Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# WorkSpaces Aplicaciones: Administración de Active Directory
La configuración y el uso de Active Directory con WorkSpaces aplicaciones implican las siguientes tareas administrativas.
**Topics**
+ [Concesión de permisos para crear y administrar objetos de equipo de Active Directory](active-directory-permissions.md)
+ [Obtención del nombre distinguido de la unidad organizativa](active-directory-oudn.md)
+ [Concesión de derechos de administrador local para constructores de imágenes](active-directory-image-builder-local-admin.md)
+ [Actualización de la cuenta de servicio utilizada para incorporarse al dominio](active-directory-service-acct.md)
+ [Bloqueo de la sesión en streaming cuando el usuario está inactivo](active-directory-session-lock.md)
+ [Edición de la configuración de directorio](active-directory-config-edit.md)
+ [Eliminación de la configuración de un directorio](active-directory-config-delete.md)
+ [Configuración de WorkSpaces aplicaciones para usar confianzas de dominio](active-directory-domain-trusts.md)
+ [Administración de WorkSpaces aplicaciones y objetos informáticos en Active Directory](active-directory-identify-objects.md)
# Concesión de permisos para crear y administrar objetos de equipo de Active Directory
Para permitir que WorkSpaces las aplicaciones realicen operaciones con objetos informáticos de Active Directory, necesita una cuenta con permisos suficientes. Como práctica recomendada, use una cuenta que tenga solo los privilegios mínimos necesarios. Los permisos mínimos de la unidad organizativa (OU) de Active Directory son los siguientes:
+ Crear objeto equipo
+ Cambio de contraseña
+ Restablecer contraseña
+ Escribir descripción
Antes de configurar los permisos, primero tendrá que hacer lo siguiente:
+ Obtener acceso a una instancia EC2 o un equipo que esté unido al dominio.
+ Instalar el complemento MMC Usuarios y equipos de Active Directory. Para obtener más información, consulte [Installing or Removing Remote Server Administration Tools for Windows 7](https://technet.microsoft.com/en-us/library/ee449483.aspx) en la documentación de Microsoft.
+ Inicie sesión como usuario de dominio con los permisos adecuados para modificar la configuración de seguridad de la OU.
+ Cree o identifique al usuario, la cuenta de servicio o el grupo al que se delegarán permisos.
**Para configurar permisos mínimos**
1. Abra **Active Directory Users and Computers** (Usuarios y equipos de Active Directory) en el dominio o en el controlador de dominio.
1. En el panel de navegación de la izquierda, seleccione la primera OU para la que se proporcionarán privilegios de unión al dominio, abra el menú contextual (haga clic con el botón derecho) y, a continuación, elija **Delegate Control** (Delegar control).
1. En la página **Delegation of Control Wizard**, elija **Next**, **Add**.
1. En **Seleccionar usuarios, equipos o grupos**, seleccione el usuario, la cuenta de servicio o el grupo previamente creados y, a continuación, elija **Aceptar**.
1. En la página **Tareas que se delegarán**, elija **Crear una tarea personalizada para delegar** y luego elija **Siguiente**.
1. Elija **Only the following objects in the folder**, **Computer objects**.
1. Elija **Create selected objects in this folder**, **Next**.
1. En **Permissions**, elija **Read**, **Write**, **Change Password**, **Reset Password**, **Next**.
1. En la página **Completing the Delegation of Control Wizard**, verifique la información y elija **Finish**.
1. Repita los pasos 2 a 9 para cualquier otra persona OUs que requiera estos permisos.
Si ha delegado permisos en un grupo, cree una cuenta de usuario o de servicio con una contraseña segura y añada dicha cuenta al grupo. Esta cuenta tendrá privilegios suficientes para conectar sus instancias en streaming al directorio. Utilice esta cuenta al crear la configuración del directorio de WorkSpaces aplicaciones.
# Obtención del nombre distinguido de la unidad organizativa
Al registrar su dominio de Active Directory en WorkSpaces Applications, debe proporcionar un nombre distintivo de la unidad organizativa (OU). Cree una OU con este fin. El contenedor de ordenadores predeterminado no es una unidad organizativa y WorkSpaces las aplicaciones no lo pueden utilizar. En el siguiente procedimiento se muestra cómo obtener este nombre.
**nota**
El nombre distinguido debe comenzar con **OU=** o no podrá usarse para objetos de equipo.
Antes de realizar este procedimiento, deberá hacer lo siguiente:
+ Obtener acceso a una instancia EC2 o un equipo que esté unido al dominio.
+ Instalar el complemento MMC Usuarios y equipos de Active Directory. Para obtener más información, consulte [Installing or Removing Remote Server Administration Tools for Windows 7](https://technet.microsoft.com/en-us/library/ee449483.aspx) en la documentación de Microsoft.
+ Inicie sesión como usuario de dominio con los permisos adecuados para leer las propiedades de seguridad de la OU.
**Para buscar el nombre distinguido de una OU**
1. Abra **Active Directory Users and Computers** (Usuarios y equipos de Active Directory) en el dominio o en el controlador de dominio.
1. En **View**, asegúrese de que la opción **Advanced Features** esté habilitada.
1. En el panel de navegación izquierdo, seleccione la primera unidad organizativa que se utilizará para la transmisión de WorkSpaces aplicaciones de instancias de objetos informáticos, abra el menú contextual (haga clic con el botón derecho) y, a continuación, elija **Propiedades**.
1. Elija **Attribute Editor**.
1. En **Attributes**, para **distinguishedName**, elija **View**.
1. En **Value** (Valor), seleccione el nombre distinguido, abra el menú contextual y elija **Copy** (Copiar).
# Concesión de derechos de administrador local para constructores de imágenes
De forma predeterminada, los usuarios de dominio de Active Directory no tienen derechos de administrador local para las instancias del constructor de imágenes. Puede conceder estos derechos utilizando las preferencias de la política de grupo del directorio, o manualmente mediante la cuenta de administrador local de un constructor de imágenes. La concesión de derechos de administrador local a un usuario del dominio le permite instalar aplicaciones y crear imágenes en un generador de imágenes de WorkSpaces aplicaciones.
**Topics**
+ [Uso de las preferencias de la política de grupo](group-policy.md)
+ [Uso del grupo de administradores locales en el constructor de imágenes](manual-procedure.md)
# Uso de las preferencias de la política de grupo
Puede utilizar las preferencias de la política de grupo para conceder derechos de administrador local a usuarios o grupos de Active Directory y a todos los objetos de equipo de la OU especificada. Los usuarios o grupos de Active Directory a los que desea conceder permisos de administrador local deben existir previamente. Para utilizar las preferencias de la política de grupo, primero tendrá que hacer lo siguiente:
+ Obtener acceso a una instancia EC2 o un equipo que esté unido al dominio.
+ Instale el complemento MMC de la consola de administración de políticas de grupo (GPMC). Para obtener más información, consulte [Installing or Removing Remote Server Administration Tools for Windows 7](https://technet.microsoft.com/en-us/library/ee449483.aspx) en la documentación de Microsoft.
+ Inicie sesión como usuario de dominio con permisos para crear objetos de política de grupo (GPOs). Enlace GPOs al correspondiente OUs.
**Para utilizar las preferencias de la política de grupo para conceder permisos de administrador local**
1. En el directorio o en un controlador de dominio, abra el símbolo del sistema como administrador, escriba `gpmc.msc` y, a continuación, pulse INTRO.
1. En el árbol de la consola de la izquierda, seleccione la OU donde creará el nuevo GPO o usará uno ya existente y, a continuación, realice una de las operaciones siguientes:
+ Cree un nuevo GPO; para ello, abra el menú contextual (haga clic con el botón derecho) y elija **Create a GPO in this domain and link it here** (Crear un GPO en este dominio y vincularlo aquí). En **Name**, proporcione un nombre descriptivo para este GPO.
+ Seleccione un GPO existente.
1. Abra el menú contextual del GPO y elija **Edit** (Editar).
1. En el árbol de la consola, elija **Computer Configuration** (Configuración del equipo), **Preferences** (Preferencias), **Windows Settings** (Configuración de Windows), **Control Panel Settings** (Configuración del panel de control) y **Local Users and Groups** (Usuarios y grupos locales).
1. Seleccione **Local Users and Groups** (Usuarios y grupos locales), abra el menú contextual y elija **New** (Nuevo), **Local Group** (Grupo local).
1. En **Action**, elija **Update**.
1. En **Group name**, elija **Administrators (built-in)**.
1. En **Miembro**, elija **Agregar...** y especifique los usuario o grupos de Active Directory a los que se asignarán derechos de administrador local en la instancia en streaming. En **Action**, seleccione **Add to this group** y, a continuación, **OK**.
1. Para aplicar este GPO a otro OUs, seleccione la OU adicional, abra el menú contextual y elija **Vincular un GPO existente**.
1. Desplácese para encontrar el nombre del GPO nuevo o ya existente especificado en el paso 2 y, a continuación, elija **OK** (Aceptar).
1. Repita los pasos 9 y 10 para ver otros OUs que deban tener esta preferencia.
1. Elija **OK** (Aceptar) para cerrar el cuadro de diálogo **New Local Group Properties** (Propiedades de nuevo grupo local).
1. Elija **OK** (Aceptar) de nuevo para cerrar la GPMC.
Para aplicar la nueva preferencia al GPO, detenga y reinicie los constructores de imágenes o las flotas en ejecución. Los usuarios y grupos de Active Directory que ha especificado en el paso 8 obtienen automáticamente derechos de administrador local para los constructores de imágenes y las flotas de la OU a la que está vinculado el GPO.
# Uso del grupo de administradores locales en el constructor de imágenes
Si desea conceder a los usuarios o grupos de Active Directory derechos de administrador local para el constructor de imágenes, puede añadir manualmente estos usuarios o grupos al grupo de administradores locales del constructor de imágenes. Los constructores de imágenes que se crean a partir de imágenes con estos derechos mantienen los mismos derechos.
Los usuarios o grupos de Active Directory a los que se conceden derechos de administrador local deben existir ya.
**Para añadir usuarios o grupos de Active Directory al grupo de administradores locales del constructor de imágenes**
1. Abra la consola de WorkSpaces aplicaciones en [https://console.aws.amazon.com/appstream2.](https://console.aws.amazon.com/appstream2)
1. Conéctese al constructor de imágenes en modo Administrador. El constructor de imágenes tiene que estar ejecutándose y unido al dominio. Para obtener más información, consulte [Tutorial: Configuración de Active Directory](active-directory-directory-setup.md).
1. Elija **Start** (Inicio), **Administrative Tools** (Herramientas administrativas) y, a continuación, haga doble clic en **Computer Management** (Administración de equipos).
1. En el panel de navegación izquierdo, seleccione **Local Users and Groups** y abra la carpeta **Groups**.
1. Abra el grupo **Administrators** y seleccione **Add...**.
1. Seleccione todos los usuarios o grupos de Active Directory a los que se asignarán derechos de administrador local y elija **OK**. Elija **OK** (Aceptar) de nuevo para cerrar el cuadro de diálogo **Administrator Properties** (Propiedades de Administradores).
1. Cierre la utilidad Administración de equipos.
1. Para iniciar sesión como usuario de Active Directory y comprobar si ese usuario dispone de derechos de administrador local para el constructor de imágenes, elija **Admin Commands** (Comandos de administración), **Switch user** (Cambiar de usuario) y, a continuación, escriba las credenciales del usuario en cuestión.
# Actualización de la cuenta de servicio utilizada para incorporarse al dominio
Para actualizar la cuenta de servicio que WorkSpaces Applications usa para unirse al dominio, le recomendamos usar dos cuentas de servicio independientes para unir los generadores de imágenes y las flotas a su dominio de Active Directory. Utilice dos cuentas de servicio independientes para asegurarse de que el servicio no se interrumpa cuando una cuenta de servicio necesite actualizarse (por ejemplo, cuando venza una contraseña).
**Para actualizar una cuenta de servicio**
1. Cree un grupo de Active Directory y delegue los permisos adecuados al grupo.
1. Añada sus cuentas de servicio al nuevo grupo de Active Directory.
1. Cuando sea necesario, edite el objeto WorkSpaces Applications Directory Config introduciendo las credenciales de inicio de sesión de la nueva cuenta de servicio.
Después de haber configurado el grupo de Active Directory con la nueva cuenta de servicio, todas las operaciones de instancias de streaming nuevas utilizarán la cuenta de servicio nueva, mientras que las operaciones de instancias de streaming en curso seguirán utilizando la cuenta anterior sin interrupción.
El tiempo de solapamiento de la cuenta de servicio mientras se completan las operaciones de instancias de streaming en curso es muy corto; no dura más de un día. El tiempo de solapamiento es necesario, ya que no se debe eliminar ni cambiar la contraseña de la antigua cuenta de servicio durante el período de solapamiento; de lo contrario, las operaciones en curso pueden resultar erróneas.
# Bloqueo de la sesión en streaming cuando el usuario está inactivo
WorkSpaces Las aplicaciones se basan en una configuración que se configura en la GPMC para bloquear la sesión de streaming después de que el usuario esté inactivo durante un período de tiempo específico. Para utilizar la GPMC, primero tendrá que hacer lo siguiente:
+ Obtener acceso a una instancia EC2 o un equipo que esté unido al dominio.
+ Instalar la GPMC. Para obtener más información, consulte [Installing or Removing Remote Server Administration Tools for Windows 7](https://technet.microsoft.com/en-us/library/ee449483.aspx) en la documentación de Microsoft.
+ Inicie sesión como usuario del dominio con permisos de creación GPOs. Enlace GPOs al enlace correspondiente OUs.
**Para bloquear automáticamente la instancia de streaming cuando el usuario está inactivo**
1. En el directorio o en un controlador de dominio, abra el símbolo del sistema como administrador, escriba `gpmc.msc` y, a continuación, pulse INTRO.
1. En el árbol de la consola de la izquierda, seleccione la OU donde creará el nuevo GPO o usará uno ya existente y, a continuación, realice una de las operaciones siguientes:
+ Cree un nuevo GPO; para ello, abra el menú contextual (haga clic con el botón derecho) y elija **Create a GPO in this domain and link it here** (Crear un GPO en este dominio y vincularlo aquí). En **Name**, proporcione un nombre descriptivo para este GPO.
+ Seleccione un GPO existente.
1. Abra el menú contextual del GPO y elija **Edit** (Editar).
1. En **User Configuration** (Configuración de usuario), expanda **Policies** (Políticas), **Administrative Templates** (Plantillas administrativas), **Control Panel** (Panel de control) y, a continuación, elija **Personalization** (Personalización).
1. Haga doble clic en **Enable screen saver** (Habilitar protector de pantalla).
1. En la opción de política **Enable screen saver** (Habilitar protector de pantalla), elija **Enabled** (Habilitado).
1. Seleccione **Aplicar** y, después, **Aceptar**.
1. Haga doble clic en **Force specific screen saver** (Aplicar un protector de pantalla específico).
1. En la opción de política **Force specific screen saver** (Aplicar un protector de pantalla específico), elija **Enabled** (Habilitado).
1. En **Screen saver executable name (Nombre del ejecutable del protector de pantalla)**, escriba **scrnsave.scr**. Cuando esta opción está habilitada, el sistema muestra un protector de pantalla negro en el escritorio del usuario.
1. Seleccione **Aplicar** y, después, **Aceptar**.
1. Haga doble clic en **Password protect the screen saver** (Proteger el protector de pantalla mediante contraseña).
1. En la opción de política **Password protect the screen saver** (Proteger el protector de pantalla mediante contraseña), elija **Enabled** (Habilitado).
1. Seleccione **Aplicar** y, después, **Aceptar**.
1. Haga doble clic en **Screen saver timeout** (Tiempo de espera del protector de pantalla).
1. En la opción de política **Screen saver timeout** (Tiempo de espera del protector de pantalla), elija **Enabled** (Habilitado).
1. En **Seconds** (Segundos), especifique el tiempo que los usuarios deben estar inactivos antes de que se aplique el protector de pantalla. Para establecer el tiempo de inactividad en 10 minutos, especifique 600 segundos.
1. Seleccione **Aplicar** y, después, **Aceptar**.
1. En el árbol de la consola, en **User Configuration** (Configuración de usuario), expanda **Policies** (Políticas), **Administrative Templates** (Plantillas administrativas), **System** (Sistema) y, a continuación, elija **Ctrl\$1Alt\$1Del Options** (Opciones de Ctrl\$1Alt\$1Supr).
1. Haga doble clic en **Remove Lock Computer** (Quitar el bloqueo de equipos).
1. En la opción de política **Remove Lock Computer** (Quitar el bloqueo de equipos), elija **Disabled** (Deshabilitado).
1. Seleccione **Aplicar** y, después, **Aceptar**.
# Edición de la configuración de directorio
Una vez creada la configuración del directorio de WorkSpaces aplicaciones, puedes editarla para añadir, eliminar o modificar unidades organizativas, actualizar el nombre de usuario de la cuenta de servicio o actualizar la contraseña de la cuenta de servicio.
**Para actualizar una configuración de directorio**
1. Abra la consola de WorkSpaces aplicaciones en [https://console.aws.amazon.com/appstream2.](https://console.aws.amazon.com/appstream2)
1. En el panel de navegación izquierdo, seleccione **Directory Configs** y seleccione la configuración del directorio que quiera editar.
1. Seleccione **Acciones**, **Editar**.
1. Actualice los campos que desee cambiar. Para añadir más OUs, seleccione el signo más (**\$1**) situado junto al campo OU situado en la parte superior. Para eliminar un campo de OU, seleccione la **x** situada junto al campo.
**nota**
Se requiere al menos una unidad organizativa. OUs que están actualmente en uso no se pueden eliminar.
1. Para guardar los cambios, seleccione **Update Directory Config**.
1. La información de la pestaña **Details** deberá actualizarse ahora para reflejar los cambios.
Los cambios en las credenciales de inicio de sesión de la cuenta de servicio no influyen en las operaciones de instancias de streaming en curso. Las operaciones de instancias de streaming nuevas utilizan las credenciales actualizadas. Para obtener más información, consulte [Actualización de la cuenta de servicio utilizada para incorporarse al dominio](active-directory-service-acct.md).
# Eliminación de la configuración de un directorio
Puede eliminar una configuración del directorio de WorkSpaces aplicaciones que ya no sea necesaria. Las configuraciones de directorio que están asociadas a constructores de imágenes o flotas no se pueden eliminar.
**Para eliminar una configuración de directorio**
1. Abra la consola de WorkSpaces aplicaciones en [https://console.aws.amazon.com/appstream2.](https://console.aws.amazon.com/appstream2)
1. En el panel de navegación izquierdo, seleccione **Directory Configs** y seleccione la configuración del directorio que quiera eliminar.
1. Elija **Acciones**, **Eliminar**.
1. Verifique el nombre en el mensaje emergente y seleccione **Delete**.
1. Elija **Update Directory Config**.
# Configuración de WorkSpaces aplicaciones para usar confianzas de dominio
WorkSpaces Las aplicaciones son compatibles con los entornos de dominio de Active Directory, en los que los recursos de red, como servidores de archivos, aplicaciones y objetos informáticos, residen en un dominio y los objetos de usuario residen en otro. No es necesario que la cuenta de servicio de dominio utilizada para las operaciones de objetos informáticos esté en el mismo dominio que los objetos informáticos de WorkSpaces las Aplicaciones.
Cuando cree la configuración del directorio, especifique una cuenta de servicio con los permisos pertinentes para administrar objetos de equipo en el dominio de Active Directory donde se encuentran los servidores de archivos, las aplicaciones, los objetos de equipo y otros recursos de red.
Las cuentas de Active Directory de usuario final deben tener los permisos "Allowed to Authenticate" para los elementos siguientes:
+ WorkSpaces Aplicaciones, objetos de ordenador.
+ Controladores de dominio para el dominio
Para obtener más información, consulte [Concesión de permisos para crear y administrar objetos de equipo de Active Directory](active-directory-permissions.md).
# Administración de WorkSpaces aplicaciones y objetos informáticos en Active Directory
WorkSpaces Las aplicaciones no eliminan los objetos informáticos de Active Directory. Puede identificar fácilmente estos objetos de equipo en su directorio. Cada objeto de equipo del directorio se crea con el atributo `Description`, que especifica una instancia de flota o de constructor de imágenes y el nombre.
**Ejemplos de descripción de objetos de equipo**
| Tipo | Name | Atributo Description |
| --- | --- | --- |
| Fleet | ExampleFleet | `WorkSpaces Applications - fleet:ExampleFleet` |
| Constructor de imágenes | ExampleImageBuilder | `WorkSpaces Applications - image-builder:ExampleImageBuilder` |
Puede identificar y eliminar los objetos informáticos inactivos creados por WorkSpaces las aplicaciones mediante los `dsrm` comandos `dsquery computer` y siguientes. Para obtener más información, consulte [Dsquery computer](https://technet.microsoft.com/en-us/library/cc730720.aspx) y [Dsrm](https://technet.microsoft.com/en-us/library/cc731865.aspx) en la documentación de Microsoft.
El comando `dsquery` identifica los objetos de equipo inactivos durante un determinado periodo de tiempo y utiliza el formato siguiente. El `dsquery` comando también debe ejecutarse con el parámetro `-desc "WorkSpaces Applications*"` para mostrar solo los objetos de WorkSpaces Applications.
```
dsquery computer "OU-distinguished-name" -desc "WorkSpaces Applications*" -inactive number-of-weeks-since-last-login
```
+ `OU-distinguished-name` es el nombre distinguido de la unidad organizativa. Para obtener más información, consulte [Obtención del nombre distinguido de la unidad organizativa](active-directory-oudn.md). Si no proporciona el *OU-distinguished-name* parámetro, el comando busca en todo el directorio.
+ `number-of-weeks-since-last-log-in` es el valor que determina cómo se desea definir la inactividad.
Por ejemplo, el comando siguiente muestra todos los objetos de equipo de la unidad organizativa `OU=ExampleOU,DC=EXAMPLECO,DC=COM` en los que no se ha iniciado sesión en las últimas dos semanas.
```
dsquery computer OU=ExampleOU,DC=EXAMPLECO,DC=COM -desc "WorkSpaces Applications*" -inactive 2
```
Si se encuentra alguna coincidencia, el resultado será uno o varios nombres de objetos. El comando `dsrm` borra el objeto especificado y utiliza el formato siguiente:
```
dsrm objectname
```
Donde `objectname` es el nombre de objeto completo de la salida del comando `dsquery`. Por ejemplo, si el `dsquery` comando anterior da como resultado un objeto informático denominado "ExampleComputer«, el `dsrm` comando para eliminarlo sería el siguiente:
```
dsrm "CN=ExampleComputer,OU=ExampleOU,DC=EXAMPLECO,DC=COM"
```
Puede encadenar estos comandos con el operador de barra vertical (`|`). Por ejemplo, para eliminar todos los objetos del ordenador de WorkSpaces Applications y solicitar la confirmación de cada uno de ellos, utilice el siguiente formato. Añada el parámetro `-noprompt` a `dsrm` para deshabilitar la confirmación.
```
dsquery computer OU-distinguished-name -desc "WorkSpaces Applications*" –inactive number-of-weeks-since-last-log-in | dsrm
```