本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# AWS Managed Microsoft AD 中的使用者和群組管理
<a name="ms_ad_manage_users_groups"></a>

 您可以在 AWS Managed Microsoft AD 中管理使用者和群組。您可以建立使用者來代表可存取目錄的個人或實體。您也可以建立群組，一次授予和拒絕多個使用者的許可。您不僅可以將使用者新增至群組，也可以將群組新增至群組。當您將使用者新增至群組時，使用者會繼承指派給群組的角色和許可。當您將群組新增至群組時，群組會共用父子關係，其中子群組會繼承指派給父群組的角色和許可。您也可以將使用者的群組成員資格複製到另一個使用者。

您可以使用下列方法[AWS 目錄服務資料](ms_ad_getting_started_directory_service_data.md)使用 管理使用者和群組：
+ [AWS 管理主控台](#ms_ad_manage_users_groups_with_console)
+ [AWS CLI](#ms_ad_manage_users_groups_console_cli)
+ [AWS Directory Service Data API](https://docs.aws.amazon.com/directoryservicedata/latest/DirectoryServiceDataAPIReference/Welcome.html)
+ [AWS Tools for Windows PowerShell](https://docs.aws.amazon.com/powershell/latest/reference/items/DirectoryServiceData_cmdlets.html)

如需 AWS Directory Service Data CLI 的示範，請參閱下列YouTube影片。

[![AWS Videos](http://img.youtube.com/vi/https://www.youtube.com/embed/GJK567cuBu0?si=vb9KNV5JOWDXELSI/0.jpg)](http://www.youtube.com/watch?v=https://www.youtube.com/embed/GJK567cuBu0?si=vb9KNV5JOWDXELSI)


或者，您可以使用[加入網域的執行個體](#ms_ad_manage_users_groups_with_instance)。

## 使用 管理使用者和群組 AWS 管理主控台
<a name="ms_ad_manage_users_groups_with_console"></a>

 您可以使用 AWS 管理主控台 AWS Directory Service Data 管理使用者和群組。Directory Service Data 是 的延伸 Directory Service ，可讓您執行內建的物件管理任務。其中一些任務包括建立使用者和群組，以及將使用者新增至群組，以及將群組新增至群組。

如需詳細資訊，請參閱[使用 管理 AWS Managed Microsoft AD 使用者和群組 AWS 管理主控台](ms_ad_manage_users_groups_procedures.md)。

**注意**  
若要使用此功能，必須啟用此功能。如需詳細資訊，請參閱[啟用使用者和群組管理](ms_ad_users_groups_mgmt_enable_disable.md)。  
 您只能 AWS 管理主控台 從目錄的主要 AWS 區域 使用 管理使用者和群組。如需詳細資訊，請參閱[主要區域與額外區域](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/multi-region-global-primary-additional.html)。  
您需要必要的 IAM 許可才能使用 AWS Directory Service Data。如需詳細資訊，請參閱[Directory Service API 許可：動作、資源和條件參考](UsingWithDS_IAM_ResourcePermissions.md)。若要開始將許可授予使用者和工作負載，您可以使用 [AWS 受管政策： AWSDirectoryServiceDataFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDirectoryServiceDataFullAccess)或 等 AWS 受管政策[AWS 受管政策： AWSDirectoryServiceDataReadOnlyAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDirectoryServiceDataReadOnlyAccess)。如需更多詳細資訊，請參閱 [IAM 中的安全最佳實務](https://docs.aws.amazon.com//IAM/latest/UserGuide/best-practices.html#bp-use-aws-defined-policies)。

## 使用 管理使用者和群組 AWS CLI
<a name="ms_ad_manage_users_groups_console_cli"></a>

 您可以透過 AWS CLI [AWS Directory Service Data API](https://docs.aws.amazon.com/directoryservicedata/latest/DirectoryServiceDataAPIReference/Welcome.html) 使用 管理使用者和群組。Directory Service Data 是 的延伸 Directory Service ，可讓您使用 `ds-data` 命名空間執行內建物件管理任務。其中一些任務包括建立使用者和群組，以及將使用者新增至群組，以及將群組新增至群組。

**使用 AWS 目錄服務資料 CLI 建立使用者**  
 以下是使用 `ds-data` 命名空間來建立使用者的範例 AWS CLI 命令。

```
aws ds-data create-user --directory-id {{d-1234567890}} --sam-account-name {{"jane.doe"}} --region {{your-Primary-Region-name}}
```

**注意**  
若要使用此功能 AWS CLI，必須啟用。如需詳細資訊，請參閱[啟用或停用使用者和群組管理或 AWS 目錄服務資料](ms_ad_users_groups_mgmt_enable_disable.md)。  
 您只能從目錄 AWS 區域 的主要 使用 AWS Directory Service Data CLI 管理使用者和群組。如需詳細資訊，請參閱[主要區域與額外區域](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/multi-region-global-primary-additional.html)。  
您需要必要的 IAM 許可才能使用 AWS Directory Service Data。如需詳細資訊，請參閱[Directory Service API 許可：動作、資源和條件參考](UsingWithDS_IAM_ResourcePermissions.md)。若要開始授予許可給使用者和工作負載，您可以使用 [AWS 受管政策： AWSDirectoryServiceDataFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDirectoryServiceDataFullAccess)或 等 AWS 受管政策[AWS 受管政策： AWSDirectoryServiceDataReadOnlyAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDirectoryServiceDataReadOnlyAccess)。如需詳細資訊，請參閱 [IAM 中的安全最佳實務](https://docs.aws.amazon.com//IAM/latest/UserGuide/best-practices.html#bp-use-aws-defined-policies)。

如需詳細資訊，請參閱[使用 管理 AWS Managed Microsoft AD 使用者和群組 AWS CLI](ms_ad_manage_users_groups_procedures.md)。

## 使用 管理使用者和群組 AWS Tools for PowerShell
<a name="ms_ad_manage_users_groups_pwershell"></a>

[AWS Tools for PowerShell](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-welcome.html) 提供兩個用於管理的個別模組 AWS Directory Service： `AWS.Tools.DirectoryService`(DS) 和 `AWS.Tools.DirectoryServiceData`(DSD)。使用 時 AWS Directory Service，請確定您使用適用於預期操作的適當模組。
+ `DirectoryService` 模組包含用於管理目錄服務組態和管理的 cmdlet，包括 `Enable-DSDirectoryDataAccess`、 `Disable-DSDirectoryDataAccess`和 等 cmdlet`Reset-DSUserPassword`。
+ `DirectoryServiceData` 模組包含用於在目錄中執行操作的 cmdlet，特別著重於使用者和群組管理。這些 DSD cmdlet 包括使用者管理操作 (`New-DSDUser`、`Update-DSDUser`、 和 `Remove-DSDUser`)`Get-DSDUser`、群組管理操作 (`New-DSDGroup`、 和 `Update-DSDGroup`、`Remove-DSDGroup`)`Get-DSDGroup`、群組成員資格管理 ( `Add-DSDGroupMember`和 `Remove-DSDGroupMember`)，以及搜尋功能 (`Search-DSDUser` 和 )`Search-DSDGroup`。

## 使用內部部署執行個體或 Amazon EC2 執行個體管理使用者和群組
<a name="ms_ad_manage_users_groups_with_instance"></a>

 如果 AWS Directory Service Data 不支援您的使用案例，建議您使用內部部署或 EC2 執行個體管理使用者和群組。

若要在 AWS Managed Microsoft AD 中建立使用者和群組，您可以使用已加入 AWS Managed Microsoft AD 的任何執行個體 （從內部部署或 EC2)。您需要以具有建立使用者和群組權限的使用者身分登入。您也需要在執行個體上安裝 Active Directory 工具，以便您可以使用 Active Directory 使用者和電腦工具新增使用者和群組。
+ 您可以從管理 Directory Service 主控台部署預先安裝 Active Directory 管理工具的預先設定 EC2 執行個體。如需詳細資訊，請參閱[在 AWS Managed Microsoft AD Active Directory 中啟動目錄管理執行個體](console_instance.md)。
+ 如果您需要使用管理工具部署自我管理的 EC2 執行個體並安裝必要的工具，請參閱 [步驟 3：部署 Amazon EC2 執行個體以管理您的 AWS Managed Microsoft AD Active Directory](microsoftadbasestep3.md)。

**Topics**
+ [使用 管理使用者和群組 AWS 管理主控台](#ms_ad_manage_users_groups_with_console)
+ [使用 管理使用者和群組 AWS CLI](#ms_ad_manage_users_groups_console_cli)
+ [使用 管理使用者和群組 AWS Tools for PowerShell](#ms_ad_manage_users_groups_pwershell)
+ [使用內部部署執行個體或 Amazon EC2 執行個體管理使用者和群組](#ms_ad_manage_users_groups_with_instance)
+ [使用 AWS 管理主控台 AWS CLI、 或 管理 AWS Managed Microsoft AD 使用者和群組 AWS Tools for PowerShell](ms_ad_manage_users_groups_procedures.md)
+ [使用 Amazon EC2 執行個體管理使用者和群組](ms_ad_manage_users_groups_ec2.md)