirectoryServiceData Modul enthält Cmdlets für die Ausführung von Vorgängen innerhalb eines Verzeichnisses, die sich speziell auf die Benutzer- und Gruppenverwaltung konzentrieren. Diese DSD Cmdlets umfassen Benutzerverwaltungsvorgänge (New-DSDUser,Get-DSDUser, undRemove-DSDUser)Update-DSDUser, Gruppenverwaltungsvorgänge (, und,Remove-DSDGroup) New-DSDGroup Get-DSDGroupUpdate-DSDGroup, die Verwaltung von Gruppenmitgliedschaften (Add-DSDGroupMember, undRemove-DSDGroupMember) und Suchfunktionen (und). Search-DSDUser Search-DSDGroup

Benutzer und Gruppen mit einer On-Premise-Instance oder EC2 Amazon-Instance verwalten

Wenn die AWS Verzeichnisdienstdaten Ihren Anwendungsfall nicht unterstützen, empfehlen wir, Benutzer und Gruppen vor Ort oder mit einer EC2 Instanz zu verwalten.

Um Benutzer und Gruppen in einem AWS verwalteten Microsoft AD zu erstellen, können Sie jede Instanz (entweder lokal oderEC2) verwenden, die zu Ihrem AWS verwalteten Microsoft AD hinzugefügt wurde. Sie müssen als Benutzer angemeldet sein, der über Rechte zum Erstellen von Benutzern und Gruppen verfügt. Sie müssen auch das installieren Active Directory Tools auf Ihrer Instanz, mit denen Sie Ihre Benutzer und Gruppen hinzufügen können Active Directory Tool für Benutzer und Computer.

Sie können eine vorkonfigurierte EC2 Instanz mit vorinstalliertem Active Directory Verwaltungstools von der AWS Directory Service Managementkonsole aus. Weitere Informationen finden Sie unter Starten einer Verzeichnisverwaltungsinstanz in Ihrem AWS verwalteten Microsoft AD Active Directory.
Informationen dazu, wie Sie eine selbstverwaltete EC2 Instanz mit Verwaltungstools bereitstellen und die erforderlichen Tools installieren müssen, finden Sie unterSchritt 3: Stellen Sie eine Amazon EC2 EC2-Instance bereit, um Ihr AWS verwaltetes Microsoft AD Active Directory zu verwalten.

Themen

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Einen DHCP Optionssatz erstellen oder ändern

Benutzer und Gruppen mit der Konsole verwalten,CLI, oder PowerShell