向群组添加和移除 AWS 托管 Microsoft AD 成员以及向群组添加和移除群组

使用 AWS Directory Service Data API，成员可以是用户、组或计算机。用户表示可以访问您目录的人员或实体。组允许您一次向多个用户授予和拒绝权限。

使用以下过程将 AWS 受管 Microsoft AD 用户添加到群组或从群组中移除或移除到另一个群组中 AWS Management Console、 AWS CLI、或中包含用户和群组管理或 AWS Directory Service 数据的群组 AWS Tools for PowerShell。

将用户添加到组

使用以下步骤将 Microsoft AD AWS 托管用户添加到用户和群组管理或 AWS 目录服务数据位于 AWS Management Console、 AWS CLI、或中的群组中 AWS Tools for PowerShell。

重要

当你将 Microsoft AD AWS 托管用户添加到群组时，该用户将继承分配给该群组的角色和权限。这些角色和权限是用户的组成员资格的一部分。

在开始任一过程之前，您需要完成以下操作：

• 创建你的 Microsoft AWS 托管广告.

• 要使用用户和组管理或 AWS Directory Service Data CLI，必须将其启用。有关更多信息，请参阅启用用户和组管理或 Directory Service Data。

• 您只能从主目录中 AWS 区域 为目录启用此功能。有关更多信息，请参阅主区域与其他区域。

• 您需要必要的 IAM 权限才能使用 AWS Directory Service 数据。有关更多信息，请参阅 AWS Directory Service API 权限：操作、资源和条件参考。要开始向您的用户和工作负载授予权限，您可以使用 AWS 托管策略，例如AWS 托管策略：AWSDirectoryServiceDataFullAccess或AWS 托管策略：AWSDirectoryServiceDataReadOnlyAccess。有关更多信息，请参阅 IAM 安全最佳实践。

• 创建微软 AD AWS 托管用户。

• 创建 AWS 托管微软 AD 组。

AWS Management Console

你可以使用将 AWS 托管 Microsoft AD 成员添加到群组中 AWS Management Console。

要将 AWS 托管的 Microsoft AD 用户添加到群组中 AWS Management Console

1. 打开 AWS Directory Service 控制台，网址为https://console.aws.amazon.com/directoryservicev2/。

2. 在导航窗格中，选择 Active Directory，然后选择目录。您将被定向到 “目录” 屏幕，您可以在其中查看您的目录列表 AWS 区域。

3. 选择一个目录。系统会将您定向到目录详细信息屏幕。

4. 选择组。要查找组，请在组部分下的搜索框中输入组名称。该选项卡显示您的群组列表 AWS 区域。

5. 选择一个组。系统会将您定向到组详细信息屏幕。

6. 选择成员。该选项卡将按组中的成员类型显示用户和子组列表。

7. 在成员选项卡下，选择添加成员。

8. 在成员下，选择要添加到组中的用户，然后选择将成员添加到组。要查找成员，请在成员部分下的搜索框中输入用户的登录名和组的名称。

AWS CLI

下面介绍如何使用 AWS 目录服务数据 CLI 格式化将 AWS 托管 Microsoft AD 成员添加到群组的请求。

要将 Microsoft AD AWS 托管用户添加到群组中，请使用 AWS CLI

• 要将用户添加到群组，请打开并运行以下命令，将目录 ID AWS CLI、群组和成员名称替换为您的 AWS 托管 Microsoft AD Directory ID 以及群组和成员名称：

aws ds-data add-group-member --directory-id d-1234567890 --group-name "your-group-name" --member-name "jane.doe"

AWS Tools for PowerShell

下面介绍如何格式化将 AWS 托管 Microsoft AD 成员添加到群组的请求 AWS Tools for PowerShell。

使用以下方法将 AWS 托管 Microsoft AD 用户添加到群组 AWS Tools for PowerShell

• 要将用户添加到组，请打开 PowerShell，然后运行以下命令，将目录 ID、组和成员名称替换为您的 AWS Managed Microsoft AD Directory ID 以及组和成员名称：

Add-DSDGroupMember -DirectoryId d-1234567890 -GroupName "your-group-name" -MemberName "jane.doe"

从组中删除用户

使用 AWS Directory Service Data API，成员可以是用户、组或计算机。用户表示可以访问您目录的人员或实体。组允许您一次向多个用户授予和拒绝权限。

使用以下步骤将 Microsoft AD AWS 托管用户移至包含用户和组管理或 AWS 目录服务数据的群组中 AWS Management Console、 AWS CLI、或 AWS Tools for PowerShell。

重要

当你从群组中移除 Microsoft AD AWS 托管用户时，该用户将无法访问分配给该群组的角色和权限。这些角色和权限是组成员资格的一部分。

在开始任一过程之前，您需要完成以下操作：

• 创建你的 Microsoft AWS 托管广告.

• 要使用用户和组管理或 AWS Directory Service Data CLI，必须将其启用。有关更多信息，请参阅启用用户和组管理或 Directory Service Data。

• 您只能从主目录中 AWS 区域 为目录启用此功能。有关更多信息，请参阅主区域与其他区域。

• 您需要必要的 IAM 权限才能使用 AWS Directory Service 数据。有关更多信息，请参阅 AWS Directory Service API 权限：操作、资源和条件参考。要开始向您的用户和工作负载授予权限，您可以使用 AWS 托管策略，例如AWS 托管策略：AWSDirectoryServiceDataFullAccess或AWS 托管策略：AWSDirectoryServiceDataReadOnlyAccess。有关更多信息，请参阅 IAM 安全最佳实践。

• 创建微软 AD AWS 托管用户。

• 创建 AWS 托管微软 AD 组。

AWS Management Console

你可以使用将 AWS 托管 Microsoft AD 成员从群组中移除 AWS Management Console。

要将 AWS 托管 Microsoft AD 用户从群组中移除 AWS Management Console

1. 打开 AWS Directory Service 控制台，网址为https://console.aws.amazon.com/directoryservicev2/。

2. 在导航窗格中，选择 Active Directory，然后选择目录。您将被定向到 “目录” 屏幕，您可以在其中查看您的目录列表 AWS 区域。

3. 选择一个目录。系统会将您定向到目录详细信息屏幕。

4. 选择组。该选项卡将显示您的 AWS 区域中组的列表。

5. 选择一个组。要查找组，请在组部分下的搜索框中输入组名称。系统会将您定向到组详细信息屏幕。

6. 选择成员。该选项卡将按组中的成员类型显示用户和子组列表。

7. 选择要从组中删除的用户，然后选择删除。要查找用户，请在成员部分下的搜索框中输入用户登录名。

8. 确认要从组中删除用户，然后再次选择删除。

AWS CLI

下面介绍如何使用 AWS 目录服务数据 CLI 格式化从群组中移除 Microsoft AD AWS 托管成员的请求。

使用以下命令从群组中移除 Microsoft AD AWS 托管用户 AWS CLI

• 要将用户移至群组，请打开并运行以下命令，将目录 ID AWS CLI、群组和成员名称替换为您的 AWS 托管 Microsoft AD Directory ID、群组和成员名称：

aws ds-data remove-group-member --directory-id d-1234567890 --group-name "your-group-name" --member-name "jane.doe"

AWS Tools for PowerShell

下面介绍如何格式化从群组中移除 AWS 托管 Microsoft AD 成员的请求 AWS Tools for PowerShell。

使用以下命令从群组中移除 Microsoft AD AWS 托管用户 AWS Tools for PowerShell

• 要从组中删除用户，请打开 PowerShell，然后运行以下命令，将目录 ID、组和成员名称替换为您的 AWS Managed Microsoft AD Directory ID、组和成员名称：

Remove-DSDGroupMember -DirectoryId d-1234567890 -GroupName "your-group-name" -MemberName "jane.doe"

将组添加到组

当你将 AWS 托管 Microsoft AD 群组添加到另一个群组时，这些群组将共享父子关系。子组将可以访问分配给该父组的角色和权限。您可以将子组添加到您的组，也可以将您的组添加到父组。

在开始任一过程之前，您需要完成以下操作：

• 创建你的 Microsoft AWS 托管广告.

• 要使用用户和组管理或 AWS Directory Service Data CLI，必须将其启用。有关更多信息，请参阅启用用户和组管理或 Directory Service Data。

• 您只能从主目录中 AWS 区域 为目录启用此功能。有关更多信息，请参阅主区域与其他区域。

• 您需要必要的 IAM 权限才能使用 AWS Directory Service 数据。有关更多信息，请参阅 AWS Directory Service API 权限：操作、资源和条件参考。要开始向您的用户和工作负载授予权限，您可以使用 AWS 托管策略，例如AWS 托管策略：AWSDirectoryServiceDataFullAccess或AWS 托管策略：AWSDirectoryServiceDataReadOnlyAccess。有关更多信息，请参阅 IAM 安全最佳实践。

• 创建 AWS 托管微软 AD 组。

AWS Management Console

你可以使用将 AWS 托管 Microsoft AD 组添加到群组中 AWS Management Console。

要将子群组添加到您的群组中，请使用 AWS Management Console

1. 打开 AWS Directory Service 控制台，网址为https://console.aws.amazon.com/directoryservicev2/。

2. 在导航窗格中，选择 Active Directory，然后选择目录。您将被定向到 “目录” 屏幕，您可以在其中查看您的目录列表 AWS 区域。

3. 选择一个目录。系统会将您定向到目录详细信息屏幕。

4. 选择组。该选项卡将显示您的 AWS 区域中组的列表。

5. 选择一个组。要查找组，请在组部分下的搜索框中输入组名称。系统会将您定向到组详细信息屏幕。

6. 选择成员。该选项卡将按组中的成员类型显示用户和子组列表。

7. 选择添加成员。

8. 在成员下，选择要添加到您的组的子组，然后选择将成员添加到组。

要将父群组添加到群组中，请使用 AWS Management Console

1. 打开 AWS Directory Service 控制台，网址为https://console.aws.amazon.com/directoryservicev2/。

2. 在导航窗格中，选择 Active Directory，然后选择目录。您将被定向到 “目录” 屏幕，您可以在其中查看您的目录列表 AWS 区域。

3. 选择一个目录。系统会将您定向到目录详细信息屏幕。

4. 选择组。该选项卡将显示您的 AWS 区域中组的列表。

5. 选择一个组。要查找组，请在组部分下的搜索框中输入组名称。系统会将您定向到组详细信息屏幕。

6. 选择父组。该选项卡将显示您的组所属组的列表。

7. 选择添加父组。

8. 在组下，选择要将您的组添加到的组，然后再次选择添加父组。

AWS CLI

下面介绍如何使用 AWS 目录服务数据 CLI 格式化将 AWS 托管 Microsoft AD 组添加到群组的请求。

要将子群组添加到您的群组中，请使用 AWS CLI

• 要将子群组添加到父群组，请打开并运行以下命令，将目录 ID AWS CLI、群组和成员名称替换为您 AWS 的 Microsoft AD Directory ID、群组和成员名称：

aws ds-data add-group-member --directory-id d-1234567890 --group-name "parent-group-name" --member-name "child-group-name"

AWS Tools for PowerShell

下面介绍如何格式化将 AWS 托管 Microsoft AD 组添加到群组的请求 AWS Tools for PowerShell。

要将子群组添加到您的群组，请使用以下方法 AWS Tools for PowerShell

• 要将子群组添加到父群组，请打开并运行以下命令，将目录 ID PowerShell、群组和成员名称替换为您 AWS 的 Microsoft AD Directory ID、群组和成员名称：

Add-DSDGroupMember -DirectoryId d-1234567890 -GroupName "parent-group-name" -MemberName "child-group-name"

从组中删除组

当你从另一个群组中移除 AWS 托管 Microsoft AD 群组时，这些群组将不再共享父子关系。子组将无法访问分配给该父组的角色和权限。您可以从您的组中删除子组，也可以从父组中删除您的组。

在开始任一过程之前，您需要完成以下操作：

• 创建你的 Microsoft AWS 托管广告.

• 要使用用户和组管理或 AWS Directory Service Data CLI，必须将其启用。有关更多信息，请参阅启用用户和组管理或 Directory Service Data。

• 您只能从主目录中 AWS 区域 为目录启用此功能。有关更多信息，请参阅主区域与其他区域。

• 您需要必要的 IAM 权限才能使用 AWS Directory Service 数据。有关更多信息，请参阅 AWS Directory Service API 权限：操作、资源和条件参考。要开始向您的用户和工作负载授予权限，您可以使用 AWS 托管策略，例如AWS 托管策略：AWSDirectoryServiceDataFullAccess或AWS 托管策略：AWSDirectoryServiceDataReadOnlyAccess。有关更多信息，请参阅 IAM 安全最佳实践。

• 创建 AWS 托管微软 AD 组。

AWS Management Console

你可以使用将 AWS 托管 Microsoft AD 组移到群组中 AWS Management Console。

要将子群组从您的群组中移除，请使用 AWS Management Console

1. 打开 AWS Directory Service 控制台，网址为https://console.aws.amazon.com/directoryservicev2/。

2. 在导航窗格中，选择 Active Directory，然后选择目录。您将被定向到 “目录” 屏幕，您可以在其中查看您的目录列表 AWS 区域。

3. 选择一个目录。系统会将您定向到目录详细信息屏幕。

4. 选择组。该选项卡将显示您的 AWS 区域中组的列表。

5. 选择一个组。系统会将您定向到组详细信息屏幕。要查找组，请在组部分下的搜索框中输入组名称。

6. 选择成员。该选项卡将按组中的成员类型显示用户和子组列表。

7. 选择要从您的组中删除的子组，然后选择删除。

8. 确认要从您的组中删除的子组，然后再次选择删除。

要将您的群组从父群组中移除 AWS Management Console

1. 打开 AWS Directory Service 控制台，网址为https://console.aws.amazon.com/directoryservicev2/。

2. 在导航窗格中，选择 Active Directory，然后选择目录。您将被定向到 “目录” 屏幕，您可以在其中查看您的目录列表 AWS 区域。

3. 选择一个目录。系统会将您定向到目录详细信息屏幕。

4. 选择组。该选项卡将显示您的 AWS 区域中组的列表。

5. 选择一个组。系统会将您定向到组详细信息屏幕。要查找组，请在组部分下的搜索框中输入组名称。

6. 选择父组。该选项卡将显示您的组所属组的列表。

7. 选择要从中删除您的组的父组，然后选择删除父组。

8. 确认要从中删除您的组的父组，然后再次选择删除父组。

AWS CLI

下面介绍如何使用 AWS 目录服务数据 CLI 格式化将 AWS 托管 Microsoft AD 组移至群组的请求。

• 使用以下命令将子组从父组中移除 AWS CLI

  要从父群组中添加移除子群组，请打开并运行以下命令 AWS CLI，将目录 ID、群组和成员名称替换为您 AWS 的 Microsoft AD Directory ID、群组和成员名称：

aws ds-data remove-group-member --directory-id d-1234567890 --group-name "parent-group-name" --member-name "child-group-name"

AWS Tools for PowerShell

下面介绍如何格式化将 AWS 托管 Microsoft AD 组移至群组的请求 AWS Tools for PowerShell。

• 使用以下命令从父组中移除子组 AWS Tools for PowerShell

  要从父群组中添加移除子群组，请打开并运行以下命令PowerShell，将目录 ID、群组和成员名称替换为您 AWS 的 Microsoft AD Directory ID、群组和成员名称：

Remove-DSDGroupMember -DirectoryId d-1234567890 -GroupName "parent-group-name" -MemberName "child-group-name"