本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 将 AWS 托管的 Microsoft AD 组成员资格复制到 AWS 管理控制台
<a name="copy_group_membership"></a>

 您可以在中将群组成员资格从一个 AWS 托管 Microsoft AD 用户复制到另一个用户。 AWS 管理控制台组成员资格是在将用户添加到组时其继承的角色和权限。

**在开始此过程之前，您需要完成以下操作：**
+ [创建你的 Microsoft AWS 托管广告](ms_ad_getting_started.md#ms_ad_getting_started_create_directory).
+ 要使用用户和组管理或 AWS Directory Service Data CLI，必须将其启用。有关更多信息，请参阅[启用用户和组管理或 Directory Service Data](ms_ad_users_groups_mgmt_enable_disable.md)。
+  您只能从主目录中 AWS 区域 为目录启用此功能。有关更多信息，请参阅[主区域与其他区域](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/multi-region-global-primary-additional.html)。
+ 您需要必要的 IAM 权限才能使用 AWS Directory Service 数据。有关更多信息，请参阅 [Directory Service API 权限：操作、资源和条件参考](UsingWithDS_IAM_ResourcePermissions.md)。要开始向您的用户和工作负载授予权限，您可以使用 AWS 托管策略，例如[AWS 托管策略：AWSDirectoryServiceDataFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDirectoryServiceDataFullAccess)或[AWS 托管策略：AWSDirectoryServiceDataReadOnlyAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDirectoryServiceDataReadOnlyAccess)。有关更多信息，请参阅 [IAM 安全最佳实践](https://docs.aws.amazon.com//IAM/latest/UserGuide/best-practices.html#bp-use-aws-defined-policies)。
+ [创建 AWS 托管微软 AD 组](ms_ad_create_group.md)。

**使用复制 AWS 托管 Microsoft AD 组成员资格 AWS 管理控制台**

1. 打开 Directory Service 控制台，网址为[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/)。

1.  在导航窗格中，选择 **Active Directory**，然后选择**目录**。系统会将您定向到**目录**屏幕，您可以在其中查看您的 AWS 区域中目录的列表。

1.  选择一个目录。系统会将您定向到**目录详细信息**屏幕。

1.  选择**组**。该选项卡将显示您的 AWS 区域中组的列表。

1. 选择要复制其账户的组成员资格的用户。要查找用户，请在**用户**部分下的搜索框中输入用户登录名。系统会将您定向到**用户详细信息**屏幕。

1.  选择**复制所有组成员资格**。系统会将您定向到指定要复制的组的过程。

   1.  对于**验证要复制的组**，在**要复制的组**下，选择包含要复制的角色和权限的组，然后选择**下一步**。

   1.  对于**选择目标账户**，在**账户类型**下，选择**现有用户账户**，将组成员资格复制到现有用户账户中。或者，选择**新建用户账户**以创建新用户，并将组成员资格复制到新用户账户中。要查找组，请在**选定组**部分下的搜索框中输入组名称。

      1. *（可选）*如果选择**现有用户账户**，请选择要将角色和权限复制到的目标账户，然后选择**下一步**。

      1. *（可选）*如果选择**新建用户账户**，请完成该过程，然后选择**下一步**。有关创建用户的信息，请参阅[创建用户](ms_ad_create_user.md)。

   1.  对于**查看和复制组成员资格**，请查看您的选择，然后选择**复制组成员资格**。