AWS 托管 Microsoft AD 中的用户和群组管理 - AWS Directory Service

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWS 托管 Microsoft AD 中的用户和群组管理

你可以在 AWS 托管 Microsoft AD 中管理用户和群组。您可以创建用户以表示可以访问您目录的人员或实体。您还可以创建组一次向多个用户授予和拒绝权限。您不仅可以将用户添加到组,还可以将组添加到组。当您将用户添加到组时,该用户将继承分配给该组的角色和权限。将组添加到组时,这些组将共享父子关系,子组继承分配给父组的角色和权限。您也可以将用户的组成员资格复制给其他用户。

可以使用以下方法通过AWS Directory Service Data管理用户和组:

有关 Di AWS rectory Service 数据的演示CLI,请参阅以下内容 YouTube 视频。

或者,您可以使用加入域的实例

使用 AWS Management Console管理用户和组

您可以使用 with Di AWS rectory Servic AWS Management Console e Data 管理用户和群组。Directory Service Data 是的扩展,它使您能够执行内置的对象管理任务。 AWS Directory Service 其中一些任务包括创建用户和组、将用户添加到组以及将组添加到组。

有关更多信息,请参阅使用 AWS Management Console管理 AWS Managed Microsoft AD 用户和组

注意

要使用此功能,必须将其启用。有关更多信息,请参阅启用用户和组管理

您只能使用主 AWS 区域 目录中的用户和群组 AWS Management Console 来管理用户和群组。有关更多信息,请参阅主区域与其他区域

您需要必要的IAM权限才能使用 AWS Directory Service 数据。有关更多信息,请参阅 AWS Directory Service API权限:操作、资源和条件参考。要开始向您的用户和工作负载授予权限,您可以使用 AWS 托管策略,例如AWSDirectoryServiceDataFullAccessAWSDirectoryServiceDataReadOnlyAccess。有关更多信息,请参阅中的安全最佳实践IAM

使用 AWS CLI管理用户和组

您可以 AWS CLI 通过 Di AWS rectory Service 数据管理用户和群组API。Directory Service Data 是的扩展,它使您能够使用ds-data命名空间执行内置的对象管理任务。 AWS Directory Service 其中一些任务包括创建用户和组、将用户添加到组以及将组添加到组。

使用 Di AWS rectory Service 数据创建用户 CLI

以下是使用ds-data命名空间创建用户的 AWS CLI 命令示例。

aws ds-data create-user --directory-id d-1234567890 --sam-account-name "jane.doe" --region your-Primary-Region-name
注意

要使用它 AWS CLI,必须将其启用。有关更多信息,请参阅 启用或禁用用户和群组管理或 AWS Directory Service Data

您只能使用CLI来自主 AWS AWS 区域 目录的 Directory Service 数据来管理用户和群组。有关更多信息,请参阅主区域与其他区域

您需要必要的IAM权限才能使用 AWS Directory Service 数据。有关更多信息,请参阅 AWS Directory Service API权限:操作、资源和条件参考。要开始向用户和工作负载授予权限,您可以使用 AWS 托管策略,例如。 AWSDirectoryServiceDataFullAccessAWSDirectoryServiceDataReadOnlyAccess。有关更多信息,请参阅中的安全最佳实践 IAM

有关更多信息,请参阅使用 AWS CLI管理 AWS Managed Microsoft AD 用户和组

使用管理用户和群组 AWS Tools for PowerShell

AWS Tools for PowerShell提供了两个单独的管理模块 AWS Directory Service:AWS.Tools.DirectoryService(DS) 和 AWS.Tools.DirectoryServiceData (DSD)。使用时 AWS Directory Service,请确保使用适合您预期操作的模块。

  • DirectoryService模块包含用于管理目录服务配置和管理的 cmdlet,包括诸如Enable-DSDirectoryDataAccess、和之类的 cmdlet。Disable-DSDirectoryDataAccess Reset-DSUserPassword

  • DirectoryServiceData模块包含用于在目录中执行操作的 cmdlet,特别侧重于用户和组管理。这些 DSD cmdlet 包括用户管理操作(New-DSDUserGet-DSDUserUpdate-DSDUser、和Remove-DSDUser)、群组管理操作(New-DSDGroupGet-DSDGroup、和Update-DSDGroupRemove-DSDGroup)、群组成员资格管理(Add-DSDGroupMember、和Remove-DSDGroupMember)以及搜索功能(Search-DSDUserSearch-DSDGroup)。

使用本地实例或 Amazon EC2 实例管理用户和群组

如果 AWS Directory Service Data 不支持你的用例,我们建议使用本地或EC2实例管理用户和群组。

要在 AWS 托管 Microsoft AD 中创建用户和群组,您可以使用任何已加入 AWS 托管 Microsoft AD 的实例(本地或EC2)。您需要以具有权限创建用户和组的用户身份登录。您还需要安装 Active Directory 在您的实例上安装工具,因此您可以使用添加用户和群组 Active Directory 用户和计算机工具。