Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Active Directory mit WorkSpaces Anwendungen verwenden
<a name="active-directory"></a>

Sie können Ihre Amazon WorkSpaces Applications Always-On- und On-Demand-Windows-Flotten und Image-Builder mit Domänen in Microsoft Active Directory verbinden und Ihre vorhandenen Active Directory-Domänen, entweder cloudbasiert oder lokal, verwenden, um domänengebundene Streaming-Instances zu starten. Sie können auch AWS Managed Microsoft AD verwenden AWS Directory Service for Microsoft Active Directory, um eine Active Directory-Domäne zu erstellen und diese zur Unterstützung Ihrer WorkSpaces Anwendungsressourcen zu verwenden. Weitere Informationen zum Verwenden von AWS Managed Microsoft AD finden Sie unter [Microsoft Active Directory](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_microsoft_ad.html) im *AWS Directory Service -Administrationshandbuch*.

**Anmerkung**  
Amazon Linux 2-Flotten, Image Builder, Elastic Fleets und App Block Builder unterstützen derzeit keinen Domain-Join.

Durch das Hinzufügen von WorkSpaces Anwendungen zu Ihrer Active Directory-Domain können Sie:
+ Sie können Ihren Benutzern und Anwendungen den Zugriff auf Ihre Active Directory-Ressourcen, wie beispielsweise Drucker und Dateifreigaben, von Streaming-Sitzungen aus erlauben.
+ Sie können Gruppenrichtlinieneinstellungen verwenden, die in der Group Policy Management Console (GPMC) verfügbar sind, um die Endbenutzererfahrung zu definieren.
+ Streamen Sie Anwendungen, für die Benutzer mit ihren Active Directory-Anmeldeinformationen authentifiziert werden müssen.
+ Wenden Sie Ihre unternehmensinternen Compliance- und Sicherheitsrichtlinien auf Ihre WorkSpaces Anwendungs-Streaming-Instances an.

**Topics**
+ [

# Active Directory-Domänen – Übersicht
](active-directory-overview.md)
+ [

# Bevor Sie beginnen, Active Directory mit WorkSpaces Amazon-Anwendungen zu verwenden
](active-directory-prerequisites.md)
+ [

# Tutorial: Einrichten von Active Directory
](active-directory-directory-setup.md)
+ [

# Zertifikatbasierte Authentifizierung
](certificate-based-authentication.md)
+ [

# WorkSpaces Anwendungen Active Directory-Verwaltung
](active-directory-admin.md)
+ [

# Weitere Infos
](active-directory-more-info.md)

# Active Directory-Domänen – Übersicht
<a name="active-directory-overview"></a>

Die Verwendung von Active Directory-Domänen mit WorkSpaces Anwendungen setzt voraus, dass Sie wissen, wie sie zusammenarbeiten und welche Konfigurationsaufgaben Sie ausführen müssen. Sie müssen die folgenden Aufgaben ausführen:

1. Konfigurieren Sie Gruppenrichtlinieneinstellungen nach Bedarf, um die Endbenutzererfahrung und Sicherheitsanforderungen für Anwendungen zu definieren.

1. Erstellen Sie den in die Domäne eingebundenen Anwendungsstapel unter Anwendungen. WorkSpaces 

1. Erstellen Sie die WorkSpaces Anwendungsanwendung im SAML 2.0-Identitätsanbieter und weisen Sie sie den Endbenutzern entweder direkt oder über Active Directory-Gruppen zu.

Damit Ihre Benutzer bei einer Domäne authentifiziert werden können, müssen mehrere Schritte ausgeführt werden, wenn diese Benutzer eine WorkSpaces Anwendungs-Streaming-Sitzung starten. Das folgende Diagramm zeigt den Ablauf der end-to-end Benutzerauthentifizierung von der ersten Browseranfrage bis hin zur SAML- und Active Directory-Authentifizierung.

![\[Authentication flow diagram showing steps from user login to AWSWorkSpaces Applications session start.\]](http://docs.aws.amazon.com/de_de/appstream2/latest/developerguide/images/domain-join-UPDATED.png)


**Benutzer-Authentifizierungsfluss**

1. Der Benutzer ruft `https://applications.exampleco.com` auf. Die Anmeldeseite fordert die Authentifizierung für den Benutzer an.

1. Der Verbundservice fordert die Authentifizierung vom Identitätsspeicher der Organisation an.

1. Der Identitätsspeicher authentifiziert den Benutzer und gibt die Authentifizierungsantwort an den Verbundservice zurück.

1. Bei einer erfolgreichen Authentifizierung sendet der Verbundservice die SAML-Zusicherung an den Browser des Benutzers.

1. Der Browser des Benutzers sendet die SAML-Assertion an den SAML-Endpunkt für die AWS Anmeldung (). `https://signin.aws.amazon.com/saml` AWS Sign-In empfängt die SAML-Anfrage, verarbeitet die Anfrage, authentifiziert den Benutzer und leitet das Authentifizierungstoken an den Anwendungsdienst weiter. WorkSpaces 

1.  WorkSpaces Applications autorisiert den Benutzer mithilfe des Authentifizierungstokens von AWS und präsentiert Anwendungen dem Browser.

1. Der Benutzer wählt eine Anwendung aus und wird, abhängig von der Windows-Anmeldeauthentifizierungsmethode, die im WorkSpaces Anwendungsstapel aktiviert ist, aufgefordert, sein Active Directory-Domänenkennwort einzugeben oder eine Smartcard auszuwählen. Wenn beide Authentifizierungsmethoden aktiviert sind, kann der Benutzer wählen, ob er sein Domainkennwort eingeben oder seine Smartcard verwenden möchte. Es kann auch die zertifikatbasierte Authentifizierung für die Benutzerauthentifizierung verwendet werden.

1. Der Domänencontroller für die Benutzerauthentifizierung wird kontaktiert.

1. Nach der Authentifizierung bei der Domäne beginnt die Sitzung des Benutzers mit Domänen-Konnektivität.

Für den Benutzer ist dieser Vorgang transparent. Der Benutzer navigiert zunächst zum internen Portal Ihrer Organisation und wird zu einem Anwendungsportal für WorkSpaces Anwendungen weitergeleitet, ohne dass er AWS Anmeldeinformationen eingeben muss. Es sind nur ein Active-Directory-Domainkennwort oder Smartcard-Anmeldeinformationen erforderlich.

Bevor ein Benutzer diesen Prozess starten kann, müssen Sie Active Directory mit den erforderlichen Berechtigungen und Gruppenrichtlinieneinstellungen konfigurieren und ein mit einer Domäne verbundenen Anwendungs-Stack erstellen.

# Bevor Sie beginnen, Active Directory mit WorkSpaces Amazon-Anwendungen zu verwenden
<a name="active-directory-prerequisites"></a>

Bevor Sie Microsoft Active Directory-Domänen mit WorkSpaces Anwendungen verwenden, sollten Sie die folgenden Anforderungen und Überlegungen beachten.

**Topics**
+ [

# Active-Directory-Domainumgebung
](active-directory-prerequisites-domain-environment.md)
+ [

# Streaming-Instanzen für Anwendungen, die in eine Domäne eingebunden WorkSpaces sind
](active-directory-prerequisites-streaming-instances.md)
+ [

# Einstellungen für Gruppenrichtlinien
](active-directory-prerequisites-group-policy-settings.md)
+ [

# Smartcard-Authentifizierung
](active-directory-prerequisites-smart-card-authentication.md)

# Active-Directory-Domainumgebung
<a name="active-directory-prerequisites-domain-environment"></a>

Ihre Active Directory-Domänenumgebung muss die folgenden Anforderungen erfüllen.
+ Sie brauchen eine Microsoft Active Directory-Domäne, mit der Sie Ihre Streaming-Instances verbinden können. Wenn Sie keine Active Directory-Domäne haben oder Ihre lokale Active Directory-Umgebung verwenden möchten, finden Sie weitere Informationen im [Leitfaden zur Bereitstellung von Active Directory-Domänendiensten auf AWS Partner Solution](https://aws-solutions-library-samples.github.io/cfn-ps-microsoft-activedirectory/).
+ Sie benötigen ein Domänendienstkonto mit Berechtigungen zum Erstellen und Verwalten von Computerobjekten in der Domäne, die Sie mit WorkSpaces Anwendungen verwenden möchten. Weitere Informationen finden Sie im Thema zum [Erstellen eines Domänenkontos in Active Directory](https://msdn.microsoft.com/en-us/library/aa545262(v=cs.70).aspx) in der Microsoft-Dokumentation.

  Wenn Sie diese Active Directory-Domäne WorkSpaces Anwendungen zuordnen, geben Sie den Namen und das Kennwort für das Dienstkonto an. WorkSpaces Applications verwendet dieses Konto, um Computerobjekte im Verzeichnis zu erstellen und zu verwalten. Weitere Informationen finden Sie unter [Gewähren von Berechtigungen zum Erstellen und Verwalten von Active Directory-Computerobjekten](active-directory-permissions.md).
+ Wenn Sie Ihre Active Directory-Domäne bei WorkSpaces Applications registrieren, müssen Sie einen eindeutigen Namen für die Organisationseinheit (Organizational Unit, OU) angeben. Erstellen Sie eine OU für diesen Zweck. Der Standardcontainer für Computer ist keine Organisationseinheit und kann nicht von WorkSpaces Anwendungen verwendet werden. Weitere Informationen finden Sie unter [Den spezifischen Namen der Organisationseinheit finden](active-directory-oudn.md).
+ Die Verzeichnisse, die Sie mit WorkSpaces Anwendungen verwenden möchten, müssen über ihre vollqualifizierten Domainnamen (FQDNs) über die Virtual Private Cloud (VPC), in der Ihre Streaming-Instances gestartet werden, zugänglich sein. Weitere Informationen finden Sie unter [Service-Port-Anforderungen von Active Directory und Active Directory Domain](https://technet.microsoft.com/en-us/library/dd772723.aspx) in der Microsoft-Dokumentation.
+ Der Zugriff auf Domänencontroller kann auch über IPv6 [DHCP-Optionen unterstützt werden und erfordert entsprechende Aktualisierungen.](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_DHCP_Options.html)

# Streaming-Instanzen für Anwendungen, die in eine Domäne eingebunden WorkSpaces sind
<a name="active-directory-prerequisites-streaming-instances"></a>

Für das Anwendungs-Streaming von mit einer Domain verbundenen Always-On- und On-Demand-Flotten ist ein auf SAML 2.0 basierender Benutzerverbund erforderlich. Sie können keine Sitzungen für domänengebundene Instances mithilfe der [CreateStreamingURL](https://docs.aws.amazon.com/appstream2/latest/APIReference/API_CreateStreamingURL.html) oder des WorkSpaces Anwendungsbenutzerpools starten.

Sie müssen außerdem ein Abbild verwenden, das die Einbindung von Image Buildern und Flotten in eine Active-Directory-Domain unterstützt. Alle öffentlichen Abbilder, die am oder nach dem 24. Juli 2017 veröffentlicht wurden, unterstützen die Verbindung mit einer Active Directory-Domain. Weitere Informationen erhalten Sie unter [WorkSpaces Versionshinweise für das Basis-Image und das Managed Image-Update für Anwendungen](base-image-version-history.md) und [Tutorial: Einrichten von Active Directory](active-directory-directory-setup.md).

**Anmerkung**  
Sie können Always-On- und On-Demand-Flottenstreaming-Instances mit einer Active Directory-Domäne verbinden. Zu den unterstützten Betriebssystemen gehören Windows, Red Hat Enterprise Linux und Rocky Linux.

# Einstellungen für Gruppenrichtlinien
<a name="active-directory-prerequisites-group-policy-settings"></a>

Überprüfen Sie Ihre Konfiguration für die folgenden Gruppenrichtlinieneinstellungen. Falls erforderlich, aktualisieren Sie die Einstellungen wie in diesem Abschnitt beschrieben, sodass sie WorkSpaces Anwendungen nicht daran hindern, Ihre Domain-Benutzer zu authentifizieren und anzumelden. Andernfalls schlägt die Anmeldung möglicherweise fehl, wenn Ihre Benutzer versuchen, sich bei WorkSpaces Anwendungen anzumelden. Stattdessen wird die Meldung „Ein unbekannter Fehler ist aufgetreten.“ angezeigt.
+ **Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > Windows-Anmeldeoptionen > Software-Sicherheitssequenz** – Diese Richtlinie sollte auf **Aktiviert** für **Services** gesetzt sein.
+ **Computerkonfiguration > Administrative Vorlagen > System > Anmeldung > Anbieter von Anmeldeinformationen ausschließen** — Stellen Sie sicher, dass die folgenden CLSID *nicht* aufgeführt sind: und `e7c1bab5-4b49-4e64-a966-8d99686f8c7c` `f148bAed-5f7f-40c9-8D48-51e24e571825`
+ **Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen > Interaktive Anmeldung > Interaktive Anmeldung: Nachrichtentext für Benutzer, die versuchen sich anzumelden** – Setzen Sie diese Einstellung auf **Nicht definiert**.
+ **Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen > Interaktive Anmeldung > Interaktive Anmeldung: Nachrichtentitel für Benutzer, die versuchen sich anzumelden** – Setzen Sie diese Einstellung auf **Nicht definiert**.
+ **Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten > Lokale Anmeldung zulassen — Stellen Sie diese Option auf** **Nicht definiert** ein oder fügen Sie die Domäne user/group zu dieser Liste hinzu.
+ **Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten > Lokale Anmeldung verweigern — Stellen Sie diese Option auf** **Nicht definiert** ein oder stellen Sie sicher, dass Domänenbenutzer/Gruppen nicht in der Liste enthalten sind.

Wenn Sie Flotten mit mehreren Sitzungen verwenden, benötigen Sie zusätzlich zu den oben angegebenen Einstellungen auch die folgenden Gruppenrichtlinieneinstellungen.
+ **Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten > Anmeldung über Remotedesktopdienste zulassen — Stellen Sie diese Option auf** **Nicht definiert** ein oder fügen Sie die Domäne user/group zu dieser Liste hinzu.
+ **Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten > Anmeldung über Remote Desktop Services verweigern — Stellen Sie diese Option auf** **Nicht definiert** ein oder stellen Sie sicher, dass users/groups die Domäne nicht in der Liste enthalten ist.

# Smartcard-Authentifizierung
<a name="active-directory-prerequisites-smart-card-authentication"></a>

WorkSpaces Applications unterstützt die Verwendung von Active Directory-Domänenkennwörtern oder Smartcards wie [Common Access Card (CAC)](https://www.cac.mil/Common-Access-Card) und [Personal Identity Verification (PIV)](https://piv.idmanagement.gov/) Smartcards für die Windows-Anmeldung bei WorkSpaces Anwendungs-Streaming-Instances. Informationen dazu, wie Sie Ihre Active Directory-Umgebung so konfigurieren, dass die Smartcard-Anmeldung mithilfe von Zertifizierungsstellen von Drittanbietern (CAs) aktiviert wird, finden Sie in der Microsoft-Dokumentation unter [Richtlinien für die Aktivierung der Smartcard-Anmeldung bei Zertifizierungsstellen von Drittanbietern](https://docs.microsoft.com/en-us/troubleshoot/windows-server/windows-security/enabling-smart-card-logon-third-party-certification-authorities).

**Anmerkung**  
WorkSpaces Applications unterstützt auch die Verwendung von Smartcards für die Sitzungsauthentifizierung, nachdem sich ein Benutzer bei einer Streaming-Instanz angemeldet hat. Diese Funktion wird nur für Benutzer unterstützt, auf denen der WorkSpaces Applications Client für Windows Version 1.1.257 oder höher installiert ist. Weitere Informationen zu den zusätzlichen Anforderungen finden Sie unter [Smartcards](feature-support-USB-devices-qualified.md#feature-support-USB-devices-qualified-smart-cards).

# Tutorial: Einrichten von Active Directory
<a name="active-directory-directory-setup"></a>

Um Active Directory mit WorkSpaces Anwendungen verwenden zu können, müssen Sie zunächst Ihre Verzeichniskonfiguration registrieren, indem Sie in WorkSpaces Applications ein Directory Config-Objekt erstellen. Dieses Objekt enthält die Informationen, die erforderlich sind, um Streaming-Instances mit einer Active Directory-Domäne zu verbinden. Sie erstellen ein Directory Config-Objekt mithilfe der WorkSpaces Applications Management Console, des AWS SDK oder AWS CLI. Sie können Ihre Verzeichniskonfiguration anschließend verwenden, um mit der Domain verbundene Always-On- und On-Demand-Flotten und Image Builder zu starten. 

**Anmerkung**  
Sie können nur Always-On- und On-Demand-Flotten-Streaming-Instances mit einer Active-Directory-Domain verbinden.

**Topics**
+ [

## Schritt 1: Erstellen eines Directory Config-Objekts
](#active-directory-setup-config)
+ [

## Schritt 2: Erstellen eines Abbilds mit einem mit einer Domäne verbundenen Image Builder
](#active-directory-setup-image-builder)
+ [

## Schritt 3: Erstellen einer mit der Domäne verknüpften Flotte
](#active-directory-setup-fleet)
+ [

## Schritt 4: SAML 2.0 konfigurieren
](#active-directory-setup-saml)

## Schritt 1: Erstellen eines Directory Config-Objekts
<a name="active-directory-setup-config"></a>

Das Directory Config-Objekt, das Sie in WorkSpaces Applications erstellen, wird in späteren Schritten verwendet.

Wenn Sie das AWS SDK verwenden, können Sie den [CreateDirectoryConfig](https://docs.aws.amazon.com/appstream2/latest/APIReference/API_CreateDirectoryConfig.html)Vorgang verwenden. Wenn Sie den verwenden AWS CLI, können Sie den [create-directory-config](https://docs.aws.amazon.com/cli/latest/reference/appstream/create-directory-config.html)Befehl verwenden.

**So erstellen Sie ein Directory Config-Objekt mithilfe der WorkSpaces Anwendungskonsole**

1. Öffnen Sie die WorkSpaces Anwendungskonsole unter [https://console.aws.amazon.com/appstream2.](https://console.aws.amazon.com/appstream2)

1. Wählen Sie im linken Navigationsbereich **Directory-Konfigurationen** und **Directory-Konfigurationen erstellen** aus.

1. Geben Sie für **Directory Name** den vollständig qualifizierten Domänennamen (FQDN) der Active Directory-Domäne an (z. B. `corp.example.com`). Jede Region kann nur einen **Directory Config-** Wert mit einem spezifischen Directory-Namen haben.

1. Geben Sie für **Servicekonto-Name** den Namen eines Kontos ein, das Computerobjekte erstellen kann und über Berechtigungen zum Verbinden mit der Domäne verfügt. Weitere Informationen finden Sie unter [Gewähren von Berechtigungen zum Erstellen und Verwalten von Active Directory-Computerobjekten](active-directory-permissions.md). Der Kontoname muss das Format `DOMAIN\username` haben.

1. Für **Passwort** und **Passwort bestätigen** geben Sie das Directory-Passwort für das angegebene Konto ein.

1. Für **Organisationseinheit (OU)** geben Sie den spezifischen Namen von mindestens einer der OUs ein, in denen Streaming-Instance-Computerobjekte erstellt werden sollen. 
**Anmerkung**  
Die OU darf keine Leerzeichen enthalten. Wenn Sie einen OU-Namen angeben, der Leerzeichen enthält, können WorkSpaces Anwendungen beim Versuch einer Flotte oder eines Image Builders, der Active Directory-Domäne wieder beizutreten, die Computerobjekte nicht korrekt durchlaufen, und der erneute Domänenbeitritt ist nicht erfolgreich. Informationen zur Behebung dieses Problems finden Sie im Thema *DOMAIN\$1JOIN\$1INTERNAL\$1SERVICE\$1ERROR* für die Meldung „Das Konto ist bereits vorhanden“ unter [Verbindung mit der Active Directory-Domäne](troubleshooting-notification-codes.md#troubleshooting-notification-codes-ad).  
Darüber hinaus ist der Standard-Computercontainer keine Organisationseinheit und kann nicht von WorkSpaces Anwendungen verwendet werden. Weitere Informationen finden Sie unter [Den spezifischen Namen der Organisationseinheit finden](active-directory-oudn.md).

1. Um mehrere OUs hinzuzufügen, wählen Sie das Pluszeichen (**\$1**) neben dem Feld **Organisationseinheit (OU)**. Wählen Sie OUs zum Entfernen das **X-Symbol**.

1. Wählen Sie **Weiter** aus.

1. Prüfen Sie die Konfigurationsinformationen und wählen Sie **Erstellen**.

## Schritt 2: Erstellen eines Abbilds mit einem mit einer Domäne verbundenen Image Builder
<a name="active-directory-setup-image-builder"></a>

Erstellen Sie anschließend mit dem WorkSpaces Applications Image Builder ein neues Image mit Active Directory-Funktionen für den Domänenbeitritt. Beachten Sie, dass die Flotte und das Abbild unterschiedliche Domänen angehören können. Sie verbinden den Image Builder mit einer Domäne, um die Domänenverbindung zu aktivieren und Anwendungen zu installieren. Die Domänenverbindung von Flotten ist im nächsten Abschnitt beschrieben.

**Ein Abbild für das Starten der mit der Domäne verbundenen Flotten erstellen**

1. Folgen Sie den Verfahren in [Tutorial: Erstellen eines benutzerdefinierten WorkSpaces Anwendungsabbilds mithilfe der WorkSpaces Anwendungskonsole](tutorial-image-builder.md).

1. Verwenden Sie für den Schritt zur Auswahl des Basis-Images ein AWS Basis-Image, das am oder nach dem 24. Juli 2017 veröffentlicht wurde. Eine aktuelle Liste der veröffentlichten AWS Images finden Sie unter[WorkSpaces Versionshinweise für das Basis-Image und das Managed Image-Update für Anwendungen](base-image-version-history.md).

1. Für **Schritt 3: Netzwerk konfigurieren** wählen Sie eine VPC und Subnetze mit Netzwerkkonnektivität zu Ihrer Active Directory-Umgebung aus. Wählen Sie die Sicherheitsgruppen, die darauf ausgelegt sind, Zugriff auf Ihr Directory über Ihre VPC-Subnetze zu ermöglichen.

1. Ebenfalls in **Schritt 3: Netzwerk konfigurieren** erweitern Sie den Abschnitt **Active Directory-Domäne (optional)**, und wählen Werte für **Directory Name** und **Directory OU** aus, mit denen der Image Builder verbunden werden soll.

1. Prüfen Sie die Konfiguration des Image Builders und wählen Sie **Erstellen**.

1. Warten Sie, bis der neue Image Builder den Status **Ausführung** erreicht, und wählen Sie **Verbinden**.

1. Melden Sie sich beim Image Builder im Administratormodus oder als Directory-Benutzer mit lokalen Administratorberechtigungen an. Weitere Informationen finden Sie unter [Gewähren von lokalen Administratorrechten für Image Builder](active-directory-image-builder-local-admin.md).

1. Führen Sie die Schritte in [Tutorial: Erstellen eines benutzerdefinierten WorkSpaces Anwendungsabbilds mithilfe der WorkSpaces Anwendungskonsole](tutorial-image-builder.md) aus, um Anwendungen zu installieren und ein neues Abbild zu erstellen.

## Schritt 3: Erstellen einer mit der Domäne verknüpften Flotte
<a name="active-directory-setup-fleet"></a>

Mit dem im vorherigen Schritt erstellten privaten Abbild erstellen Sie eine mit der Domain verbundene Always-On- oder On-Demand-Active-Directory-Flotte für Streaming-Anwendungen. Die Domäne kann eine andere sein, als Sie für den Image Builder zum Erstellen des Abbilds verwendet haben.

**So erstellen Sie eine mit einer Domain verbundene Always-On- oder On-Demand-Flotte**

1. Folgen Sie den Verfahren in [Eine Flotte in Amazon WorkSpaces Applications erstellen](set-up-stacks-fleets-create.md).

1. Für den Schritt zur Auswahl des Abbilds verwenden Sie das Abbild aus dem vorherigen Schritt, [Schritt 2: Erstellen eines Abbilds mit einem mit einer Domäne verbundenen Image Builder](#active-directory-setup-image-builder).

1. Für **Schritt 4: Netzwerk konfigurieren** wählen Sie eine VPC und Subnetze mit Netzwerkkonnektivität zu Ihrer Active Directory-Umgebung aus. Wählen Sie die Sicherheitsgruppen, die eingerichtet wurden, um eine Kommunikation in Ihrer Domäne zuzulassen.

1. Ebenfalls in **Schritt 4: Netzwerk konfigurieren** erweitern Sie den Abschnitt **Active Directory-Domäne (optional)** und wählen die Werte für **Directory Name** und **Directory OU** aus, mit denen die Flotte verknüpft werden soll.

1. Prüfen Sie die Flottenkonfiguration und wählen Sie **Erstellen**.

1. Führen Sie die verbleibenden Schritte aus [Erstellen Sie eine WorkSpaces Amazon-Anwendungsflotte und einen Stack](set-up-stacks-fleets.md) aus, sodass Ihre Flotte einem Stack zugeordnet ist und ausgeführt wird.

## Schritt 4: SAML 2.0 konfigurieren
<a name="active-directory-setup-saml"></a>

Ihre Benutzer müssen Ihren auf SAML 2.0 basierenden Identitätsverbundumgebung verwenden, um Streaming-Sitzungen aus Ihrer mit der Domäne verbundenen Flotte zu starten.

**SAML 2.0 für einen Zugriff nach einmaligem Anmelden konfigurieren**

1. Folgen Sie den Verfahren in [Einrichten von SAML](external-identity-providers-setting-up-saml.md).

1. WorkSpaces Für Anwendungen muss der `NameID` SAML\$1Subject-Wert für den Benutzer, der sich anmeldet, in einem der folgenden Formate bereitgestellt werden:
   + `domain\username`mit dem Namen s AMAccount
   + `username@domain.com`mit dem userPrincipalName

   Wenn Sie das AMAccount S-Name-Format verwenden, können Sie das entweder `domain` mithilfe des NetBIOS-Namens oder des vollqualifizierten Domänennamens (FQDN) angeben.

1. Gewähren Sie Ihren Active Directory-Benutzern oder -Gruppen Zugriff, um den Zugriff auf den WorkSpaces Anwendungsstapel von Ihrem Identity Provider-Anwendungsportal aus zu ermöglichen.

1. Führen Sie die verbleibenden Schritte unter [Einrichten von SAML](external-identity-providers-setting-up-saml.md) aus.

**Anmeldung eines Benutzers mit SAML 2.0**

1. Melden Sie sich beim Anwendungskatalog Ihres SAML 2.0-Anbieters an und öffnen Sie die SAML-Anwendung WorkSpaces Applications, die Sie im vorherigen Verfahren erstellt haben.

1. Wenn der Anwendungskatalog WorkSpaces für Anwendungen angezeigt wird, wählen Sie eine Anwendung aus, die gestartet werden soll.

1. Wenn ein Ladesymbol angezeigt wird, werden Sie aufgefordert, ein Passwort einzugeben. Der von Ihrem SAML 2.0 Identitätsanbieter bereitgestellte Domänenbenutzername wird oberhalb des Passwortfelds angezeigt. Geben Sie Ihr Passwort ein und wählen Sie **Anmelden** aus.

Die Streaming-Instance führt das Windows-Anmeldeverfahren aus und die ausgewählte Anwendung wird geöffnet.

# Zertifikatbasierte Authentifizierung
<a name="certificate-based-authentication"></a>

Sie können die zertifikatsbasierte Authentifizierung mit WorkSpaces Anwendungsflotten verwenden, die mit Microsoft Active Directory verknüpft sind. Dadurch wird die Benutzeraufforderung zur Eingabe des Active-Directory-Domainkennworts entfernt, wenn sich ein Benutzer anmeldet. Durch die Verwendung der zertifikatsbasierten Authentifizierung mit Ihrer Active Directory-Domain können Sie Folgendes erreichen:
+ Sie können den SAML-2.0-Identitätsanbieter zur Authentifizierung der Benutzer und Bereitstellung der SAML-Zusicherungen für die Benutzer in Active Directory verwenden.
+ Ermöglichen Sie eine Single-Sign-On-Anmeldung mit weniger Benutzeraufforderungen.
+ Aktivieren Sie passwortlose Authentifizierungsabläufe mit Ihrem SAML-2.0-Identitätsanbieter.

Die zertifikatsbasierte Authentifizierung verwendet Ressourcen der AWS privaten Zertifizierungsstelle (AWS Private CA) in Ihrem. AWS-Konto Mit AWS Private CA können Sie private Zertifizierungsstellenhierarchien (CA) erstellen, einschließlich Stamm- und untergeordneter Zertifizierungsstellen. CAs Sie können auch Ihre eigene CA-Hierarchie erstellen und damit Zertifikate zur Authentifizierung interner Benutzer ausstellen. Weitere Informationen finden Sie unter [Was ist](https://docs.aws.amazon.com/privateca/latest/userguide/PcaWelcome.html). AWS Private CA

Wenn Sie AWS Private CA für die zertifikatsbasierte Authentifizierung verwenden, fordert WorkSpaces Applications bei der Sitzungsreservierung für jede WorkSpaces Applications-Flotteninstanz automatisch Zertifikate für Ihre Benutzer an. Die Benutzer werden mit einer virtuellen Smartcard, die mit den Zertifikaten bereitgestellt wird, bei Active Directory authentifiziert.

Die zertifikatsbasierte Authentifizierung (CBA) wird für in eine Domäne eingebundene WorkSpaces Anwendungsflotten (sowohl Flotten mit einer Sitzung als auch mit mehreren Sitzungen) unterstützt, auf denen Windows-Instances ausgeführt werden. Um CBA auf Flotten mit mehreren Sitzungen zu aktivieren, müssen Sie ein Anwendungs-Image verwenden, das einen WorkSpaces Anwendungsagenten verwendet, der am oder nach dem 02.07.2025 veröffentlicht wurde. WorkSpaces Oder Ihr Image muss Image-Updates für verwaltete WorkSpaces Anwendungen verwenden, die am oder nach dem 02.11.2025 veröffentlicht wurden. 

**Topics**
+ [

# Voraussetzungen
](certificate-based-authentication-prereq.md)
+ [

# Aktivieren der zertifikatsbasierten Authentifizierung
](certificate-based-authentication-enable.md)
+ [

# Verwalten der zertifikatsbasierten Authentifizierung
](certificate-based-authentication-manage.md)
+ [

# Aktivieren Sie kontoübergreifendes PCA Sharing
](pca-sharing.md)

# Voraussetzungen
<a name="certificate-based-authentication-prereq"></a>

Führen Sie die folgenden Schritte aus, bevor Sie die zertifikatbasierte Authentifizierung aktivieren.

1. Richten Sie eine mit einer Domain verbundene Flotte ein und konfigurieren Sie SAML 2.0. Stellen Sie sicher, dass Sie das Format `username@domain.com` `userPrincipalName` für das SAML\$1Subject `NameID` verwenden. Weitere Informationen finden Sie unter [Schritt 5: Erstellen von Zusicherungen für die SAML-Authentifizierungsantwort](external-identity-providers-setting-up-saml.md#external-identity-providers-create-assertions).
**Anmerkung**  
Aktivieren Sie die **Smartcard-Anmeldung für Active Directory** nicht in Ihrem Stack, wenn Sie die zertifikatbasierte Authentifizierung verwenden möchten. Weitere Informationen finden Sie unter [Smartcards](feature-support-USB-devices-qualified.md#feature-support-USB-devices-qualified-smart-cards). 

1. Verwenden Sie WorkSpaces Applications Agent Version 10-13-2022 oder höher mit Ihrem Image. Weitere Informationen finden Sie unter [Behalten Sie Ihr WorkSpaces Amazon-Anwendungsimage Up-to-Date](keep-image-updated.md).

1. Konfigurieren Sie das `ObjectSid` Attribut in Ihrer SAML-Zusicherung. Sie können dieses Attribut verwenden, um eine starke Zuordnung mit dem Active-Directory-Benutzer durchzuführen. Die zertifikatsbasierte Authentifizierung schlägt fehl, wenn das Attribut `ObjectSid` nicht mit der Active-Directory-Sicherheitskennung (SID) für den im SAML\$1Subject `NameID` angegebenen Benutzenden übereinstimmt. Weitere Informationen finden Sie unter [Schritt 5: Erstellen von Zusicherungen für die SAML-Authentifizierungsantwort](external-identity-providers-setting-up-saml.md#external-identity-providers-create-assertions). Das `ObjectSid` ist für die zertifikatsbasierte Authentifizierung nach dem 10. September 2025 verpflichtend. Weitere Informationen finden Sie unter [KB5014754: Änderungen der zertifikatsbasierten Authentifizierung auf Windows-Domänencontrollern](https://support.microsoft.com/en-us/topic/kb5014754-certificate-based-authentication-changes-on-windows-domain-controllers-ad2c23b0-15d8-4340-a468-4d4f3b188f16).

1. Fügen Sie die Berechtigung `sts:TagSession` zur Vertrauensrichtlinie für IAM-Rollen hinzu, die Sie mit Ihrer SAML-2.0-Konfiguration verwenden. Weitere Informationen finden Sie unter [Übergeben von Sitzungs-Tags in AWS STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html.html). Diese Berechtigung ist erforderlich, um die zertifikatsbasierte Authentifizierung zu verwenden. Weitere Informationen finden Sie unter [Schritt 2: Erstellen einer IAM-Rolle für den SAML-2.0-Verbund](external-identity-providers-setting-up-saml.md#external-identity-providers-grantperms).

1. Erstellen Sie eine private Zertifizierungsstelle (CA) mithilfe von AWS Private CA, falls Sie noch keine mit Ihrem Active Directory konfiguriert haben. AWS Für die Verwendung der zertifikatsbasierten Authentifizierung ist eine private Zertifizierungsstelle erforderlich. Weitere Informationen finden Sie unter [Planen der Bereitstellung der AWS Private CA](https://docs.aws.amazon.com/privateca/latest/userguide/PcaPlanning.html). Die folgenden Einstellungen für AWS private Zertifizierungsstellen sind für viele Anwendungsfälle der zertifikatsbasierten Authentifizierung üblich:
   + **Optionen für den CA-Typ**
     + **CA-Verwendungsmodus für kurzlebige Zertifikate** – empfohlen, wenn Sie die CA nur zur Ausstellung von Endbenutzerzertifikaten für die zertifikatsbasierte Authentifizierung verwenden.
     + **Einstufige Hierarchie mit einer Stammzertifizierungsstelle** –Wählen Sie eine untergeordnete Zertifizierungsstelle aus, wenn Sie eine Integration in eine bestehende Zertifizierungsstellenhierarchie vornehmen möchten.
   + **Optionen für den Schlüsselalgorithmus** – RSA 2048
   + **Optionen für den definierten Namen des Antragstellers** – Verwenden Sie eine möglichst geeignete Kombination von Optionen, um diese Zertifizierungsstelle in Ihrem Active-Directory-Speicher für vertrauenswürdige Stammzertifizierungsstellen zu identifizieren.
   + **Optionen zum Widerruf von Zertifikaten** – CRL-Verteilung
**Anmerkung**  
Für die zertifikatsbasierte Authentifizierung ist ein Online-CRL-Verteilungspunkt erforderlich, auf den sowohl von der WorkSpaces Applications Flotteninstanz als auch vom Domänencontroller aus zugegriffen werden kann. Dies erfordert einen nicht authentifizierten Zugriff auf den Amazon S3 S3-Bucket, der für AWS private CA-CRL-Einträge konfiguriert ist, oder eine CloudFront Distribution mit Zugriff auf den Amazon S3 S3-Bucket, falls dieser den öffentlichen Zugriff blockiert. Weitere Informationen finden Sie unter [Planen einer Zertifikatsperrliste (CRL)](https://docs.aws.amazon.com/privateca/latest/userguide/crl-planning.html).

1. Kennzeichnen Sie Ihre private CA mit einem Schlüssel, der dazu berechtigt ist, die CA für die Verwendung mit WorkSpaces der zertifikatsbasierten Authentifizierung von Applications `euc-private-ca` zu kennzeichnen. Dieser Schlüssel benötigt keinen Wert. Weitere Informationen finden Sie unter [Verwalten von Tags für Ihre private CA](https://docs.aws.amazon.com/privateca/latest/userguide/PcaCaTagging.html). Weitere Informationen zu den AWS verwalteten Richtlinien, die mit WorkSpaces Anwendungen verwendet werden, um Berechtigungen für Ressourcen in Ihrem AWS-Konto zu gewähren, finden Sie unter. [AWS Für den Zugriff auf WorkSpaces Anwendungsressourcen sind verwaltete Richtlinien erforderlich](managed-policies-required-to-access-appstream-resources.md)

1. Bei der zertifikatsbasierten Authentifizierung werden virtuelle Smartcards für die Anmeldung verwendet. Weitere Informationen finden Sie unter [Richtlinien für die Aktivierung der Smartcard-Anmeldung bei Zertifizierungsstellen von Drittanbietern](https://learn.microsoft.com/en-us/troubleshoot/windows-server/windows-security/enabling-smart-card-logon-third-party-certification-authorities). Dazu gehen Sie wie folgt vor:

   1. Konfigurieren Sie Domaincontroller mit einem Domaincontrollerzertifikat, um Smartcard-Benutzer zu authentifizieren. Wenn Sie in Ihrem Active Directory eine Unternehmenszertifizierungsstelle für Active-Directory-Zertifikatsdienste konfiguriert haben, werden Domaincontroller automatisch mit Zertifikaten registriert, um die Smartcard-Anmeldung zu ermöglichen. Wenn Sie nicht über Active Directory-Zertifikatsdienste verfügen, finden Sie weitere Informationen unter [Anforderungen für Domänencontrollerzertifikate von einer Drittanbieter-Zertifizierungsstelle](https://learn.microsoft.com/en-US/troubleshoot/windows-server/windows-security/requirements-domain-controller). AWS empfiehlt Active Directory-Zertifizierungsstellen für Unternehmen, die Registrierung von Domänencontrollerzertifikaten automatisch zu verwalten.
**Anmerkung**  
Wenn Sie AWS Managed Microsoft AD verwenden, können Sie Certificate Services auf einer Amazon EC2 EC2-Instance konfigurieren, die die Anforderungen für Domain-Controller-Zertifikate erfüllt. Weitere Informationen finden Sie unter [Bereitstellen von Active Directory in einer neuen Amazon Virtual Private Cloud](https://docs.aws.amazon.com/launchwizard/latest/userguide/launch-wizard-ad-deploying-new-vpc.html), z. B. Bereitstellungen von AWS Managed Microsoft AD, konfiguriert mit Active Directory-Zertifikatsdiensten.  
Bei AWS Managed Microsoft AD und Active Directory Certificate Services müssen Sie auch Regeln für ausgehenden Datenverkehr von der VPC-Sicherheitsgruppe des Controllers zur Amazon EC2 EC2-Instance erstellen, auf der Certificate Services ausgeführt wird. Sie müssen der Sicherheitsgruppe Zugriff auf den TCP-Port 135 und die Ports 49152 bis 65535 gewähren, um die automatische Zertifikatsregistrierung zu aktivieren. Darüber hinaus muss die Amazon-EC2-Instance eingehenden Zugriff auf dieselben Ports von Domain-Instances, einschließlich Domaincontrollern, zulassen. Weitere Informationen zum Auffinden der Sicherheitsgruppe für AWS Managed Microsoft AD finden [Sie unter Konfigurieren Ihrer VPC-Subnetze und Sicherheitsgruppen](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_tutorial_setup_trust_prepare_mad.html#tutorial_setup_trust_open_vpc).

   1. Exportieren Sie das AWS private CA-Zertifikat auf der Private CA-Konsole oder mit dem SDK oder der CLI. Weitere Informationen finden Sie unter [Exportieren eines privaten Zertifikats](https://docs.aws.amazon.com/acm/latest/userguide/export-private.html).

   1. Veröffentlichen Sie die private CA in Active Directory. Melden Sie sich an einem Domaincontroller oder einem Computer an, der Domainmitglied ist. Kopieren Sie das private CA-Zertifikat in einen beliebigen `<path>\<file>` und führen Sie die folgenden Befehle als Domainadministrator aus. Sie können auch Gruppenrichtlinien und das Microsoft PKI Health Tool (PKIView) verwenden, um die CA zu veröffentlichen. Weitere Informationen finden Sie in den [Konfigurationsanweisungen](https://learn.microsoft.com/en-us/troubleshoot/windows-server/windows-security/enabling-smart-card-logon-third-party-certification-authorities#configuration-instructions).

      ```
      certutil -dspublish -f <path>\<file> RootCA
      ```

      ```
      certutil -dspublish -f <path>\<file> NTAuthCA
      ```

      Stellen Sie sicher, dass die Befehle erfolgreich ausgeführt wurden. Entfernen Sie dann die private Zertifikatsdatei. Abhängig von Ihren Active Directory-Replikationseinstellungen kann es mehrere Minuten dauern, bis die CA auf Ihren Domänencontrollern und WorkSpaces Anwendungsflotteninstanzen veröffentlicht wird.
**Anmerkung**  
Active Directory muss die CA automatisch an die vertrauenswürdigen Stammzertifizierungsstellen und Enterprise NTAuth Stores für WorkSpaces Applications-Flotteninstanzen verteilen, wenn diese der Domäne beitreten.

Bei Windows-Betriebssystemen erfolgt die Verteilung der CA (Certificate Authority) automatisch. Für Rocky Linux und Red Hat Enterprise Linux müssen Sie jedoch das/die Root-CA-Zertifikat (e) von der CA herunterladen, die von Ihrer WorkSpaces Applications Directory Config verwendet wird. Wenn Ihre KDC-Root-CA-Zertifikate unterschiedlich sind, müssen Sie diese ebenfalls herunterladen. Bevor Sie die zertifikatsbasierte Authentifizierung verwenden können, müssen Sie diese Zertifikate in ein Image oder einen Snapshot importieren.

Auf dem Bild sollte sich eine Datei mit dem Namen/befinden. `etc/sssd/pki/sssd_auth_ca_db.pem` Sie sollte wie folgt aussehen:

```
-----BEGIN CERTIFICATE-----
Base64-encoded certificate chain from ACM Private CA 
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Base64-encoded certificate body from ACM private CA
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Base64-encoded root CA KDC certificate chain
-----END CERTIFICATE-----
```

**Anmerkung**  
Wenn Sie ein Bild zwischen Regionen oder Konten kopieren oder ein Bild erneut einem neuen Active Directory zuordnen, muss diese Datei vor der Verwendung mit den entsprechenden Zertifikaten in einem Image Builder neu konfiguriert und erneut als Snapshot erstellt werden.

Im Folgenden finden Sie Anweisungen zum Herunterladen der Root-CA-Zertifikate:

1. Erstellen Sie im Image Builder eine Datei mit dem Namen`/etc/sssd/pki/sssd_auth_ca_db.pem`.

1. Öffnen Sie die [AWS Private CA-Konsole](https://console.aws.amazon.com/acm-pca/).

1. Wählen Sie das private Zertifikat aus, das mit Ihrer WorkSpaces Anwendungsverzeichniskonfiguration verwendet wird.

1. Wählen Sie die Registerkarte **CA-Zertifikat**.

1. Kopieren Sie die Zertifikatskette und den `/etc/sssd/pki/sssd_auth_ca_db.pem` Zertifikatshauptteil in den Image Builder.

Wenn sich die von der verwendeten Root-CA-Zertifikate von dem KDCs unterscheiden, das von Ihrer WorkSpaces Applications Directory Config verwendet wird, gehen Sie wie folgt vor, um sie herunterzuladen:

1. Stellen Sie eine Connect zu einer Windows-Instanz her, die derselben Domäne angehört wie Ihr Image Builder.

1. Öffnen Sie `certlm.msc`.

1. Wählen Sie im linken Bereich **Trusted Root Certificate Authorities** und dann **Certificates** aus.

1. Öffnen Sie für jedes Root-CA-Zertifikat das Kontextmenü (Rechtsklick).

1. Wählen Sie **Alle Aufgaben**, dann **Exportieren**, um den Zertifikatsexport-Assistenten zu öffnen, und klicken Sie dann auf **Weiter**.

1. **Wählen Sie **Base64-encoded X.509 (.CER)** und dann Weiter.**

1. **Wählen Sie „**Durchsuchen**“, geben Sie einen Dateinamen ein und klicken Sie auf „Weiter“.**

1. Wählen Sie **Finish** (Abschließen).

1. Öffnen Sie das exportierte Zertifikat in einem Texteditor.

1. Kopieren Sie den Inhalt der Datei in `/etc/sssd/pki/sssd_auth_ca_db.pem` den Image Builder.

# Aktivieren der zertifikatsbasierten Authentifizierung
<a name="certificate-based-authentication-enable"></a>

Führen Sie die folgenden Schritte aus, um die zertifikatsbasierte Authentifizierung zu aktivieren.

**So aktivieren Sie die zertifikatsbasierte Authentifizierung**

1. Öffnen Sie die WorkSpaces Anwendungskonsole unter [https://console.aws.amazon.com/appstream2.](https://console.aws.amazon.com/appstream2)

1. Wählen Sie im Navigationsbereich **Directory-Konfigurationen** aus. Wählen Sie die Directory-Konfiguration aus, die Sie konfigurieren möchten, und klicken Sie auf **Bearbeiten**.

1. Wählen Sie **Zertifikatsbasierte Authentifizierung aktivieren** aus.

1. Vergewissern Sie sich, dass Ihr privater CA-ARN in der Liste zugeordnet ist. Um in der Liste angezeigt zu werden, sollten Sie die private CA im selben Land speichern. AWS-Konto AWS-Region Sie müssen die private Zertifizierungsstelle außerdem mit einem Schlüssel namens `euc-private-ca` kennzeichnen.

1. Konfigurieren Sie das Fallback für die Directory-Anmeldung. Fallback ermöglicht es Benutzern, sich mit ihrem AD-Domain-Passwort anzumelden, falls die zertifikatbasierte Authentifizierung nicht erfolgreich ist. Dies wird nur in Fällen empfohlen, in denen Benutzer ihre Domainpasswörter kennen. Wenn Fallback deaktiviert ist, kann eine Sitzung die Verbindung zum Benutzer trennen, wenn ein Sperrbildschirm angezeigt wird oder der Benutzer sich von Windows abmeldet. Wenn Fallback aktiviert ist, fordert die Sitzung den Benutzer zur Eingabe seines AD-Domainpassworts auf.

1. Wählen Sie **Save Changes**.

1. Die zertifikatsbasierte Authentifizierung ist nun aktiviert. Wenn sich Benutzer über den WorkSpaces Applications Web Client oder den Client für Windows (Version 1.1.1099 und höher) mit SAML 2.0 bei einem WorkSpaces Anwendungsstapel authentifizieren, werden sie nicht mehr zur Eingabe des Domänenkennworts aufgefordert. Benutzern wird die Meldung „Verbindung mit zertifikatsbasierter Authentifizierung wird hergestellt…“ angezeigt, wenn sie eine Verbindung zu einer Sitzung herstellen, für die zertifikatsbasierte Authentifizierung aktiviert ist.

# Verwalten der zertifikatsbasierten Authentifizierung
<a name="certificate-based-authentication-manage"></a>

Nachdem Sie die zertifikatsbasierte Authentifizierung aktiviert haben, gehen Sie die folgenden Aufgaben durch.

**Topics**
+ [

# Zertifikat einer privaten CA
](certificate-based-authentication-manage-CA.md)
+ [

# Endbenutzerzertifikate
](certificate-based-authentication-manage-certs.md)
+ [

# Prüfberichte
](certificate-based-authentication-manage-audit.md)
+ [

# Protokollieren und Überwachen
](certificate-based-authentication-manage-logging.md)

# Zertifikat einer privaten CA
<a name="certificate-based-authentication-manage-CA"></a>

In einer typischen Konfiguration hat das Zertifikat einer privaten CA eine Gültigkeitsdauer von 10 Jahren. Weitere Informationen zum Ersetzen einer privaten Zertifizierungsstelle mit einem abgelaufenen Zertifikat oder zur Neuausstellung der privaten Zertifizierungsstelle mit einem neuen Gültigkeitszeitraum finden Sie unter [Verwalten des Lebenszyklus einer privaten Zertifizierungsstelle](https://docs.aws.amazon.com/privateca/latest/userguide/ca-lifecycle.html). 

# Endbenutzerzertifikate
<a name="certificate-based-authentication-manage-certs"></a>

Endbenutzerzertifikate, die von der zertifikatsbasierten Authentifizierung von AWS Private CA for WorkSpaces Applications ausgestellt wurden, müssen nicht erneuert oder widerrufen werden. Diese Zertifikate sind kurzlebig. WorkSpaces Applications stellt automatisch für jede neue Sitzung oder alle 24 Stunden für Sitzungen mit langer Dauer ein neues Zertifikat aus. Die WorkSpaces Anwendungssitzung regelt die Verwendung dieser Endbenutzerzertifikate. Wenn Sie eine Sitzung beenden, verwendet WorkSpaces Applications dieses Zertifikat nicht mehr. Diese Endbenutzerzertifikate haben eine kürzere Gültigkeitsdauer als eine typische AWS Private CA CRL-Distribution. Daher müssen Endbenutzerzertifikate nicht gesperrt werden und erscheinen auch nicht in einer CRL. 

# Prüfberichte
<a name="certificate-based-authentication-manage-audit"></a>

Sie können einen Auditbericht erstellen, der die Zertifikate auflistet, die ihre private CA ausgestellt oder widerrufen hat. Weitere Informationen finden Sie unter [Verwenden von Prüfberichten mit Ihrer privaten CA](https://docs.aws.amazon.com/privateca/latest/userguide/PcaAuditReport.html).

# Protokollieren und Überwachen
<a name="certificate-based-authentication-manage-logging"></a>

Sie können sie verwenden CloudTrail , um API-Aufrufe von WorkSpaces Applications an eine private Zertifizierungsstelle aufzuzeichnen. Weitere Informationen finden Sie unter [Was ist AWS CloudTrail?](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) und [Verwenden CloudTrail](https://docs.aws.amazon.com/privateca/latest/userguide/PcaCtIntro.html). Im CloudTrail Ereignisverlauf können Sie die Namen der Ereignisse aus der **IssueCertificate**Ereignisquelle **acm-pca.amazonaws.com** einsehen **GetCertificate**, die anhand des Benutzernamens der Anwendung erstellt wurden. WorkSpaces **EcmAssumeRoleSession** Diese Ereignisse werden für jede auf einem Zertifikat basierende Authentifizierungsanfrage von Anwendungen aufgezeichnet. WorkSpaces Weitere Informationen finden Sie unter [Ereignisse mit dem CloudTrail Ereignisverlauf anzeigen](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).

# Aktivieren Sie kontoübergreifendes PCA Sharing
<a name="pca-sharing"></a>

Die kontenübergreifende Nutzung von Private CA (PCA) bietet die Möglichkeit, anderen Konten Berechtigungen zur Nutzung einer zentralen CA zu erteilen. Die CA kann Zertifikate generieren und ausstellen, indem sie [AWS Resource Access Manager](https://aws.amazon.com/ram/) (RAM) zur Verwaltung der Berechtigungen verwendet. Dadurch entfällt die Notwendigkeit einer privaten CA für jedes Konto. Die kontoübergreifende gemeinsame Nutzung von privaten Zertifizierungsstellen kann zusammen mit der zertifikatsbasierten Authentifizierung (CBA) für WorkSpaces Anwendungen innerhalb desselben verwendet werden. AWS-Region

Gehen Sie wie folgt vor, um eine gemeinsam genutzte private CA-Ressource mit WorkSpaces Applications CBA zu verwenden:

1. Konfigurieren Sie die private Zertifizierungsstelle für CBA in einer zentralen Umgebung. AWS-Konto Weitere Informationen finden Sie unter [Zertifikatbasierte Authentifizierung](certificate-based-authentication.md).

1. Teilen Sie die private CA mit der Ressource, für AWS-Konten die WorkSpaces Anwendungsressourcen CBA nutzen. Folgen Sie dazu den Schritten unter [So verwenden Sie AWS-RAM, um Ihr ACM Private CA-Cross-Konto gemeinsam zu](https://aws.amazon.com/blogs/security/how-to-use-aws-ram-to-share-your-acm-private-ca-cross-account/) nutzen. Sie müssen Schritt 3 nicht abschließen, um ein Zertifikat zu erstellen. Sie können die private Zertifizierungsstelle entweder mit einer Einzelperson AWS-Konten teilen oder über diese teilen AWS Organizations. Wenn Sie Daten mit einzelnen Konten teilen, müssen Sie die gemeinsame private Zertifizierungsstelle in Ihrem Ressourcenkonto akzeptieren, indem Sie die AWS Resource Access Manager Konsole oder verwenden APIs. 

   Stellen Sie bei der Konfiguration der Freigabe sicher, dass die AWS Resource Access Manager Ressourcenfreigabe für die private Zertifizierungsstelle im Ressourcenkonto die Vorlage für `AWSRAMBlankEndEntityCertificateAPICSRPassthroughIssuanceCertificateAuthority` verwaltete Berechtigungen verwendet. Diese Vorlage entspricht der PCA-Vorlage, die von der Servicerolle WorkSpaces Applications bei der Ausstellung von CBA-Zertifikaten verwendet wird.

1. Nachdem die Freigabe erfolgreich war, können Sie die gemeinsam genutzte private Zertifizierungsstelle mithilfe der privaten CA-Konsole im Ressourcenkonto aufrufen.

1. Verwenden Sie die API oder CLI, um den Private CA ARN mit CBA in Ihrer WorkSpaces Anwendungsverzeichniskonfiguration zu verknüpfen. Derzeit unterstützt die WorkSpaces Anwendungskonsole die Auswahl einer gemeinsam genutzten privaten CA ARNs nicht. Im Folgenden finden Sie Beispiele für CLI-Befehle:

   `aws appstream update-directory-config --directory-name <value> --certificate-based-auth-properties Status=<value>,CertificateAuthorityArn=<value>` 

# WorkSpaces Anwendungen Active Directory-Verwaltung
<a name="active-directory-admin"></a>

Das Einrichten und Verwenden von Active Directory mit WorkSpaces Anwendungen umfasst die folgenden Verwaltungsaufgaben.

**Topics**
+ [

# Gewähren von Berechtigungen zum Erstellen und Verwalten von Active Directory-Computerobjekten
](active-directory-permissions.md)
+ [

# Den spezifischen Namen der Organisationseinheit finden
](active-directory-oudn.md)
+ [

# Gewähren von lokalen Administratorrechten für Image Builder
](active-directory-image-builder-local-admin.md)
+ [

# Das für die Verbindung mit der Domäne verwendete Service-Konto aktualisieren
](active-directory-service-acct.md)
+ [

# Sperren der Streaming-Sitzung, wenn der Benutzer inaktiv ist
](active-directory-session-lock.md)
+ [

# Die Directory-Konfiguration bearbeiten
](active-directory-config-edit.md)
+ [

# Eine Directory-Konfiguration löschen
](active-directory-config-delete.md)
+ [

# WorkSpaces Anwendungen für die Verwendung von Domain-Vertrauensstellungen konfigurieren
](active-directory-domain-trusts.md)
+ [

# Verwaltung von Computerobjekten für WorkSpaces Anwendungen in Active Directory
](active-directory-identify-objects.md)

# Gewähren von Berechtigungen zum Erstellen und Verwalten von Active Directory-Computerobjekten
<a name="active-directory-permissions"></a>

Damit WorkSpaces Anwendungen Active Directory-Computerobjektoperationen ausführen können, benötigen Sie ein Konto mit ausreichenden Berechtigungen. Als bewährte Methode empfehlen wir Ihnen, ein Konto zu verwenden, das nur die mindestens erforderlichen Berechtigungen hat. Die Mindestberechtigungen für eine Active Directory-Organisationseinheit (OU) sind:
+ Ein Computerobjekt erstellen
+ Passwort ändern
+ Passwort zurücksetzen
+ Beschreibung schreiben

Bevor Sie Berechtigungen einrichten, müssen Sie die folgenden Schritte ausführen:
+ Beschaffen Sie sich Zugriff auf einen Computer oder eine EC2-Instance, die mit Ihrer Domäne verbunden ist.
+ Installieren des MMC-Snap-ins Active Directory-Benutzer und -Computer. Weitere Informationen dazu finden Sie beim Microsoft Support unter [Installation oder Entfernen von Administrationswerkzeugen für Windows 7](https://technet.microsoft.com/en-us/library/ee449483.aspx) in der Microsoft Dokumentation.
+ Melden Sie sich als Domänen-Benutzer mit den entsprechenden Berechtigungen an, um die Sicherheitseinstellungen der OU zu ändern.
+ Erstellen oder identifizieren Sie den Benutzer, das Service-Konto oder die Gruppe, für die Berechtigungen delegiert werden sollen.

**Einrichten von Mindest-Berechtigungen**

1. Öffnen Sie **Active Directory-Benutzer und -Computer** in Ihrer Domäne oder auf Ihrem Domänencontroller.

1. Wählen Sie im linken Navigationsbereich die erste Organisationseinheit aus, für die Berechtigungen zur Verbindung mit der Domäne bereitgestellt werden sollen, öffnen Sie das Kontextmenü (rechte Maustaste) und wählen Sie **Kontrolle delegieren** aus.

1. Klicken Sie auf der Seite **Assistent für die Delegation der Kontrolle** **Weiter**, **Hinzufügen**.

1. Für **Benutzer, Computer oder Gruppen auswählen** wählen Sie den zuvor erstellten Benutzer, das Servicekonto oder die Gruppe aus und klicken dann auf **OK**.

1. Wählen Sie auf der Seite **Zu delegierende Aufgabe** die Option **Eine zu delegierende benutzerdefinierte Aufgabe erstellen** aus und klicken Sie auf **Weiter**.

1. Wählen Sie **Nur die folgenden Objekte in dem Ordner**, **Computerobjekte**.

1. Wählen Sie **Ausgewählte Objekte in diesem Ordner erstellen**, **Weiter**.

1. Wählen Sie für **Berechtigungen** **Lesen**, **Schreiben**, **Kennwort ändern**, **Passwort zurücksetzen**, **Weiter**.

1. Überprüfen Sie auf der Seite **Den Assistenten für die Delegation der Kontrolle abschließen** die Informationen und wählen Sie **Fertigstellen**.

1. Wiederholen Sie die Schritte 2 bis 9 für alle weiteren OUs , für die diese Berechtigungen erforderlich sind.

Wenn Sie Berechtigungen an eine Gruppe delegieren, erstellen Sie ein Benutzer- oder Service-Konto mit einem sicheren Kennwort und fügen dieses Konto der Gruppe hinzu. Dieses Konto hat dann alle nötigen Berechtigungen, um Ihre Streaming-Instances mit dem Directory zu verbinden. Verwenden Sie dieses Konto, wenn Sie Ihre WorkSpaces Anwendungsverzeichniskonfiguration erstellen.

# Den spezifischen Namen der Organisationseinheit finden
<a name="active-directory-oudn"></a>

Wenn Sie Ihre Active Directory-Domäne bei WorkSpaces Applications registrieren, müssen Sie einen eindeutigen Namen für die Organisationseinheit (OU) angeben. Erstellen Sie eine OU für diesen Zweck. Der Standardcontainer für Computer ist keine Organisationseinheit und kann nicht von WorkSpaces Anwendungen verwendet werden. Das folgende Verfahren zeigt, wie dieser Name ermittelt wird.

**Anmerkung**  
Der spezifische Name muss mit **OU=** beginnen oder nicht für Computerobjekte verwendet werden.

Bevor Sie dieses Verfahren abschließen, müssen Sie die folgenden Schritte ausführen:
+ Beschaffen Sie sich Zugriff auf einen Computer oder eine EC2-Instance, die mit Ihrer Domäne verbunden ist.
+ Installieren des MMC-Snap-ins Active Directory-Benutzer und -Computer. Weitere Informationen dazu finden Sie beim Microsoft Support unter [Installation oder Entfernen von Administrationswerkzeugen für Windows 7](https://technet.microsoft.com/en-us/library/ee449483.aspx) in der Microsoft Dokumentation.
+ Melden Sie sich als Domänen-Benutzer mit den entsprechenden Berechtigungen an, um die Sicherheitseigenschaften der OU zu lesen.

**So finden Sie den spezifischen Namen einer OU**

1. Öffnen Sie **Active Directory-Benutzer und -Computer** in Ihrer Domäne oder auf Ihrem Domänencontroller.

1. Stellen Sie unter **Ansicht** sicher, dass **Erweiterte Funktionen** aktiviert ist.

1. Wählen Sie im linken Navigationsbereich die erste Organisationseinheit aus, die für Computerobjekte der WorkSpaces Anwendungs-Streaming-Instanz verwendet werden soll, öffnen Sie das Kontextmenü (mit der rechten Maustaste) und wählen Sie dann **Eigenschaften** aus.

1. Wählen Sie **Attribut-Editor**.

1. Wählen Sie unter **Attribute **für **distinguishedName** **Ansicht **.

1. Wählen Sie für **Wert** den spezifischen Namen aus. Öffnen Sie das Kontextmenü und wählen Sie **Kopieren** aus.

# Gewähren von lokalen Administratorrechten für Image Builder
<a name="active-directory-image-builder-local-admin"></a>

Standardmäßig haben Active Directory-Domänenbenutzer keine lokalen Administratorrechte für Image-Builder-Instances. Sie können diese Rechte mithilfe von Gruppenrichtlinienpräferenzen in Ihrem Directory oder manuell über das lokale Administratorkonto eines Image Builder bereitstellen. Wenn Sie einem Domänenbenutzer lokale Administratorrechte gewähren, kann dieser Benutzer Anwendungen auf einem WorkSpaces Anwendungs-Image-Builder installieren und Images darin erstellen.

**Topics**
+ [

# Verwenden von Gruppenrichtlinienpräferenzen
](group-policy.md)
+ [

# Verwenden der lokalen Administratorgruppe im Image Builder
](manual-procedure.md)

# Verwenden von Gruppenrichtlinienpräferenzen
<a name="group-policy"></a>

Sie können Gruppenrichtlinienpräferenzen verwenden, um Active Directory-Benutzern oder -Gruppen lokale Administratorrechte sowie allen Computerobjekten in der angegebenen Organisationseinheit zuzuweisen. Die Active Directory-Benutzer oder -Gruppen, denen Sie lokale Administratorberechtigungen erteilen möchten, müssen bereits vorhanden sein. Um Gruppenrichtlinienpräferenzen zu verwenden, müssen Sie zunächst die folgenden Aufgaben ausführen:
+ Beschaffen Sie sich Zugriff auf einen Computer oder eine EC2-Instance, die mit Ihrer Domäne verbunden ist.
+ Installieren Sie das MMC-Snap-in für die Group Policy Management Console (GPMC). Weitere Informationen dazu finden Sie beim Microsoft Support unter [Installation oder Entfernen von Administrationswerkzeugen für Windows 7](https://technet.microsoft.com/en-us/library/ee449483.aspx) in der Microsoft Dokumentation.
+ Melden Sie sich als Domänenbenutzer mit Berechtigungen zum Erstellen von Gruppenrichtlinienobjekten an (GPOs). Link GPOs zum entsprechenden OUs.

**So verwenden Sie Gruppenrichtlinienpräferenzen zum Gewähren lokaler Administratorberechtigungen**

1. Öffnen Sie in Ihrem Verzeichnis oder auf einem Domänencontroller die Eingabeaufforderung als Administrator. Geben Sie `gpmc.msc` ein und drücken Sie die EINGABETASTE.

1. Wählen Sie in der linken Konsolenstruktur die Organisationseinheit aus, in der Sie ein neues Gruppenrichtlinienobjekt erstellen möchten, oder verwenden Sie ein vorhandenes Gruppenrichtlinienobjekt, und führen Sie dann einen der folgenden Schritte aus: 
   + Erstellen Sie ein neues Gruppenrichtlinienobjekt, indem Sie das Kontextmenü (rechter Mausklick) öffnen und **Ein GPO in dieser Domäne erstellen, Hier verknüpfen** auswählen. Geben Sie für **Name** einen aussagekräftigen Namen für dieses GPO an.
   + Wählen Sie ein vorhandenes Gruppenrichtlinienobjekt aus.

1. Öffnen Sie das Kontextmenü für das GPO und wählen Sie **Bearbeiten** aus.

1. Wählen Sie in der Konsolenstruktur auf der linken Seite **Computerkonfiguration**, **Einstellungen**, **Windows-Einstellungen**, **Systemsteuerungseinstellungen** und **Lokale Benutzer und Gruppen** aus.

1. Wählen Sie **Lokale Benutzer und Gruppen** aus, öffnen Sie das Kontextmenü (rechte Maustaste) und klicken Sie auf **Neu** und **Lokale Gruppe**.

1. Wählen Sie für **Aktion ** **Aktualisieren**.

1. Für **Gruppenname** wählen Sie **Administratoren (built-in)**.

1. Wählen Sie unter **Mitglieder** **Hinzufügen...**, und geben Sie die Active-Directory-Benutzer oder -Gruppen an, denen lokale Administratorrechte auf der Streaming-Instance zugewiesen werden sollen. Für **Aktion**, wählen Sie **Dieser Gruppe hinzufügen**, und wählen dann **OK**.

1. Um dieses Gruppenrichtlinienobjekt auf ein anderes anzuwenden OUs, wählen Sie die zusätzliche Organisationseinheit aus, öffnen Sie das Kontextmenü und wählen Sie **Bestehendes Gruppenrichtlinienobjekt verknüpfen** aus.

1. Suchen Sie anhand des neuen oder vorhandenen GPO-Namens, den Sie in Schritt 2 festgelegt haben, das Gruppenrichtlinienobjekt und klicken Sie auf **OK**. 

1. Wiederholen Sie die Schritte 9 und 10 für weitere OUs , für die diese Einstellung gelten sollte.

1. Klicken Sie auf **OK**, um das Dialogfeld **Neue lokale Gruppeneigenschaften** zu schließen.

1. Klicken Sie erneut auf **OK**, um die GPMC zu schließen.

Um die neue Präferenz für das Gruppenrichtlinienobjekt zu übernehmen, müssen Sie alle laufenden Image Builder oder Flotten anhalten und neu starten. Die Active Directory-Benutzer und -Gruppen, die Sie in Schritt 8 angegeben haben, erhalten automatisch lokale Administratorrechte für die Image Builder und Flotten in der Organisationseinheit, mit der das Gruppenrichtlinienobjekt verknüpft ist.

# Verwenden der lokalen Administratorgruppe im Image Builder
<a name="manual-procedure"></a>

Zum Erteilen von lokalen Administratorrechten für Active Directory-Benutzer oder -Gruppen in Ihrem Image Builder können Sie diese Benutzer oder Gruppen der lokalen Administratorgruppe im Image Builder manuell hinzufügen. Image Builder, die aus Abbildern mit diesen Rechten erstellt werden, behalten die gleichen Rechte bei. 

Die Active Directory-Benutzer oder -Gruppen, denen lokale Administratorberechtigungen erteilt werden solle, müssen bereits vorhanden sein.

**So fügen Sie Active Directory-Benutzer oder -Gruppen der lokalen Administratorgruppe im Image Builder hinzu**

1. Öffnen Sie die WorkSpaces Anwendungskonsole unter [https://console.aws.amazon.com/appstream2.](https://console.aws.amazon.com/appstream2)

1. Stellen Sie im Administratormodus eine Verbindung zum Image Builder her. Der Image Builder muss ausgeführt werden und der Domäne angehören. Weitere Informationen finden Sie unter [Tutorial: Einrichten von Active Directory](active-directory-directory-setup.md).

1. Wählen Sie **Start**, **Verwaltung** und doppelklicken Sie auf **Computerverwaltung**.

1. Wählen Sie im linken Navigationsbereich **Lokale Benutzer und Gruppen** und öffnen Sie den Ordner **Gruppen**.

1. Öffnen Sie die Gruppe **Administratoren** und wählen Sie **Hinzufügen...**.

1. Wählen Sie alle Active Directory-Benutzer oder -Gruppen, denen lokale Administratorberechtigungen zugewiesen werden sollen, und wählen Sie **OK**. Klicken Sie erneut auf **OK**, um das Dialogfeld **Eigenschaften von Administrator** zu schließen.

1. Schließen Sie die Computerverwaltung.

1. Um sich als Active Directory-Benutzer anzumelden und zu testen, ob dieser Benutzer über lokale Administratorrechte im Image Builder verfügt, wählen Sie **Admin Commands** (Administratorbefehle), **Switch user** (Benutzer wechseln) aus und geben Sie dann die Anmeldeinformationen des entsprechenden Benutzers ein.

# Das für die Verbindung mit der Domäne verwendete Service-Konto aktualisieren
<a name="active-directory-service-acct"></a>

Um das Dienstkonto zu aktualisieren, das WorkSpaces Applications für den Beitritt zur Domäne verwendet, empfehlen wir, zwei separate Dienstkonten für den Beitritt von Image Buildern und Flotten zu Ihrer Active Directory-Domäne zu verwenden. Die Verwendung von zwei separaten Servicekonten stellt sicher, dass keine Serviceunterbrechung stattfindet, wenn ein Dienstkonto aktualisiert werden muss, (z. B. wenn ein Passwort abläuft). 

**Ein Service-Konto aktualisieren**

1. Erstellen Sie eine Active Directory-Gruppe und delegieren die richtigen Berechtigungen an die Gruppe.

1. Fügen Sie Ihre Service-Konten der neuen Active Directory-Gruppe hinzu.

1. Bearbeiten Sie bei Bedarf Ihr WorkSpaces Applications Directory Config-Objekt, indem Sie die Anmeldeinformationen für das neue Dienstkonto eingeben.

Nachdem Sie die Active Directory-Gruppe mit dem neuen Servicekonto eingerichtet haben, verwenden alle neuen Streaming-Instance-Operationen das neue Servicekonto, während laufende Streaming-Instance-Operationen das alte Konto ohne Unterbrechung weiter nutzen. 

Die Service-Konto-Überlappung, bis die laufenden Streaming-Instance-Operationen abgeschlossen sind, ist sehr kurz und beträgt nicht mehr als einen Tag. Die Überlappungszeit ist erforderlich, da Sie das Passwort für das alte Service-Konto während des Überlappungszeitraums nicht löschen oder ändern sollten, sonst können vorhandene Vorgänge fehlschlagen.

# Sperren der Streaming-Sitzung, wenn der Benutzer inaktiv ist
<a name="active-directory-session-lock"></a>

WorkSpaces Applications basiert auf einer Einstellung, die Sie in der GPMC so konfigurieren, dass die Streaming-Sitzung gesperrt wird, wenn Ihr Benutzer für eine bestimmte Zeit inaktiv ist. Um die GPMC zu verwenden, müssen Sie zunächst die folgenden Aufgaben ausführen:
+ Beschaffen Sie sich Zugriff auf einen Computer oder eine EC2-Instance, die mit Ihrer Domäne verbunden ist.
+ Installieren Sie die GPMC. Weitere Informationen dazu finden Sie beim Microsoft Support unter [Installation oder Entfernen von Administrationswerkzeugen für Windows 7](https://technet.microsoft.com/en-us/library/ee449483.aspx) in der Microsoft Dokumentation.
+ Melden Sie sich als Domänenbenutzer mit GPOs Erstellungsberechtigungen an. Link GPOs zum entsprechenden OUs.

**Die Streaming-Instance automatisch sperren, wenn Ihr Benutzer inaktiv ist**

1. Öffnen Sie in Ihrem Verzeichnis oder auf einem Domänencontroller die Eingabeaufforderung als Administrator. Geben Sie `gpmc.msc` ein und drücken Sie die EINGABETASTE.

1. Wählen Sie in der linken Konsolenstruktur die Organisationseinheit aus, in der Sie ein neues Gruppenrichtlinienobjekt erstellen möchten, oder verwenden Sie ein vorhandenes Gruppenrichtlinienobjekt, und führen Sie dann einen der folgenden Schritte aus: 
   + Erstellen Sie ein neues Gruppenrichtlinienobjekt, indem Sie das Kontextmenü (rechter Mausklick) öffnen und **Ein GPO in dieser Domäne erstellen, Hier verknüpfen** auswählen. Geben Sie für **Name** einen aussagekräftigen Namen für dieses GPO an.
   + Wählen Sie ein vorhandenes Gruppenrichtlinienobjekt aus.

1. Öffnen Sie das Kontextmenü für das GPO und wählen Sie **Bearbeiten** aus. 

1. Erweitern Sie unter **Benutzerkonfiguration** die Optionen **Richtlinien**, **Administrative Vorlagen**, **Systemsteuerung** und klicken Sie dann auf **Personalisierung**. 

1. Doppelklicken Sie auf **Bildschirmschoner aktivieren**.

1. Wählen Sie für die Richtlinieneinstellung **Bildschirmschoner aktivieren** die Option **Aktiviert** aus.

1. Wählen Sie **Übernehmen** und anschließend **OK** aus.

1. Doppelklicken Sie auf **Bestimmten Bildschirmschoner erzwingen**. 

1. Wählen Sie für die Richtlinieneinstellung **Bestimmten Bildschirmschoner erzwingen** die Option **Aktiviert** aus.

1. Geben Sie unter **Programmname des Bildschirmschoners** den Namen **scrnsave.scr** ein. Wenn diese Einstellung aktiviert ist, zeigt das System einen schwarzen Bildschirmschoner auf dem Desktop des Benutzers an.

1. Wählen Sie **Übernehmen** und anschließend **OK** aus.

1. Doppelklicken Sie auf Bildschirmschoner **Kennwortschutz für den Bildschirmschoner verwenden**.

1. Wählen Sie für die Richtlinieneinstellung **Kennwortschutz für den Bildschirmschoner verwenden** die Option **Aktiviert** aus.

1. Wählen Sie **Übernehmen** und anschließend **OK** aus.

1. Doppelklicken Sie auf **Zeitlimit für Bildschirmschoner**.

1. Wählen Sie für die Richtlinieneinstellung **Zeitlimit für Bildschirmschoner** die Option **Aktiviert** aus.

1. Geben Sie im Feld **Sekunden** die Dauer ein, die der Benutzer inaktiv sein muss, bevor der Bildschirmschoner angewendet wird. Um den inaktiven Zeitraum auf 10 Minuten festzulegen, geben Sie 600 Sekunden ein.

1. Wählen Sie **Übernehmen** und anschließend **OK** aus.

1. Erweitern Sie in der Konsolenstruktur unter **Benutzerkonfiguration** die Optionen **Richtlinien**, **Administrative Vorlagen**, **System** und wählen Sie **Strg\$1Alt\$1Entf-Optionen** aus. 

1. Doppelklicken Sie auf **Sperren des Computers entfernen**.

1. Wählen Sie in der Richtlinieneinstellung **Sperren des Computers entfernen** die Option **Aktiviert** aus.

1. Wählen Sie **Übernehmen** und anschließend **OK** aus.

# Die Directory-Konfiguration bearbeiten
<a name="active-directory-config-edit"></a>

Nachdem eine WorkSpaces Anwendungsverzeichniskonfiguration erstellt wurde, können Sie sie bearbeiten, um Organisationseinheiten hinzuzufügen, zu entfernen oder zu ändern, den Benutzernamen des Dienstkontos zu aktualisieren oder das Kennwort für das Dienstkonto zu aktualisieren. 

**Eine Directory-Konfiguration aktualisieren**

1. Öffnen Sie die WorkSpaces Anwendungskonsole unter [https://console.aws.amazon.com/appstream2.](https://console.aws.amazon.com/appstream2)

1. Wählen Sie im linken Navigationsbereich **Directory-Konfigurationen** und wählen Sie das zu bearbeitende Directory aus.

1. Wählen Sie **Aktionen** und **Bearbeiten**.

1. Aktualisieren Sie die zu ändernden Felder. Um weitere hinzuzufügen OUs, wählen Sie das Pluszeichen (**\$1**) neben dem obersten OU-Feld aus. Um ein OU-Feld zu löschen, wählen Sie das **x** neben dem Feld.
**Anmerkung**  
Es ist mindestens eine Organisationseinheit erforderlich. OUs die derzeit verwendet werden, können nicht entfernt werden.

1. Um Änderungen zu speichern, wählen Sie **Directory-Konfiguration aktualisieren**.

1. Die Informationen auf der Registerkarte **Details** sollten jetzt aktualisiert werden, um die Änderungen zu reflektieren.

Änderungen an den Anmeldeinformationen des Servicekontos wirken sich nicht auf laufende Streaming-Instance-Operationen aus. Neue Streaming-Instance-Operationen verwenden die aktualisierten Anmeldeinformationen. Weitere Informationen finden Sie unter [Das für die Verbindung mit der Domäne verwendete Service-Konto aktualisieren](active-directory-service-acct.md).

# Eine Directory-Konfiguration löschen
<a name="active-directory-config-delete"></a>

Sie können eine WorkSpaces Anwendungsverzeichniskonfiguration löschen, die nicht mehr benötigt wird. Directory-Konfigurationen, die Image Buildern oder Flotten zugeordnet sind, können nicht gelöscht werden.

**Eine Directory-Konfiguration löschen**

1. Öffnen Sie die WorkSpaces Anwendungskonsole unter [https://console.aws.amazon.com/appstream2.](https://console.aws.amazon.com/appstream2)

1. Wählen Sie im linken Navigationsbereich **Directory-Konfigurationen** und wählen Sie das zu löschende Directory aus.

1. Wählen Sie **Aktionen**, **Löschen** aus.

1. Überprüfen Sie den Namen in der Popup-Nachricht und wählen Sie **Löschen**.

1. Wählen Sie **Directory-Konfiguration aktualisieren**.

# WorkSpaces Anwendungen für die Verwendung von Domain-Vertrauensstellungen konfigurieren
<a name="active-directory-domain-trusts"></a>

WorkSpaces Applications unterstützt Active Directory-Domänenumgebungen, in denen sich Netzwerkressourcen wie Dateiserver, Anwendungen und Computerobjekte in einer Domäne und die Benutzerobjekte in einer anderen befinden. Das für Computerobjektoperationen verwendete Domänendienstkonto muss sich nicht in derselben Domäne wie die Computerobjekte der WorkSpaces Anwendungen befinden. 

Geben Sie beim Erstellen der Directory-Konfiguration ein Servicekonto mit den entsprechenden Berechtigungen zum Verwalten von Computerobjekten in der Active Directory-Domäne an, in der sich die Dateiserver, Anwendungen, Computerobjekte und andere Netzwerkressourcen befinden.

Ihre Active Directory-Endbenutzerkonten müssen über die „Authentifizierungsgenehmigung“-Berechtigungen für Folgendes verfügen:
+ WorkSpaces Anwendungen, Computerobjekte
+ Domänencontroller für die Domäne

Weitere Informationen finden Sie unter [Gewähren von Berechtigungen zum Erstellen und Verwalten von Active Directory-Computerobjekten](active-directory-permissions.md).

# Verwaltung von Computerobjekten für WorkSpaces Anwendungen in Active Directory
<a name="active-directory-identify-objects"></a>

WorkSpaces Applications löscht keine Computerobjekte aus Active Directory. Diese Computerobjekte können in Ihrem Directory ganz einfach identifiziert werden. Jedes Computerobjekt im Directory wird mit dem `Description`-Attribut angelegt, das eine Flotten- oder eine Image Builder-Instance und den Namen angibt. 


**Beispiele für Computerobjektbeschreibungen**  

| Typ | Name | Beschreibung Attribut | 
| --- | --- | --- | 
|  Flotte  |  ExampleFleet  |  `WorkSpaces Applications - fleet:ExampleFleet`  | 
|  Image Builder  |  ExampleImageBuilder  |  `WorkSpaces Applications - image-builder:ExampleImageBuilder`  | 

Sie können inaktive Computerobjekte, die von WorkSpaces Applications erstellt wurden, mithilfe der folgenden `dsrm` Befehle `dsquery computer` und identifizieren und löschen. Weitere Informationen finden Sie unter [Dsquery Computer](https://technet.microsoft.com/en-us/library/cc730720.aspx) und [Dsrm](https://technet.microsoft.com/en-us/library/cc731865.aspx) in der Microsoft-Dokumentation.

Der `dsquery`-Befehl identifiziert inaktive Computerobjekte innerhalb eines bestimmten Zeitraums. Er verwendet das folgende Format. Der `dsquery` Befehl sollte auch mit dem Parameter ausgeführt werden`-desc "WorkSpaces Applications*"`, um nur WorkSpaces Anwendungsobjekte anzuzeigen. 

```
dsquery computer "OU-distinguished-name" -desc "WorkSpaces Applications*" -inactive number-of-weeks-since-last-login
```
+ `OU-distinguished-name` ist der spezifische Name der Organisationseinheit. Weitere Informationen finden Sie unter [Den spezifischen Namen der Organisationseinheit finden](active-directory-oudn.md). Wenn Sie den *OU-distinguished-name* Parameter nicht angeben, durchsucht der Befehl das gesamte Verzeichnis. 
+ `number-of-weeks-since-last-log-in` ist der gewünschte Wert, abhängig davon ab, wie Sie Inaktivität definieren. 

Mit dem folgenden Befehl werden beispielsweise alle Computerobjekte in der Organisationseinheit `OU=ExampleOU,DC=EXAMPLECO,DC=COM` angezeigt, die innerhalb der letzten zwei Wochen nicht angemeldet waren.

```
dsquery computer OU=ExampleOU,DC=EXAMPLECO,DC=COM -desc "WorkSpaces Applications*" -inactive 2
```

Werden Übereinstimmungen gefunden, besteht das Ergebnis aus einem oder mehreren Objektnamen. Der `dsrm`-Befehl löscht das angegebene Objekt und verwendet das folgende Format:

```
dsrm objectname
```

Dabei ist `objectname` der vollständige Objektname aus der Ausgabe des Befehls `dsquery`. Wenn der obige `dsquery` Befehl beispielsweise zu einem Computerobjekt mit dem Namen "ExampleComputer" führt, lautet der `dsrm` Befehl zum Löschen dieses Objekts wie folgt:

```
dsrm "CN=ExampleComputer,OU=ExampleOU,DC=EXAMPLECO,DC=COM"
```

Sie können diese Befehle mit dem Pipe-Operator (`|`) zusammen verketten. Verwenden Sie beispielsweise das folgende Format, um alle Computerobjekte von WorkSpaces Applications zu löschen und für jedes Objekt eine Bestätigung anzufordern. Fügen Sie `dsrm` den Parameter `-noprompt` hinzu, um die Bestätigung zu deaktivieren.

```
dsquery computer OU-distinguished-name -desc "WorkSpaces Applications*" –inactive number-of-weeks-since-last-log-in | dsrm
```

# Weitere Infos
<a name="active-directory-more-info"></a>

Weitere Informationen zu diesem Thema finden Sie in folgenden Ressourcen:
+ [Benachrichtigungscodes für die Fehlerbehebung](troubleshooting-notification-codes.md)—Auflösungen für Benachrichtigungsfehlercodes.
+ [Problembehebung bei Active Directory](troubleshooting-active-directory.md)—Hilfe bei häufig auftretenden Problemen.
+ [Microsoft Active Directory](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_microsoft_ad.html) — Informationen zur Verwendung von Directory Service.