本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 向群组添加和移除 AWS 托管 Microsoft AD 成员以及向群组添加和移除群组
<a name="ms_ad_add_remove_user_group"></a>

 使用 [AWS Directory Service Data API](https://docs.aws.amazon.com/directoryservicedata/latest/DirectoryServiceDataAPIReference/Welcome.html)，成员可以是用户、组或计算机。用户表示可以访问您目录的人员或实体。组允许您一次向多个用户授予和拒绝权限。

使用以下过程将 AWS 受管 Microsoft AD 用户添加到群组或从群组中移除或移除到另一个群组中 AWS 管理控制台、 AWS CLI、或中包含用户和群组管理或 AWS Directory Service 数据的群组 AWS Tools for PowerShell。

## 将用户添加到组
<a name="add_user_to_group"></a>

使用以下步骤将 Microsoft AD AWS 托管用户添加到包含用户和组管理或 AWS 目录服务数据的群组中 AWS 管理控制台、 AWS CLI、或中 AWS Tools for PowerShell。

**重要**  
 当你将 Microsoft AD AWS 托管用户添加到群组时，该用户将继承分配给该群组的角色和权限。这些角色和权限是用户的组成员资格的一部分。

**在开始任一过程之前，您需要完成以下操作：**
+ [创建你的 Microsoft AWS 托管广告](ms_ad_getting_started.md#ms_ad_getting_started_create_directory).
+ 要使用用户和组管理或 AWS Directory Service Data CLI，必须将其启用。有关更多信息，请参阅[启用用户和组管理或 Directory Service Data](ms_ad_users_groups_mgmt_enable_disable.md)。
+  您只能从主目录中 AWS 区域 为目录启用此功能。有关更多信息，请参阅[主区域与其他区域](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/multi-region-global-primary-additional.html)。
+ 您需要必要的 IAM 权限才能使用 AWS Directory Service 数据。有关更多信息，请参阅 [Directory Service API 权限：操作、资源和条件参考](UsingWithDS_IAM_ResourcePermissions.md)。要开始向您的用户和工作负载授予权限，您可以使用 AWS 托管策略，例如[AWS 托管策略：AWSDirectoryServiceDataFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDirectoryServiceDataFullAccess)或[AWS 托管策略：AWSDirectoryServiceDataReadOnlyAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDirectoryServiceDataReadOnlyAccess)。有关更多信息，请参阅 [IAM 安全最佳实践](https://docs.aws.amazon.com//IAM/latest/UserGuide/best-practices.html#bp-use-aws-defined-policies)。
+ [创建微软 AD AWS 托管用户](ms_ad_create_user.md)。
+ [创建 AWS 托管微软 AD 组](ms_ad_create_group.md)。

------
#### [ AWS 管理控制台 ]

你可以使用将 AWS 托管 Microsoft AD 成员添加到群组中 AWS 管理控制台。

**要将 AWS 托管的 Microsoft AD 用户添加到群组中 AWS 管理控制台**

1. 打开 Directory Service 控制台，网址为[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/)。

1.  在导航窗格中，选择 **Active Directory**，然后选择**目录**。您将被定向到 “**目录**” 屏幕，您可以在其中查看您的目录列表 AWS 区域。

1.  选择一个目录。系统会将您定向到**目录详细信息**屏幕。

1.  选择**组**。要查找组，请在**组**部分下的搜索框中输入组名称。该选项卡显示您的群组列表 AWS 区域。

1.  选择一个组。系统会将您定向到**组详细信息**屏幕。

1.  选择**成员**。该选项卡将按组中的成员类型显示用户和子组列表。

1.  在**成员**选项卡下，选择**添加成员**。

1.  在**成员**下，选择要添加到组中的用户，然后选择**将成员添加到组**。要查找成员，请在**成员**部分下的搜索框中输入用户的登录名和组的名称。

------
#### [ AWS CLI ]

 下面介绍如何使用 AWS 目录服务数据 CLI 格式化将 AWS 托管 Microsoft AD 成员添加到群组的请求。

**要将 Microsoft AD AWS 托管用户添加到群组中，请使用 AWS CLI**
+  要将用户添加到群组，请打开并运行以下命令，将目录 ID AWS CLI、群组和成员名称替换为您的 AWS 托管 Microsoft AD Directory ID 以及群组和成员名称：

```
aws ds-data add-group-member --directory-id d-1234567890 --group-name "your-group-name" --member-name "jane.doe"
```

------
#### [ AWS Tools for PowerShell ]

 下面介绍如何格式化将 AWS 托管 Microsoft AD 成员添加到群组的请求 AWS Tools for PowerShell。

**使用以下方法将 AWS 托管 Microsoft AD 用户添加到群组 AWS Tools for PowerShell**
+  要将用户添加到组，请打开 PowerShell，然后运行以下命令，将目录 ID、组和成员名称替换为您的 AWS Managed Microsoft AD Directory ID 以及组和成员名称：

```
Add-DSDGroupMember -DirectoryId d-1234567890 -GroupName "your-group-name" -MemberName "jane.doe"
```

------

## 从组中删除用户
<a name="remove_user_from_group"></a>

 使用 [AWS Directory Service Data API](https://docs.aws.amazon.com/directoryservicedata/latest/DirectoryServiceDataAPIReference/Welcome.html)，成员可以是用户、组或计算机。用户表示可以访问您目录的人员或实体。组允许您一次向多个用户授予和拒绝权限。

使用以下步骤将 Microsoft AD AWS 托管用户移至包含用户和组管理或 AWS 目录服务数据的群组中 AWS 管理控制台、 AWS CLI、或 AWS Tools for PowerShell。

**重要**  
 当你从群组中移除 Microsoft AD AWS 托管用户时，该用户将无法访问分配给该群组的角色和权限。这些角色和权限是组成员资格的一部分。

**在开始任一过程之前，您需要完成以下操作：**
+ [创建你的 Microsoft AWS 托管广告](ms_ad_getting_started.md#ms_ad_getting_started_create_directory).
+ 要使用用户和组管理或 AWS Directory Service Data CLI，必须将其启用。有关更多信息，请参阅[启用用户和组管理或 Directory Service Data](ms_ad_users_groups_mgmt_enable_disable.md)。
+  您只能从主目录中 AWS 区域 为目录启用此功能。有关更多信息，请参阅[主区域与其他区域](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/multi-region-global-primary-additional.html)。
+ 您需要必要的 IAM 权限才能使用 AWS Directory Service 数据。有关更多信息，请参阅 [Directory Service API 权限：操作、资源和条件参考](UsingWithDS_IAM_ResourcePermissions.md)。要开始向您的用户和工作负载授予权限，您可以使用 AWS 托管策略，例如[AWS 托管策略：AWSDirectoryServiceDataFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDirectoryServiceDataFullAccess)或[AWS 托管策略：AWSDirectoryServiceDataReadOnlyAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDirectoryServiceDataReadOnlyAccess)。有关更多信息，请参阅 [IAM 安全最佳实践](https://docs.aws.amazon.com//IAM/latest/UserGuide/best-practices.html#bp-use-aws-defined-policies)。
+ [创建微软 AD AWS 托管用户](ms_ad_create_user.md)。
+ [创建 AWS 托管微软 AD 组](ms_ad_create_group.md)。

------
#### [ AWS 管理控制台 ]

你可以使用将 AWS 托管 Microsoft AD 成员从群组中移除 AWS 管理控制台。

**要将 AWS 托管 Microsoft AD 用户从群组中移除 AWS 管理控制台**

1. 打开 Directory Service 控制台，网址为[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/)。

1.  在导航窗格中，选择 **Active Directory**，然后选择**目录**。您将被定向到 “**目录**” 屏幕，您可以在其中查看您的目录列表 AWS 区域。

1.  选择一个目录。系统会将您定向到**目录详细信息**屏幕。

1.  选择**组**。该选项卡将显示您的 AWS 区域中组的列表。

1.  选择一个组。要查找组，请在**组**部分下的搜索框中输入组名称。系统会将您定向到**组详细信息**屏幕。

1.  选择**成员**。该选项卡将按组中的成员类型显示用户和子组列表。

1.  选择要从组中删除的用户，然后选择**删除**。要查找用户，请在**成员**部分下的搜索框中输入用户登录名。

1.  确认要从组中删除用户，然后再次选择**删除**。

------
#### [ AWS CLI ]

 下面介绍如何使用 AWS 目录服务数据 CLI 格式化从群组中移除 Microsoft AD AWS 托管成员的请求。

**使用以下命令从群组中移除 Microsoft AD AWS 托管用户 AWS CLI**
+  要将用户移至群组，请打开并运行以下命令，将目录 ID AWS CLI、群组和成员名称替换为您的 AWS 托管 Microsoft AD Directory ID、群组和成员名称：

```
aws ds-data remove-group-member --directory-id d-1234567890 --group-name "your-group-name" --member-name "jane.doe"
```

------
#### [ AWS Tools for PowerShell ]

 下面介绍如何格式化从群组中移除 AWS 托管 Microsoft AD 成员的请求 AWS Tools for PowerShell。

**使用以下命令从群组中移除 Microsoft AD AWS 托管用户 AWS Tools for PowerShell**
+  要从组中删除用户，请打开 PowerShell，然后运行以下命令，将目录 ID、组和成员名称替换为您的 AWS Managed Microsoft AD Directory ID、组和成员名称：

```
Remove-DSDGroupMember -DirectoryId d-1234567890 -GroupName "your-group-name" -MemberName "jane.doe"
```

------

## 将组添加到组
<a name="add_group_to_group"></a>

当你将 AWS 托管 Microsoft AD 群组添加到另一个群组时，这些群组将共享父子关系。子组将可以访问分配给该父组的角色和权限。您可以将子组添加到您的组，也可以将您的组添加到父组。

**在开始任一过程之前，您需要完成以下操作：**
+ [创建你的 Microsoft AWS 托管广告](ms_ad_getting_started.md#ms_ad_getting_started_create_directory).
+ 要使用用户和组管理或 AWS Directory Service Data CLI，必须将其启用。有关更多信息，请参阅[启用用户和组管理或 Directory Service Data](ms_ad_users_groups_mgmt_enable_disable.md)。
+  您只能从主目录中 AWS 区域 为目录启用此功能。有关更多信息，请参阅[主区域与其他区域](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/multi-region-global-primary-additional.html)。
+ 您需要必要的 IAM 权限才能使用 AWS Directory Service 数据。有关更多信息，请参阅 [Directory Service API 权限：操作、资源和条件参考](UsingWithDS_IAM_ResourcePermissions.md)。要开始向您的用户和工作负载授予权限，您可以使用 AWS 托管策略，例如[AWS 托管策略：AWSDirectoryServiceDataFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDirectoryServiceDataFullAccess)或[AWS 托管策略：AWSDirectoryServiceDataReadOnlyAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDirectoryServiceDataReadOnlyAccess)。有关更多信息，请参阅 [IAM 安全最佳实践](https://docs.aws.amazon.com//IAM/latest/UserGuide/best-practices.html#bp-use-aws-defined-policies)。
+ [创建 AWS 托管微软 AD 组](ms_ad_create_group.md)。

------
#### [ AWS 管理控制台 ]

你可以使用将 AWS 托管 Microsoft AD 组添加到群组中 AWS 管理控制台。

**要将子群组添加到您的群组中，请使用 AWS 管理控制台**

1. 打开 Directory Service 控制台，网址为[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/)。

1.  在导航窗格中，选择 **Active Directory**，然后选择**目录**。您将被定向到 “**目录**” 屏幕，您可以在其中查看您的目录列表 AWS 区域。

1.  选择一个目录。系统会将您定向到**目录详细信息**屏幕。

1.  选择**组**。该选项卡将显示您的 AWS 区域中组的列表。

1.  选择一个组。要查找组，请在**组**部分下的搜索框中输入组名称。系统会将您定向到**组详细信息**屏幕。

1.  选择**成员**。该选项卡将按组中的成员类型显示用户和子组列表。

1.  选择**添加成员**。

1.  在**成员**下，选择要添加到您的组的子组，然后选择**将成员添加到组**。

**要将父群组添加到群组中 AWS 管理控制台**

1. 打开 Directory Service 控制台，网址为[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/)。

1.  在导航窗格中，选择 **Active Directory**，然后选择**目录**。您将被定向到 “**目录**” 屏幕，您可以在其中查看您的目录列表 AWS 区域。

1.  选择一个目录。系统会将您定向到**目录详细信息**屏幕。

1.  选择**组**。该选项卡将显示您的 AWS 区域中组的列表。

1.  选择一个组。要查找组，请在**组**部分下的搜索框中输入组名称。系统会将您定向到**组详细信息**屏幕。

1.  选择**父组**。该选项卡将显示您的组所属组的列表。

1.  选择**添加父组**。

1.  在**组**下，选择要将您的组添加到的组，然后再次选择**添加父组**。

------
#### [ AWS CLI ]

 下面介绍如何使用 AWS 目录服务数据 CLI 格式化将 AWS 托管 Microsoft AD 组添加到群组的请求。

**要将子群组添加到您的群组中，请使用 AWS CLI**
+  要将子群组添加到父群组，请打开并运行以下命令，将目录 ID AWS CLI、群组和成员名称替换为您 AWS 的 Microsoft AD Directory ID、群组和成员名称：

```
aws ds-data add-group-member --directory-id d-1234567890 --group-name "parent-group-name" --member-name "child-group-name"
```

------
#### [ AWS Tools for PowerShell ]

 下面介绍如何格式化将 AWS 托管 Microsoft AD 组添加到群组的请求 AWS Tools for PowerShell。

**要将子群组添加到您的群组，请使用以下方法 AWS Tools for PowerShell**
+  要将子群组添加到父群组，请打开并运行以下命令，将目录 ID PowerShell、群组和成员名称替换为您 AWS 的 Microsoft AD Directory ID、群组和成员名称：

```
Add-DSDGroupMember -DirectoryId d-1234567890 -GroupName "parent-group-name" -MemberName "child-group-name"
```

------

## 从组中删除组
<a name="remove_group_from_group"></a>

 当你从另一个群组中移除 AWS 托管 Microsoft AD 群组时，这些群组将不再共享父子关系。子组将无法访问分配给该父组的角色和权限。您可以从您的组中删除子组，也可以从父组中删除您的组。

**在开始任一过程之前，您需要完成以下操作：**
+ [创建你的 Microsoft AWS 托管广告](ms_ad_getting_started.md#ms_ad_getting_started_create_directory).
+ 要使用用户和组管理或 AWS Directory Service Data CLI，必须将其启用。有关更多信息，请参阅[启用用户和组管理或 Directory Service Data](ms_ad_users_groups_mgmt_enable_disable.md)。
+  您只能从主目录中 AWS 区域 为目录启用此功能。有关更多信息，请参阅[主区域与其他区域](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/multi-region-global-primary-additional.html)。
+ 您需要必要的 IAM 权限才能使用 AWS Directory Service 数据。有关更多信息，请参阅 [Directory Service API 权限：操作、资源和条件参考](UsingWithDS_IAM_ResourcePermissions.md)。要开始向您的用户和工作负载授予权限，您可以使用 AWS 托管策略，例如[AWS 托管策略：AWSDirectoryServiceDataFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDirectoryServiceDataFullAccess)或[AWS 托管策略：AWSDirectoryServiceDataReadOnlyAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDirectoryServiceDataReadOnlyAccess)。有关更多信息，请参阅 [IAM 安全最佳实践](https://docs.aws.amazon.com//IAM/latest/UserGuide/best-practices.html#bp-use-aws-defined-policies)。
+ [创建 AWS 托管微软 AD 组](ms_ad_create_group.md)。

------
#### [ AWS 管理控制台 ]

 你可以使用将 AWS 托管 Microsoft AD 组移到群组中 AWS 管理控制台。

**要将子群组从您的群组中移除，请使用 AWS 管理控制台**

1. 打开 Directory Service 控制台，网址为[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/)。

1.  在导航窗格中，选择 **Active Directory**，然后选择**目录**。您将被定向到 “**目录**” 屏幕，您可以在其中查看您的目录列表 AWS 区域。

1.  选择一个目录。系统会将您定向到**目录详细信息**屏幕。

1.  选择**组**。该选项卡将显示您的 AWS 区域中组的列表。

1.  选择一个组。系统会将您定向到**组详细信息**屏幕。要查找组，请在**组**部分下的搜索框中输入组名称。

1.  选择**成员**。该选项卡将按组中的成员类型显示用户和子组列表。

1.  选择要从您的组中删除的子组，然后选择**删除**。

1.  确认要从您的组中删除的子组，然后再次选择**删除**。

**要将您的群组从父群组中移除 AWS 管理控制台**

1. 打开 Directory Service 控制台，网址为[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/)。

1.  在导航窗格中，选择 **Active Directory**，然后选择**目录**。您将被定向到 “**目录**” 屏幕，您可以在其中查看您的目录列表 AWS 区域。

1.  选择一个目录。系统会将您定向到**目录详细信息**屏幕。

1.  选择**组**。该选项卡将显示您的 AWS 区域中组的列表。

1.  选择一个组。系统会将您定向到**组详细信息**屏幕。要查找组，请在**组**部分下的搜索框中输入组名称。

1.  选择**父组**。该选项卡将显示您的组所属组的列表。

1.  选择要从中删除您的组的父组，然后选择**删除父组**。

1.  确认要从中删除您的组的父组，然后再次选择**删除父组**。

------
#### [ AWS CLI ]

下面介绍如何使用 AWS 目录服务数据 CLI 格式化将 AWS 托管 Microsoft AD 组移至群组的请求。
+ 

**使用以下命令将子组从父组中移除 AWS CLI**

   要从父群组中添加移除子群组，请打开并运行以下命令 AWS CLI，将目录 ID、群组和成员名称替换为您 AWS 的 Microsoft AD Directory ID、群组和成员名称：

```
aws ds-data remove-group-member --directory-id d-1234567890 --group-name "parent-group-name" --member-name "child-group-name"
```

------
#### [ AWS Tools for PowerShell ]

下面介绍如何格式化将 AWS 托管 Microsoft AD 组移至群组的请求 AWS Tools for PowerShell。
+ 

**使用以下命令从父组中移除子组 AWS Tools for PowerShell**

   要从父群组中添加移除子群组，请打开并运行以下命令PowerShell，将目录 ID、群组和成员名称替换为您 AWS 的 Microsoft AD Directory ID、群组和成员名称：

```
Remove-DSDGroupMember -DirectoryId d-1234567890 -GroupName "parent-group-name" -MemberName "child-group-name"
```

------