Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Antes de empezar a utilizar Active Directory con WorkSpaces las aplicaciones de Amazon
<a name="active-directory-prerequisites"></a>

Antes de usar dominios de Microsoft Active Directory con WorkSpaces aplicaciones, tenga en cuenta los siguientes requisitos y consideraciones.

**Topics**
+ [Entorno de dominio de Active Directory](active-directory-prerequisites-domain-environment.md)
+ [Instancias de streaming de aplicaciones unidas a un dominio WorkSpaces](active-directory-prerequisites-streaming-instances.md)
+ [Configuración de la política de grupo](active-directory-prerequisites-group-policy-settings.md)
+ [Autenticación con tarjeta inteligente](active-directory-prerequisites-smart-card-authentication.md)

# Entorno de dominio de Active Directory
<a name="active-directory-prerequisites-domain-environment"></a>

El entorno de dominio de Active Directory debe cumplir los siguientes requisitos.
+ Debe tener un dominio de Microsoft Active Directory al que unir las instancias de streaming. Si no tiene un dominio de Active Directory o desea usar su entorno local de Active Directory, consulte la [Guía de implementación de los servicios de dominio de Active Directory en la solución de AWS socios](https://aws-solutions-library-samples.github.io/cfn-ps-microsoft-activedirectory/).
+ Debe tener una cuenta de servicio de dominio con permisos para crear y administrar objetos informáticos en el dominio que desee utilizar con WorkSpaces las aplicaciones. Para obtener información, consulte [How to Create a Domain Account in Active Directory](https://msdn.microsoft.com/en-us/library/aa545262(v=cs.70).aspx) en la documentación de Microsoft.

  Al asociar este dominio de Active Directory a WorkSpaces las aplicaciones, proporcione el nombre y la contraseña de la cuenta de servicio. WorkSpaces Las aplicaciones utilizan esta cuenta para crear y administrar los objetos de equipo del directorio. Para obtener más información, consulte [Concesión de permisos para crear y administrar objetos de equipo de Active Directory](active-directory-permissions.md).
+ Al registrar su dominio de Active Directory en WorkSpaces Applications, debe proporcionar un nombre distintivo de la unidad organizativa (OU). Cree una OU con este fin. El contenedor de ordenadores predeterminado no es una unidad organizativa y WorkSpaces las aplicaciones no lo pueden utilizar. Para obtener más información, consulte [Obtención del nombre distinguido de la unidad organizativa](active-directory-oudn.md).
+ Los directorios que planea usar con WorkSpaces las aplicaciones deben estar accesibles a través de sus nombres de dominio completos (FQDNs) a través de la nube privada virtual (VPC) en la que se lanzan las instancias de streaming. Para obtener más información, consulte [Active Directory and Active Directory Domain Services Port Requirements](https://technet.microsoft.com/en-us/library/dd772723.aspx) en la documentación de Microsoft.
+ El acceso al controlador de dominio también se puede realizar a través de IPv6 las [opciones de DHCP y es necesario actualizarlas.](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_DHCP_Options.html)

# Instancias de streaming de aplicaciones unidas a un dominio WorkSpaces
<a name="active-directory-prerequisites-streaming-instances"></a>

Se necesita una federación de usuarios basada en SAML 2.0 para la transmisión en streaming de aplicaciones desde las flotas de funcionamiento continuo y bajo demanda asociadas al dominio. No puede iniciar sesiones en instancias unidas a un dominio mediante la [CreateStreamingURL](https://docs.aws.amazon.com/appstream2/latest/APIReference/API_CreateStreamingURL.html) o el grupo de usuarios de WorkSpaces aplicaciones.

Además, debe utilizar una imagen que permita asociar constructores de imágenes y flotas a un dominio de Active Directory. Todas las imágenes públicas publicadas a partir del 24 de julio de 2017 incluido admiten la incorporación a un dominio de Active Directory. Para obtener más información, consulte [WorkSpaces Notas de la versión de la actualización de imágenes base e imágenes gestionadas de aplicaciones](base-image-version-history.md) y [Tutorial: Configuración de Active Directory](active-directory-directory-setup.md).

**nota**  
Puede unir instancias de streaming de flotas siempre activas y bajo demanda a un dominio de Active Directory. Los sistemas operativos compatibles incluyen Windows, Red Hat Enterprise Linux y Rocky Linux.

# Configuración de la política de grupo
<a name="active-directory-prerequisites-group-policy-settings"></a>

Compruebe la configuración de las siguientes opciones de política de grupo. Si es necesario, actualice la configuración tal como se describe en esta sección para que no impida que WorkSpaces las aplicaciones autentiquen e inicien sesión a los usuarios de su dominio. De lo contrario, cuando los usuarios intenten iniciar sesión en WorkSpaces las aplicaciones, es posible que el inicio de sesión no se realice correctamente. En su lugar, aparece un mensaje en el que se notifica a los usuarios que «se ha producido un error desconocido».
+ **Configuración del equipo > Plantillas administrativas > Componentes de Windows > Opciones de inicio de sesión de Windows > Deshabilitar o habilitar la secuencia de atención segura**: establezca en **Habilitado** para la opción **Servicios**.
+ **Configuración del equipo > Plantillas administrativas > Sistema > Inicio de sesión > Excluir proveedores de credenciales**: compruebe que el CLSID siguiente *no* figure en: `e7c1bab5-4b49-4e64-a966-8d99686f8c7c` y `f148bAed-5f7f-40c9-8D48-51e24e571825`
+ **Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies > Security Options > Interactive Logon > Interactive Logon: Message text for users attempting to log on**: establezca esta opción en **No definido**.
+ **Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies > Security Options > Interactive Logon > Interactive Logon: Message title for users attempting to log on**: establezca esta opción en **No definido**.
+ **Configuración del equipo > Políticas > Configuración de Windows > Configuración de seguridad > Políticas locales > Asignación de derechos de usuario > Permitir el inicio de sesión local**: **establézcalo como No definido** o añada el dominio user/group a esta lista.
+ **Configuración del equipo > Políticas > Configuración de Windows > Configuración de seguridad > Políticas locales > Asignación de derechos de usuario > Denegar inicio de sesión local ** — Establézcalo como **No definido** o asegúrese de que los usuarios/grupos del dominio no están incluidos en esta lista.

Si utiliza flotas de varias sesiones, también necesita la siguiente configuración de política de grupos, además de la configuración especificada anteriormente.
+ **Configuración del equipo > Políticas > Configuración de Windows > Configuración de seguridad > Políticas locales > Asignación de derechos de usuario > Permitir el inicio de sesión mediante los servicios de escritorio remoto**: **establézcalo como No definido** o añada el dominio user/group a esta lista.
+ **Configuración del equipo > Políticas > Configuración de Windows > Configuración de seguridad > Políticas locales > Asignación de derechos de usuario > Denegar el inicio de sesión mediante los servicios de escritorio remoto**: **establézcalo como No definido** o asegúrese de que el dominio no users/groups esté incluido en la lista.

# Autenticación con tarjeta inteligente
<a name="active-directory-prerequisites-smart-card-authentication"></a>

WorkSpaces Las aplicaciones admiten el uso de contraseñas de dominio de Active Directory o tarjetas inteligentes, como las tarjetas inteligentes [Common Access Card (CAC)](https://www.cac.mil/Common-Access-Card) y [Personal Identity Verification (PIV)](https://piv.idmanagement.gov/), para iniciar sesión con Windows en las instancias de streaming de WorkSpaces las aplicaciones. Para obtener información sobre cómo configurar el entorno de Active Directory para permitir el inicio de sesión con tarjetas inteligentes mediante entidades de certificación de terceros (CAs), consulte las [Directrices para habilitar el inicio de sesión con tarjetas inteligentes con entidades de certificación de terceros](https://docs.microsoft.com/en-us/troubleshoot/windows-server/windows-security/enabling-smart-card-logon-third-party-certification-authorities) en la documentación de Microsoft.

**nota**  
WorkSpaces Las aplicaciones también admiten el uso de tarjetas inteligentes para la autenticación durante la sesión después de que el usuario inicie sesión en una instancia de streaming. Esta función solo es compatible con los usuarios que tengan instalada la versión 1.1.257 o posterior del cliente de WorkSpaces aplicaciones para Windows. Para obtener información sobre los requisitos adicionales, consulte [Tarjetas inteligentes](feature-support-USB-devices-qualified.md#feature-support-USB-devices-qualified-smart-cards).