Gewähren von Berechtigungen zum Erstellen und Verwalten von Active Directory-Computerobjekten Den spezifischen Namen der Organisationseinheit finden Erteilen von lokalen Administratorrechten für benutzerdefinierte Images Sperren der Streaming-Sitzung, wenn der Benutzer inaktiv ist Konfiguration von WorkSpaces Pools für die Verwendung von Domain-Vertrauensstellungen

WorkSpaces Pools Active Directory-Verwaltung

Das Einrichten und Verwenden von Active Directory mit WorkSpaces Pools umfasst die folgenden Verwaltungsaufgaben.

Aufgaben

Gewähren von Berechtigungen zum Erstellen und Verwalten von Active Directory-Computerobjekten
Den spezifischen Namen der Organisationseinheit finden
Erteilen von lokalen Administratorrechten für benutzerdefinierte Images
Sperren der Streaming-Sitzung, wenn der Benutzer inaktiv ist
Konfiguration von WorkSpaces Pools für die Verwendung von Domain-Vertrauensstellungen

Gewähren von Berechtigungen zum Erstellen und Verwalten von Active Directory-Computerobjekten

Damit WorkSpaces Pools Active Directory-Computerobjektoperationen ausführen können, benötigen Sie ein Konto mit ausreichenden Berechtigungen. Als bewährte Methode empfehlen wir Ihnen, ein Konto zu verwenden, das nur die mindestens erforderlichen Berechtigungen hat. Die Mindestberechtigungen für eine Active Directory-Organisationseinheit (OU) sind:

Ein Computerobjekt erstellen
Passwort ändern
Passwort zurücksetzen
Beschreibung schreiben

Bevor Sie Berechtigungen einrichten, müssen Sie die folgenden Schritte ausführen:

Verschaffen Sie sich Zugriff auf einen Computer oder eine EC2 Instanz, die zu Ihrer Domäne gehört.
Installieren des MMC-Snap-ins Active Directory-Benutzer und -Computer. Weitere Informationen dazu finden Sie beim Microsoft Support unter Installation oder Entfernen von Administrationswerkzeugen für Windows 7 in der Microsoft Dokumentation.
Melden Sie sich als Domänen-Benutzer mit den entsprechenden Berechtigungen an, um die Sicherheitseinstellungen der OU zu ändern.
Erstellen oder identifizieren Sie den Benutzer, das Service-Konto oder die Gruppe, für die Berechtigungen delegiert werden sollen.

Einrichten von Mindest-Berechtigungen

Öffnen Sie Active Directory-Benutzer und -Computer in Ihrer Domäne oder auf Ihrem Domänencontroller.
Wählen Sie im linken Navigationsbereich die erste Organisationseinheit aus, für die Berechtigungen zur Verbindung mit der Domäne bereitgestellt werden sollen, öffnen Sie das Kontextmenü (rechte Maustaste) und wählen Sie Kontrolle delegieren aus.
Klicken Sie auf der Seite Assistent für die Delegation der Kontrolle Weiter, Hinzufügen.
Für Benutzer, Computer oder Gruppen auswählen wählen Sie den zuvor erstellten Benutzer, das Servicekonto oder die Gruppe aus und klicken dann auf OK.
Wählen Sie auf der Seite Zu delegierende Aufgabe die Option Eine zu delegierende benutzerdefinierte Aufgabe erstellen aus und klicken Sie auf Weiter.
Wählen Sie Nur die folgenden Objekte in dem Ordner, Computerobjekte.
Wählen Sie Ausgewählte Objekte in diesem Ordner erstellen, Weiter.
Wählen Sie für Berechtigungen Lesen, Schreiben, Kennwort ändern, Passwort zurücksetzen, Weiter.
Überprüfen Sie auf der Seite Den Assistenten für die Delegation der Kontrolle abschließen die Informationen und wählen Sie Fertigstellen.
Wiederholen Sie die Schritte 2 bis 9 für alle weiteren Benutzer OUs , die diese Berechtigungen benötigen.

Wenn Sie Berechtigungen an eine Gruppe delegieren, erstellen Sie ein Benutzer- oder Service-Konto mit einem sicheren Kennwort und fügen dieses Konto der Gruppe hinzu. Dieses Konto verfügt dann über ausreichende Rechte, um Sie mit dem Verzeichnis WorkSpaces zu verbinden. Verwenden Sie dieses Konto, wenn Sie Ihre WorkSpaces Pools-Verzeichniskonfiguration erstellen.

Den spezifischen Namen der Organisationseinheit finden

Wenn Sie Ihre Active Directory-Domäne bei WorkSpaces Pools registrieren, müssen Sie einen eindeutigen Namen für die Organisationseinheit (OU) angeben. Erstellen Sie eine OU für diesen Zweck. Der Standardcontainer für Computer ist keine Organisationseinheit und kann nicht von WorkSpaces Pools verwendet werden. Das folgende Verfahren zeigt, wie dieser Name ermittelt wird.

Anmerkung

Der spezifische Name muss mit OU= beginnen oder nicht für Computerobjekte verwendet werden.

Bevor Sie dieses Verfahren abschließen, müssen Sie die folgenden Schritte ausführen:

Verschaffen Sie sich Zugriff auf einen Computer oder eine EC2 Instanz, die zu Ihrer Domäne gehört.
Installieren des MMC-Snap-ins Active Directory-Benutzer und -Computer. Weitere Informationen dazu finden Sie beim Microsoft Support unter Installation oder Entfernen von Administrationswerkzeugen für Windows 7 in der Microsoft Dokumentation.
Melden Sie sich als Domänen-Benutzer mit den entsprechenden Berechtigungen an, um die Sicherheitseigenschaften der OU zu lesen.

So finden Sie den spezifischen Namen einer OU

Öffnen Sie Active Directory-Benutzer und -Computer in Ihrer Domäne oder auf Ihrem Domänencontroller.
Stellen Sie unter Ansicht sicher, dass Erweiterte Funktionen aktiviert ist.
Wählen Sie im linken Navigationsbereich die erste Organisationseinheit aus, die für WorkSpaces Computerobjekte verwendet werden soll, öffnen Sie das Kontextmenü (mit der rechten Maustaste) und wählen Sie dann Eigenschaften aus.
Wählen Sie Attribut-Editor.
Wählen Sie unter Attribute für distinguishedName Ansicht .
Wählen Sie für Wert den spezifischen Namen aus. Öffnen Sie das Kontextmenü und wählen Sie Kopieren aus.

Erteilen von lokalen Administratorrechten für benutzerdefinierte Images

Standardmäßig haben Active Directory-Domänenbenutzer keine lokalen Administratorrechte für Images. Sie können diese Rechte mithilfe der Gruppenrichtlinieneinstellungen in Ihrem Verzeichnis oder manuell gewähren, indem Sie das lokale Administratorkonto für ein Bild verwenden. Wenn Sie einem Domänenbenutzer lokale Administratorrechte gewähren, kann dieser Benutzer Anwendungen in Pools installieren und benutzerdefinierte Images in WorkSpaces Pools erstellen.

Inhalt

Verwenden von Gruppenrichtlinienpräferenzen
Verwenden Sie die lokale Administratorgruppe auf dem WorkSpace , um Images zu erstellen

Verwenden von Gruppenrichtlinienpräferenzen

Sie können Gruppenrichtlinienpräferenzen verwenden, um Active Directory-Benutzern oder -Gruppen lokale Administratorrechte sowie allen Computerobjekten in der angegebenen Organisationseinheit zuzuweisen. Die Active Directory-Benutzer oder -Gruppen, denen Sie lokale Administratorberechtigungen erteilen möchten, müssen bereits vorhanden sein. Um Gruppenrichtlinienpräferenzen zu verwenden, müssen Sie zunächst die folgenden Aufgaben ausführen:

Erlangen Sie Zugriff auf einen Computer oder eine EC2 Instanz, die zu Ihrer Domäne gehört.
Installieren Sie das MMC-Snap-in für die Group Policy Management Console (GPMC). Weitere Informationen dazu finden Sie beim Microsoft Support unter Installation oder Entfernen von Administrationswerkzeugen für Windows 7 in der Microsoft Dokumentation.
Melden Sie sich als Domänenbenutzer mit Berechtigungen zum Erstellen von Gruppenrichtlinienobjekten an (GPOs). Link GPOs zum entsprechenden OUs.

So verwenden Sie Gruppenrichtlinienpräferenzen zum Gewähren lokaler Administratorberechtigungen

Öffnen Sie in Ihrem Verzeichnis oder auf einem Domänencontroller die Eingabeaufforderung als Administrator. Geben Sie gpmc.msc ein und drücken Sie die EINGABETASTE.
Wählen Sie in der linken Konsolenstruktur die Organisationseinheit aus, in der Sie ein neues Gruppenrichtlinienobjekt erstellen möchten, oder verwenden Sie ein vorhandenes Gruppenrichtlinienobjekt, und führen Sie dann einen der folgenden Schritte aus:
- Erstellen Sie ein neues Gruppenrichtlinienobjekt, indem Sie das Kontextmenü (rechter Mausklick) öffnen und Ein GPO in dieser Domäne erstellen, Hier verknüpfen auswählen. Geben Sie für Name einen aussagekräftigen Namen für dieses GPO an.
- Wählen Sie ein vorhandenes Gruppenrichtlinienobjekt aus.
Öffnen Sie das Kontextmenü für das GPO und wählen Sie Bearbeiten aus.
Wählen Sie in der Konsolenstruktur auf der linken Seite Computerkonfiguration, Einstellungen, Windows-Einstellungen, Systemsteuerungseinstellungen und Lokale Benutzer und Gruppen aus.
Wählen Sie Lokale Benutzer und Gruppen aus, öffnen Sie das Kontextmenü (rechte Maustaste) und klicken Sie auf Neu und Lokale Gruppe.
Wählen Sie für Aktion Aktualisieren.
Für Gruppenname wählen Sie Administratoren (built-in).
Wählen Sie unter Mitglieder Hinzufügen..., und geben Sie die Active-Directory-Benutzer oder -Gruppen an, denen lokale Administratorrechte auf der Streaming-Instance zugewiesen werden sollen. Für Aktion, wählen Sie Dieser Gruppe hinzufügen, und wählen dann OK.
Um dieses Gruppenrichtlinienobjekt auf ein anderes anzuwenden OUs, wählen Sie die zusätzliche Organisationseinheit aus, öffnen Sie das Kontextmenü und wählen Sie Bestehendes Gruppenrichtlinienobjekt verknüpfen aus.
Suchen Sie anhand des neuen oder vorhandenen GPO-Namens, den Sie in Schritt 2 festgelegt haben, das Gruppenrichtlinienobjekt und klicken Sie auf OK.
Wiederholen Sie die Schritte 9 und 10 für weitere OUs , für die diese Einstellung gelten sollte.
Klicken Sie auf OK, um das Dialogfeld Neue lokale Gruppeneigenschaften zu schließen.
Klicken Sie erneut auf OK, um die GPMC zu schließen.

Um die neue Präferenz für das Gruppenrichtlinienobjekt zu übernehmen, müssen Sie alle laufenden Image Builder oder Flotten anhalten und neu starten. Die Active Directory-Benutzer und -Gruppen, die Sie in Schritt 8 angegeben haben, erhalten automatisch lokale Administratorrechte für die Image Builder und Flotten in der Organisationseinheit, mit der das Gruppenrichtlinienobjekt verknüpft ist.

Verwenden Sie die lokale Administratorgruppe auf dem WorkSpace , um Images zu erstellen

Um Active Directory-Benutzern oder -Gruppen lokale Administratorrechte für ein Image zu gewähren, können Sie diese Benutzer oder Gruppen manuell zur lokalen Administratorgruppe auf dem Image hinzufügen.

Die Active Directory-Benutzer oder -Gruppen, denen lokale Administratorberechtigungen erteilt werden solle, müssen bereits vorhanden sein.

Connect zu dem her, mit dem WorkSpace Sie Images erstellen. Der WorkSpace muss laufen und mit der Domäne verbunden sein.
Wählen Sie Start, Verwaltung und doppelklicken Sie auf Computerverwaltung.
Wählen Sie im linken Navigationsbereich Lokale Benutzer und Gruppen und öffnen Sie den Ordner Gruppen.
Öffnen Sie die Gruppe Administratoren und wählen Sie Hinzufügen....
Wählen Sie alle Active Directory-Benutzer oder -Gruppen, denen lokale Administratorberechtigungen zugewiesen werden sollen, und wählen Sie OK. Klicken Sie erneut auf OK, um das Dialogfeld Eigenschaften von Administrator zu schließen.
Schließen Sie die Computerverwaltung.
Um sich als Active Directory-Benutzer anzumelden und zu testen, ob dieser Benutzer über lokale Administratorrechte für verfügt WorkSpaces, wählen Sie Admin-Befehle, Benutzer wechseln und geben Sie dann die Anmeldeinformationen des entsprechenden Benutzers ein.

Sperren der Streaming-Sitzung, wenn der Benutzer inaktiv ist

WorkSpaces Pools basiert auf einer Einstellung, die Sie in der GPMC so konfigurieren, dass die Streaming-Sitzung gesperrt wird, nachdem Ihr Benutzer für eine bestimmte Zeit inaktiv war. Um die GPMC zu verwenden, müssen Sie zunächst die folgenden Aufgaben ausführen:

Verschaffen Sie sich Zugriff auf einen Computer oder eine EC2 Instanz, die Ihrer Domäne angehört.
Installieren Sie die GPMC. Weitere Informationen dazu finden Sie beim Microsoft Support unter Installation oder Entfernen von Administrationswerkzeugen für Windows 7 in der Microsoft Dokumentation.
Melden Sie sich als Domänenbenutzer mit Erstellungsberechtigungen an GPOs. Link GPOs zum entsprechenden OUs.

Die Streaming-Instance automatisch sperren, wenn Ihr Benutzer inaktiv ist

Öffnen Sie in Ihrem Verzeichnis oder auf einem Domänencontroller die Eingabeaufforderung als Administrator. Geben Sie gpmc.msc ein und drücken Sie die EINGABETASTE.
Wählen Sie in der linken Konsolenstruktur die Organisationseinheit aus, in der Sie ein neues Gruppenrichtlinienobjekt erstellen möchten, oder verwenden Sie ein vorhandenes Gruppenrichtlinienobjekt, und führen Sie dann einen der folgenden Schritte aus:
- Erstellen Sie ein neues Gruppenrichtlinienobjekt, indem Sie das Kontextmenü (rechter Mausklick) öffnen und Ein GPO in dieser Domäne erstellen, Hier verknüpfen auswählen. Geben Sie für Name einen aussagekräftigen Namen für dieses GPO an.
- Wählen Sie ein vorhandenes Gruppenrichtlinienobjekt aus.
Öffnen Sie das Kontextmenü für das GPO und wählen Sie Bearbeiten aus.
Erweitern Sie unter Benutzerkonfiguration die Optionen Richtlinien, Administrative Vorlagen, Systemsteuerung und klicken Sie dann auf Personalisierung.
Doppelklicken Sie auf Bildschirmschoner aktivieren.
Wählen Sie für die Richtlinieneinstellung Bildschirmschoner aktivieren die Option Aktiviert aus.
Wählen Sie Übernehmen und anschließend OK aus.
Doppelklicken Sie auf Bestimmten Bildschirmschoner erzwingen.
Wählen Sie für die Richtlinieneinstellung Bestimmten Bildschirmschoner erzwingen die Option Aktiviert aus.
Geben Sie unter Programmname des Bildschirmschoners den Namen scrnsave.scr ein. Wenn diese Einstellung aktiviert ist, zeigt das System einen schwarzen Bildschirmschoner auf dem Desktop des Benutzers an.
Wählen Sie Übernehmen und anschließend OK aus.
Doppelklicken Sie auf Bildschirmschoner Kennwortschutz für den Bildschirmschoner verwenden.
Wählen Sie für die Richtlinieneinstellung Kennwortschutz für den Bildschirmschoner verwenden die Option Aktiviert aus.
Wählen Sie Übernehmen und anschließend OK aus.
Doppelklicken Sie auf Zeitlimit für Bildschirmschoner.
Wählen Sie für die Richtlinieneinstellung Zeitlimit für Bildschirmschoner die Option Aktiviert aus.
Geben Sie im Feld Sekunden die Dauer ein, die der Benutzer inaktiv sein muss, bevor der Bildschirmschoner angewendet wird. Um den inaktiven Zeitraum auf 10 Minuten festzulegen, geben Sie 600 Sekunden ein.
Wählen Sie Übernehmen und anschließend OK aus.
Erweitern Sie in der Konsolenstruktur unter Benutzerkonfiguration die Optionen Richtlinien, Administrative Vorlagen, System und wählen Sie Strg+Alt+Entf-Optionen aus.
Doppelklicken Sie auf Sperren des Computers entfernen.
Wählen Sie in der Richtlinieneinstellung Sperren des Computers entfernen die Option Aktiviert aus.
Wählen Sie Übernehmen und anschließend OK aus.

Konfiguration von WorkSpaces Pools für die Verwendung von Domain-Vertrauensstellungen

WorkSpaces Pools unterstützt Active Directory-Domänenumgebungen, in denen sich Netzwerkressourcen wie Dateiserver, Anwendungen und Computerobjekte in einer Domäne und die Benutzerobjekte in einer anderen befinden. Das für Computerobjektoperationen verwendete Domänendienstkonto muss sich nicht in derselben Domäne wie die WorkSpaces Pools-Computerobjekte befinden.

Geben Sie beim Erstellen der Directory-Konfiguration ein Servicekonto mit den entsprechenden Berechtigungen zum Verwalten von Computerobjekten in der Active Directory-Domäne an, in der sich die Dateiserver, Anwendungen, Computerobjekte und andere Netzwerkressourcen befinden.

Ihre Active Directory-Endbenutzerkonten müssen über die „Authentifizierungsgenehmigung“-Berechtigungen für Folgendes verfügen:

WorkSpaces Poolt Computerobjekte
Domänencontroller für die Domäne

Weitere Informationen finden Sie unter Gewähren von Berechtigungen zum Erstellen und Verwalten von Active Directory-Computerobjekten.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Kontoübergreifendes PCA Sharing aktivieren

Weitere Infos