Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Uso de Active Directory con WorkSpaces aplicaciones
<a name="active-directory"></a>

Puede unir las flotas de Windows y los creadores de imágenes siempre activos y bajo demanda de Amazon WorkSpaces Applications a dominios de Microsoft Active Directory y utilizar sus dominios de Active Directory existentes, ya sean basados en la nube o en las instalaciones, para lanzar instancias de streaming unidas a un dominio. También puede usar AWS Directory Service for Microsoft Active Directory, también conocido como Microsoft AD AWS administrado, para crear un dominio de Active Directory y usarlo como soporte para los recursos de sus WorkSpaces aplicaciones. Para obtener más información sobre el uso de AWS Managed Microsoft AD, consulte [Microsoft Active Directory](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_microsoft_ad.html) en la *Guía de administración de AWS Directory Service *.

**nota**  
Actualmente, las flotas de Amazon Linux 2, los generadores de imágenes, las flotas elásticas y los generadores de bloques de aplicaciones no admiten la asociación de dominios.

Al unir WorkSpaces las aplicaciones a su dominio de Active Directory, puede:
+ Ofrecer acceso a los usuarios y a las aplicaciones a los recursos de Active Directory, como las impresoras y el uso compartido de archivos de las sesiones de transmisión.
+ Utilizar las configuraciones de políticas de grupo que están disponibles en la consola de administración de políticas de grupo (GPMC) para definir la experiencia del usuario final.
+ Transmita aplicaciones en streaming que requieren que los usuarios se autentiquen mediante sus credenciales de inicio de sesión de Active Directory.
+ Aplique sus políticas empresariales de cumplimiento y seguridad a las instancias de streaming de sus WorkSpaces aplicaciones.

**Topics**
+ [Información general de los dominios de Active Directory](active-directory-overview.md)
+ [Antes de empezar a utilizar Active Directory con WorkSpaces las aplicaciones de Amazon](active-directory-prerequisites.md)
+ [Tutorial: Configuración de Active Directory](active-directory-directory-setup.md)
+ [Autenticación basada en certificados](certificate-based-authentication.md)
+ [WorkSpaces Aplicaciones: Administración de Active Directory](active-directory-admin.md)
+ [Más información](active-directory-more-info.md)

# Información general de los dominios de Active Directory
<a name="active-directory-overview"></a>

El uso de dominios de Active Directory con WorkSpaces aplicaciones requiere comprender cómo funcionan juntos y las tareas de configuración que deberá realizar. Deberá completar las tareas siguientes:

1. Configurar las opciones de la política de grupo según sea necesario para definir la experiencia de usuario final y los requisitos de seguridad de las aplicaciones.

1. Cree la pila de aplicaciones unidas a un dominio en WorkSpaces Aplicaciones.

1. Cree la aplicación de WorkSpaces aplicaciones en el proveedor de identidades SAML 2.0 y asígnela a los usuarios finales directamente o mediante grupos de Active Directory.

Para que los usuarios se autentiquen en un dominio, deben realizarse varios pasos cuando estos usuarios inician una sesión de streaming de WorkSpaces aplicaciones. El siguiente diagrama ilustra el flujo de autenticación del end-to-end usuario desde la solicitud inicial del navegador hasta la autenticación de SAML y Active Directory.

![\[Authentication flow diagram showing steps from user login to AWSWorkSpaces Applications session start.\]](http://docs.aws.amazon.com/es_es/appstream2/latest/developerguide/images/domain-join-UPDATED.png)


**Flujo de autenticación del usuario**

1. El usuario navega a `https://applications.exampleco.com`. La página de inicio de sesión solicita autenticación al usuario.

1. El servicio de federación solicita autenticación al almacén de identidades de la organización.

1. El almacén de identidades autentica al usuario y devuelve la respuesta de autenticación al servicio de federación.

1. Una vez realizada la autenticación, el servicio de federación publica la declaración de SAML en el navegador del usuario.

1. El navegador del usuario publica la afirmación de SAML en el punto de conexión SAML de inicio de AWS sesión (). `https://signin.aws.amazon.com/saml` AWS Sign-In recibe la solicitud de SAML, la procesa, autentica al usuario y reenvía el token de autenticación al servicio de aplicaciones. WorkSpaces 

1. Con el token de autenticación de AWS, WorkSpaces Applications autoriza al usuario y presenta las aplicaciones al navegador.

1. El usuario elige una aplicación y, según el método de autenticación de inicio de sesión de Windows que esté habilitado en la pila de WorkSpaces aplicaciones, se le pide que introduzca su contraseña de dominio de Active Directory o que elija una tarjeta inteligente. Si ambos métodos de autenticación están habilitados, el usuario puede elegir si desea introducir la contraseña de su dominio o utilizar la tarjeta inteligente. También puede utilizarse la autenticación basada en certificados para autenticar a los usuarios, lo que elimina la pregunta.

1. El sistema se pone en contacto con el controlador de dominio para la autenticación del usuario.

1. Una vez acabada la autenticación en el dominio, la sesión del usuario comienza con la conectividad de dominio.

Desde el punto de vista del usuario, este proceso es transparente. El usuario comienza navegando hasta el portal interno de la organización y es redirigido a un portal de WorkSpaces aplicaciones, sin tener que introducir AWS las credenciales. Solo se necesita una contraseña de dominio de Active Directory o credenciales de tarjeta inteligente.

Para que un usuario pueda iniciar este proceso, se debe configurar Active Directory con los derechos y la configuración de la política de grupo necesarios, así como crear una pila de aplicaciones unida al dominio.

# Antes de empezar a utilizar Active Directory con WorkSpaces las aplicaciones de Amazon
<a name="active-directory-prerequisites"></a>

Antes de usar dominios de Microsoft Active Directory con WorkSpaces aplicaciones, tenga en cuenta los siguientes requisitos y consideraciones.

**Topics**
+ [Entorno de dominio de Active Directory](active-directory-prerequisites-domain-environment.md)
+ [Instancias de streaming de aplicaciones unidas a un dominio WorkSpaces](active-directory-prerequisites-streaming-instances.md)
+ [Configuración de la política de grupo](active-directory-prerequisites-group-policy-settings.md)
+ [Autenticación con tarjeta inteligente](active-directory-prerequisites-smart-card-authentication.md)

# Entorno de dominio de Active Directory
<a name="active-directory-prerequisites-domain-environment"></a>

El entorno de dominio de Active Directory debe cumplir los siguientes requisitos.
+ Debe tener un dominio de Microsoft Active Directory al que unir las instancias de streaming. Si no tiene un dominio de Active Directory o desea usar su entorno local de Active Directory, consulte la [Guía de implementación de los servicios de dominio de Active Directory en la solución de AWS socios](https://aws-solutions-library-samples.github.io/cfn-ps-microsoft-activedirectory/).
+ Debe tener una cuenta de servicio de dominio con permisos para crear y administrar objetos informáticos en el dominio que desee utilizar con WorkSpaces las aplicaciones. Para obtener información, consulte [How to Create a Domain Account in Active Directory](https://msdn.microsoft.com/en-us/library/aa545262(v=cs.70).aspx) en la documentación de Microsoft.

  Al asociar este dominio de Active Directory a WorkSpaces las aplicaciones, proporcione el nombre y la contraseña de la cuenta de servicio. WorkSpaces Las aplicaciones utilizan esta cuenta para crear y administrar los objetos de equipo del directorio. Para obtener más información, consulte [Concesión de permisos para crear y administrar objetos de equipo de Active Directory](active-directory-permissions.md).
+ Al registrar su dominio de Active Directory en WorkSpaces Applications, debe proporcionar un nombre distintivo de la unidad organizativa (OU). Cree una OU con este fin. El contenedor de ordenadores predeterminado no es una unidad organizativa y WorkSpaces las aplicaciones no lo pueden utilizar. Para obtener más información, consulte [Obtención del nombre distinguido de la unidad organizativa](active-directory-oudn.md).
+ Los directorios que planea usar con WorkSpaces las aplicaciones deben estar accesibles a través de sus nombres de dominio completos (FQDNs) a través de la nube privada virtual (VPC) en la que se lanzan las instancias de streaming. Para obtener más información, consulte [Active Directory and Active Directory Domain Services Port Requirements](https://technet.microsoft.com/en-us/library/dd772723.aspx) en la documentación de Microsoft.
+ El acceso al controlador de dominio también se puede realizar a través de IPv6 las [opciones de DHCP y es necesario actualizarlas.](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_DHCP_Options.html)

# Instancias de streaming de aplicaciones unidas a un dominio WorkSpaces
<a name="active-directory-prerequisites-streaming-instances"></a>

Se necesita una federación de usuarios basada en SAML 2.0 para la transmisión en streaming de aplicaciones desde las flotas de funcionamiento continuo y bajo demanda asociadas al dominio. No puede iniciar sesiones en instancias unidas a un dominio mediante la [CreateStreamingURL](https://docs.aws.amazon.com/appstream2/latest/APIReference/API_CreateStreamingURL.html) o el grupo de usuarios de WorkSpaces aplicaciones.

Además, debe utilizar una imagen que permita asociar constructores de imágenes y flotas a un dominio de Active Directory. Todas las imágenes públicas publicadas a partir del 24 de julio de 2017 incluido admiten la incorporación a un dominio de Active Directory. Para obtener más información, consulte [WorkSpaces Notas de la versión de la actualización de imágenes base e imágenes gestionadas de aplicaciones](base-image-version-history.md) y [Tutorial: Configuración de Active Directory](active-directory-directory-setup.md).

**nota**  
Puede unir instancias de streaming de flotas siempre activas y bajo demanda a un dominio de Active Directory. Los sistemas operativos compatibles incluyen Windows, Red Hat Enterprise Linux y Rocky Linux.

# Configuración de la política de grupo
<a name="active-directory-prerequisites-group-policy-settings"></a>

Compruebe la configuración de las siguientes opciones de política de grupo. Si es necesario, actualice la configuración tal como se describe en esta sección para que no impida que WorkSpaces las aplicaciones autentiquen e inicien sesión a los usuarios de su dominio. De lo contrario, cuando los usuarios intenten iniciar sesión en WorkSpaces las aplicaciones, es posible que el inicio de sesión no se realice correctamente. En su lugar, aparece un mensaje en el que se notifica a los usuarios que «se ha producido un error desconocido».
+ **Configuración del equipo > Plantillas administrativas > Componentes de Windows > Opciones de inicio de sesión de Windows > Deshabilitar o habilitar la secuencia de atención segura**: establezca en **Habilitado** para la opción **Servicios**.
+ **Configuración del equipo > Plantillas administrativas > Sistema > Inicio de sesión > Excluir proveedores de credenciales**: compruebe que el CLSID siguiente *no* figure en: `e7c1bab5-4b49-4e64-a966-8d99686f8c7c` y `f148bAed-5f7f-40c9-8D48-51e24e571825`
+ **Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies > Security Options > Interactive Logon > Interactive Logon: Message text for users attempting to log on**: establezca esta opción en **No definido**.
+ **Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies > Security Options > Interactive Logon > Interactive Logon: Message title for users attempting to log on**: establezca esta opción en **No definido**.
+ **Configuración del equipo > Políticas > Configuración de Windows > Configuración de seguridad > Políticas locales > Asignación de derechos de usuario > Permitir el inicio de sesión local**: **establézcalo como No definido** o añada el dominio user/group a esta lista.
+ **Configuración del equipo > Políticas > Configuración de Windows > Configuración de seguridad > Políticas locales > Asignación de derechos de usuario > Denegar inicio de sesión local ** — Establézcalo como **No definido** o asegúrese de que los usuarios/grupos del dominio no están incluidos en esta lista.

Si utiliza flotas de varias sesiones, también necesita la siguiente configuración de política de grupos, además de la configuración especificada anteriormente.
+ **Configuración del equipo > Políticas > Configuración de Windows > Configuración de seguridad > Políticas locales > Asignación de derechos de usuario > Permitir el inicio de sesión mediante los servicios de escritorio remoto**: **establézcalo como No definido** o añada el dominio user/group a esta lista.
+ **Configuración del equipo > Políticas > Configuración de Windows > Configuración de seguridad > Políticas locales > Asignación de derechos de usuario > Denegar el inicio de sesión mediante los servicios de escritorio remoto**: **establézcalo como No definido** o asegúrese de que el dominio no users/groups esté incluido en la lista.

# Autenticación con tarjeta inteligente
<a name="active-directory-prerequisites-smart-card-authentication"></a>

WorkSpaces Las aplicaciones admiten el uso de contraseñas de dominio de Active Directory o tarjetas inteligentes, como las tarjetas inteligentes [Common Access Card (CAC)](https://www.cac.mil/Common-Access-Card) y [Personal Identity Verification (PIV)](https://piv.idmanagement.gov/), para iniciar sesión con Windows en las instancias de streaming de WorkSpaces las aplicaciones. Para obtener información sobre cómo configurar el entorno de Active Directory para permitir el inicio de sesión con tarjetas inteligentes mediante entidades de certificación de terceros (CAs), consulte las [Directrices para habilitar el inicio de sesión con tarjetas inteligentes con entidades de certificación de terceros](https://docs.microsoft.com/en-us/troubleshoot/windows-server/windows-security/enabling-smart-card-logon-third-party-certification-authorities) en la documentación de Microsoft.

**nota**  
WorkSpaces Las aplicaciones también admiten el uso de tarjetas inteligentes para la autenticación durante la sesión después de que el usuario inicie sesión en una instancia de streaming. Esta función solo es compatible con los usuarios que tengan instalada la versión 1.1.257 o posterior del cliente de WorkSpaces aplicaciones para Windows. Para obtener información sobre los requisitos adicionales, consulte [Tarjetas inteligentes](feature-support-USB-devices-qualified.md#feature-support-USB-devices-qualified-smart-cards).

# Tutorial: Configuración de Active Directory
<a name="active-directory-directory-setup"></a>

Para usar Active Directory con WorkSpaces aplicaciones, primero debe registrar la configuración del directorio mediante la creación de un objeto Directory Config en WorkSpaces Aplicaciones. Este objeto incluye la información necesaria para unir instancias de streaming a un dominio de Active Directory. Puede crear un objeto de Directory Config mediante la consola de administración de WorkSpaces aplicaciones, el AWS SDK o AWS CLI. A continuación, puede utilizar la configuración del directorio para lanzar flotas de funcionamiento continuo y bajo demanda y constructores de imágenes asociados al dominio. 

**nota**  
Solo puede asociar instancias de streaming de flotas de funcionamiento continuo y bajo demanda a un dominio de Active Directory.

**Topics**
+ [Paso 1: creación de un objeto Directory Config](#active-directory-setup-config)
+ [Paso 2: creación de una imagen mediante un constructor de imágenes unido al dominio](#active-directory-setup-image-builder)
+ [Paso 3: creación de una flota incorporada en el dominio](#active-directory-setup-fleet)
+ [Paso 4: configuración de SAML 2.0](#active-directory-setup-saml)

## Paso 1: creación de un objeto Directory Config
<a name="active-directory-setup-config"></a>

El objeto Directory Config que cree en WorkSpaces Applications se utilizará en pasos posteriores.

Si usa el AWS SDK, puede usar la [CreateDirectoryConfig](https://docs.aws.amazon.com/appstream2/latest/APIReference/API_CreateDirectoryConfig.html)operación. Si está utilizando el AWS CLI, puede utilizar el [create-directory-config](https://docs.aws.amazon.com/cli/latest/reference/appstream/create-directory-config.html)comando.

**Para crear un objeto Directory Config mediante la consola de WorkSpaces aplicaciones**

1. Abra la consola de WorkSpaces aplicaciones en [https://console.aws.amazon.com/appstream2.](https://console.aws.amazon.com/appstream2)

1. En el panel de navegación, elija **Directory Configs**, **Create Directory Config** (Crear Directory Config).

1. En **Directory Name** (Nombre del directorio), proporcione el nombre de dominio completo (FQDN) del dominio de Active Directory (por ejemplo, `corp.example.com`). Cada región puede tener solo un valor **Directory Config** con un nombre de directorio específico.

1. En **Service Account Name** (Nombre de la cuenta de servicio), escriba el nombre de una cuenta que pueda crear objetos de equipo y tenga permisos para unirse al dominio. Para obtener más información, consulte [Concesión de permisos para crear y administrar objetos de equipo de Active Directory](active-directory-permissions.md). El nombre de cuenta debe tener el formato `DOMAIN\username`.

1. En **Password** (Contraseña) y **Confirm Password** (Confirmar contraseña), escriba la contraseña del directorio de la cuenta especificada.

1. En **Organizational Unit (OU)**, escriba el nombre distinguido de una OU como mínimo para los objetos del equipo de las instancias de streaming. 
**nota**  
El nombre de la unidad organizativa no puede contener espacios. Si especifica un nombre de unidad organizativa que contenga espacios, cuando una flota o un generador de imágenes intente volver a unirse al dominio de Active Directory, WorkSpaces las aplicaciones no podrán ciclar los objetos del equipo correctamente y la unión del dominio no se realizará correctamente. Para obtener información sobre cómo solucionar este problema, consulte el tema *DOMAIN\$1JOIN\$1INTERNAL\$1SERVICE\$1ERROR* para el mensaje “The account already exists” en [Unión al dominio de Active Directory](troubleshooting-notification-codes.md#troubleshooting-notification-codes-ad).  
Además, el contenedor de ordenadores predeterminado no es una unidad organizativa y las aplicaciones no pueden utilizarlo. WorkSpaces Para obtener más información, consulte [Obtención del nombre distinguido de la unidad organizativa](active-directory-oudn.md).

1. Para añadir más de una OU, seleccione el signo más (**\$1**) junto a **Organizational Unit (OU)**. Para eliminarlo OUs, elija el icono **x**.

1. Elija **Siguiente**.

1. Revise la información de configuración y luego seleccione **Create**.

## Paso 2: creación de una imagen mediante un constructor de imágenes unido al dominio
<a name="active-directory-setup-image-builder"></a>

A continuación, con el generador de imágenes de WorkSpaces aplicaciones, cree una nueva imagen con las funciones de unión a dominios de Active Directory. Tenga en cuenta que la flota y la imagen pueden pertenecer a dominios diferentes. Una el constructor de imágenes a un dominio para habilitar la unión a dominios e instalar aplicaciones. La incorporación de la flota al dominio se tratará en la sección siguiente.

**Para crear una imagen para lanzar flotas incorporadas a un dominio**

1. Siga los procedimientos indicados en [Tutorial: Crear una imagen de WorkSpaces aplicaciones personalizada mediante la consola de WorkSpaces aplicaciones](tutorial-image-builder.md).

1. Para el paso de selección de la imagen base, utilice una imagen AWS base publicada a partir del 24 de julio de 2017. Para ver una lista actualizada de AWS las imágenes publicadas, consulte[WorkSpaces Notas de la versión de la actualización de imágenes base e imágenes gestionadas de aplicaciones](base-image-version-history.md).

1. En el **Paso 3: configuración de la red**, seleccione una VPC y subredes que tengan conectividad de red con su entorno de Active Directory. Seleccione los grupos de seguridad configurados para permitir el acceso al directorio a través de las subredes de la VPC.

1. También en el **Paso 3: configuración de la red**, expanda la sección **Dominio de Active Directory (opcional)** y seleccione los valores de **Nombre del directorio** y **OU del directorio** a los que debe incorporarse el generador de imágenes.

1. Revise la configuración del constructor de imágenes y seleccione **Create**.

1. Espere a que el nuevo constructor de imágenes llegue al estado **Running** y elija **Connect**.

1. Inicie sesión en el constructor de imágenes como administrador o como usuario de directorio con permisos de administrador local. Para obtener más información, consulte [Concesión de derechos de administrador local para constructores de imágenes](active-directory-image-builder-local-admin.md).

1. Complete los pasos proporcionados en [Tutorial: Crear una imagen de WorkSpaces aplicaciones personalizada mediante la consola de WorkSpaces aplicaciones](tutorial-image-builder.md) para instalar las aplicaciones y crear una nueva imagen.

## Paso 3: creación de una flota incorporada en el dominio
<a name="active-directory-setup-fleet"></a>

Con la imagen privada creada en el paso anterior, cree una flota de funcionamiento continuo o bajo demanda asociada al dominio de Active Directory para las aplicaciones en streaming. Este dominio puede ser diferente del que se utilizó para que el constructor de imágenes creara la imagen.

**Para crear una flota de funcionamiento continuo o bajo demanda asociada a un dominio**

1. Siga los procedimientos indicados en [Cree una flota en Amazon WorkSpaces Applications](set-up-stacks-fleets-create.md).

1. Para el paso de selección de la imagen, utilice la imagen que se ha creado en el paso anterior, [Paso 2: creación de una imagen mediante un constructor de imágenes unido al dominio](#active-directory-setup-image-builder).

1. En el **Paso 4: configuración de la red**, seleccione una VPC y subredes que tengan conectividad de red con su entorno de Active Directory. Seleccione los grupos de seguridad que están configurados para permitir la comunicación con su dominio.

1. También en el **Paso 4: configuración de la red**, expanda la sección **Dominio de Active Directory (opcional)** y seleccione los valores de **Nombre del directorio** y **OU del directorio** a los que debe unirse la flota.

1. Revise la configuración de la flota y seleccione **Create**.

1. Complete los demás pasos proporcionados en [Cree una flota y una pila de WorkSpaces aplicaciones de Amazon](set-up-stacks-fleets.md) para que su flota se asocie a una pila y se ejecute.

## Paso 4: configuración de SAML 2.0
<a name="active-directory-setup-saml"></a>

Los usuarios deben utilizar el entorno de identidad federada basado en SAML 2.0 para lanzar sesiones de streaming desde la flota unida al dominio.

**Para configurar SAML 2.0 para un acceso de inicio de sesión único**

1. Siga los procedimientos indicados en [Configuración de SAML](external-identity-providers-setting-up-saml.md).

1. WorkSpaces Las aplicaciones requieren que el `NameID` valor SAML\$1Subject del usuario que inicia sesión se proporcione en uno de los siguientes formatos:
   + `domain\username`utilizando el nombre s AMAccount
   + `username@domain.com`utilizando el userPrincipalName

   Si utiliza el formato de AMAccount nombre s, puede especificarlo `domain` mediante el nombre NetBIOS o el nombre de dominio completo (FQDN).

1. Proporcione acceso a sus usuarios o grupos de Active Directory para permitir el acceso a la pila de WorkSpaces aplicaciones desde el portal de aplicaciones de su proveedor de identidades.

1. Complete los demás pasos proporcionados en [Configuración de SAML](external-identity-providers-setting-up-saml.md).

**Para hacer que un usuario inicie sesión con SAML 2.0**

1. Inicie sesión en el catálogo de aplicaciones de su proveedor de SAML 2.0 y abra la aplicación SAML de WorkSpaces aplicaciones que creó en el procedimiento anterior.

1. Cuando aparezca el catálogo de WorkSpaces aplicaciones, seleccione la aplicación que desee iniciar.

1. Cuando se muestre un icono de carga, el sistema le solicitará que proporcione una contraseña. El nombre de usuario del dominio proporcionado por el proveedor de identidad SAML 2.0 se muestra encima del campo de la contraseña. Escriba la contraseña y elija **log in** (Iniciar sesión).

La instancia de streaming realiza el procedimiento de inicio de sesión de Windows y se abre la aplicación seleccionada.

# Autenticación basada en certificados
<a name="certificate-based-authentication"></a>

Puede usar la autenticación basada en certificados con WorkSpaces las flotas de aplicaciones unidas a Microsoft Active Directory. Esto elimina la solicitud al usuario de la contraseña del dominio de Active Directory cuando el usuario inicia sesión. Al usar la autenticación basada en certificados con su dominio de Active Directory, puede:
+ Confiar en su proveedor de identidades SAML 2.0 para autenticar al usuario y proporcionar declaraciones de SAML que coincidan con las del usuario de Active Directory.
+ Crear una experiencia de inicio de sesión único con menos solicitudes al usuario.
+ Habilitar los flujos de autenticación sin contraseña con su proveedor de identidades SAML 2.0.

La autenticación basada en certificados utiliza los recursos de una autoridad de certificación AWS privada (CA AWS privada) en su. Cuenta de AWS Con la CA AWS privada, puede crear jerarquías de autoridades de certificación (CA) privadas, incluidas las de raíz y subordinada. CAs También puede crear su propia jerarquía de CA y emitir certificados desde ella que autentiquen a los usuarios internos. Para obtener más información, consulte [Qué es](https://docs.aws.amazon.com/privateca/latest/userguide/PcaWelcome.html). AWS Private CA

Cuando utiliza una CA AWS privada para la autenticación basada en certificados, WorkSpaces Applications solicita los certificados de sus usuarios automáticamente al reservar la sesión para cada instancia de la flota de WorkSpaces aplicaciones. Autentica a los usuarios en Active Directory con una tarjeta inteligente virtual proporcionada con los certificados.

La autenticación basada en certificados (CBA) se admite en WorkSpaces las flotas unidas a un dominio de Applications (flotas de sesión única o multisesión) que ejecutan instancias de Windows. Para habilitar la CBA en flotas con varias sesiones, debe usar una imagen de aplicaciones que utilice un agente de WorkSpaces aplicaciones publicado el 2 de julio de 2025 o después de esa fecha. WorkSpaces O bien, su imagen debe utilizar las actualizaciones de imagen de WorkSpaces las aplicaciones gestionadas publicadas el 2 de noviembre de 2025 o después de esa fecha. 

**Topics**
+ [Requisitos previos](certificate-based-authentication-prereq.md)
+ [Habilitación de la autenticación basada en certificados](certificate-based-authentication-enable.md)
+ [Administración de la autenticación basada en certificados](certificate-based-authentication-manage.md)
+ [Habilitación del uso compartido entre cuentas de una CA privada](pca-sharing.md)

# Requisitos previos
<a name="certificate-based-authentication-prereq"></a>

Realice los siguientes pasos antes de utilizar la autenticación basada en certificados.

1. Configure una flota asociada a un dominio y configure SAML 2.0. Asegúrese de utilizar el formato `username@domain.com``userPrincipalName` para el `NameID` de SAML\$1Subject. Para obtener más información, consulte [Paso 5: creación de aserciones para la respuesta de autenticación de SAML](external-identity-providers-setting-up-saml.md#external-identity-providers-create-assertions).
**nota**  
No habilite el **Inicio de sesión con tarjeta inteligente para Active Directory** en su pila si desea utilizar la autenticación basada en certificados. Para obtener más información, consulte [Tarjetas inteligentes](feature-support-USB-devices-qualified.md#feature-support-USB-devices-qualified-smart-cards). 

1. Utilice el agente de WorkSpaces aplicaciones con la versión 10-13-2022 o posterior con la imagen. Para obtener más información, consulte [Conserve la imagen de sus WorkSpaces aplicaciones de Amazon Up-to-Date](keep-image-updated.md).

1. Configurar el atributo `ObjectSid` en su declaración de SAML. Puede usar este atributo para realizar una asignación sólida con el usuario de Active Directory. La autenticación basada en certificados produce un error si el atributo `ObjectSid` no coincide con el identificador de seguridad (SID) de Active Directory del usuario especificado en el `NameID`de SAML\$1Subject. Para obtener más información, consulte [Paso 5: creación de aserciones para la respuesta de autenticación de SAML](external-identity-providers-setting-up-saml.md#external-identity-providers-create-assertions). El `ObjectSid` es obligatorio para la autenticación basada en certificados a partir del 10 de septiembre de 2025. Para obtener más información, consulte [KB5014754: Cambios en la autenticación basada en certificados en los controladores de dominio de Windows](https://support.microsoft.com/en-us/topic/kb5014754-certificate-based-authentication-changes-on-windows-domain-controllers-ad2c23b0-15d8-4340-a468-4d4f3b188f16).

1. Agregue el permiso `sts:TagSession` a la política de confianza de roles de IAM que utiliza con su configuración de SAML 2.0. Para obtener más información, consulte [Transferencia de etiquetas de sesión en AWS STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html.html). Este permiso es necesario para usar la autenticación basada en certificados. Para obtener más información, consulte [Paso 2: creación de un rol de IAM de federación de SAML 2.0](external-identity-providers-setting-up-saml.md#external-identity-providers-grantperms).

1. Cree una entidad de certificación (CA) AWS privada mediante una CA privada, si no tiene ninguna configurada con Active Directory. AWS Se requiere una CA privada para usar la autenticación basada en certificados. Para obtener más información, consulte [Planning your AWS Private CA deployment](https://docs.aws.amazon.com/privateca/latest/userguide/PcaPlanning.html). La siguiente configuración de CA AWS privada es común en muchos casos de uso de la autenticación basada en certificados:
   + **Opciones de tipo de CA**
     + **Modo de uso de CA con certificados de corta duración**: se recomienda si la CA solo emite certificados de usuario final para la autenticación basada en certificados.
     + **Jerarquía de un solo nivel con una CA raíz**: elija una CA subordinada para integrarla con una jerarquía de CA existente.
   + **Opciones de algoritmos de clave**: RSA 2048
   + **Opciones de nombre distintivo por asunto**: utilice las opciones más adecuadas para identificar esta CA en el almacén de entidades emisoras de certificados raíz de confianza de Active Directory.
   + **Opciones de revocación de certificados**: distribución de CRL
**nota**  
La autenticación basada en certificados requiere un punto de distribución de CRL en línea al que se pueda acceder desde la instancia de WorkSpaces Applications Fleet y desde el controlador de dominio. Esto requiere acceso no autenticado al bucket de Amazon S3 configurado para entradas de CRL de CA AWS privadas o a una CloudFront distribución con acceso al bucket de Amazon S3 si bloquea el acceso público. Para obtener más información sobre estas opciones, consulte [Planning a certificate revocation list (CRL)](https://docs.aws.amazon.com/privateca/latest/userguide/crl-planning.html).

1. Etiquete su CA privada con una clave que permita designar la CA `euc-private-ca` para su uso con la autenticación basada en certificados de WorkSpaces aplicaciones. Esta clave no requiere ningún valor. Para obtener más información, consulte [Managing tags for your private CA](https://docs.aws.amazon.com/privateca/latest/userguide/PcaCaTagging.html). Para obtener más información sobre las políticas AWS administradas que se utilizan con WorkSpaces las aplicaciones para conceder permisos a los recursos de su empresa Cuenta de AWS, consulte. [AWS Se requieren políticas administradas para acceder a los recursos de WorkSpaces las aplicaciones](managed-policies-required-to-access-appstream-resources.md)

1. La autenticación basada en certificados utiliza tarjetas inteligentes virtuales para iniciar sesión. Para obtener más información, consulte [Guidelines for enabling smart card logon with third-party certification authorities](https://learn.microsoft.com/en-us/troubleshoot/windows-server/windows-security/enabling-smart-card-logon-third-party-certification-authorities). Siga estos pasos:

   1. Configure los controladores de dominio con un certificado de controlador de dominio para autenticar a los usuarios de tarjetas inteligentes. Si tiene una CA empresarial de Servicios de certificados de Active Directory configurada en su Active Directory, inscribirá automáticamente los controladores de dominio con certificados que permiten el inicio de sesión con tarjeta inteligente. Si no dispone de los servicios de certificados de Active Directory, consulte [Requisitos para los certificados de controlador de dominio de una entidad emisora de certificados de terceros](https://learn.microsoft.com/en-US/troubleshoot/windows-server/windows-security/requirements-domain-controller). AWS recomienda a las autoridades certificadoras empresariales de Active Directory que administren automáticamente la inscripción de los certificados de controladores de dominio.
**nota**  
Si utiliza Microsoft AD AWS administrado, puede configurar los servicios de certificación en una instancia de Amazon EC2 que cumpla los requisitos de los certificados de controlador de dominio. Consulte [Implementación de Active Directory en una nueva Amazon Virtual Private Cloud](https://docs.aws.amazon.com/launchwizard/latest/userguide/launch-wizard-ad-deploying-new-vpc.html) para ver, por ejemplo, las implementaciones de Microsoft AD AWS gestionado configuradas con Active Directory Certificate Services.  
Con los servicios de certificados AWS gestionados de Microsoft AD y Active Directory, también debe crear reglas de salida desde el grupo de seguridad de VPC del controlador hasta la instancia de Amazon EC2 que ejecuta Certificate Services. El grupo de seguridad debe tener acceso al puerto 135 de TCP y a los puertos 49152 a 65535 para habilitar la inscripción automática de certificados. La instancia de Amazon EC2 también debe permitir el acceso entrante a estos mismos puertos desde las instancias de dominio, incluidos los controladores de dominio. Para obtener más información sobre la ubicación del grupo de seguridad de Microsoft AD AWS administrado, consulte [Configurar las subredes y grupos de seguridad de la VPC](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_tutorial_setup_trust_prepare_mad.html#tutorial_setup_trust_open_vpc).

   1. En la consola de CA AWS privada, o con el SDK o la CLI, exporte el certificado de CA privada. Para obtener más información, consulte [Exportación de un certificado privado](https://docs.aws.amazon.com/acm/latest/userguide/export-private.html).

   1. Publique la CA privada en Active Directory. Inicie sesión en un controlador de dominio o en una máquina asociada a un dominio. Copie el certificado de CA privado en cualquiera `<path>\<file>` y ejecute los siguientes comandos como administrador de dominio. También puede usar la política de grupo y la herramienta Microsoft PKI Health Tool (PKIView) para publicar la CA. Para obtener más información, consulte [Configuration instructions](https://learn.microsoft.com/en-us/troubleshoot/windows-server/windows-security/enabling-smart-card-logon-third-party-certification-authorities#configuration-instructions).

      ```
      certutil -dspublish -f <path>\<file> RootCA
      ```

      ```
      certutil -dspublish -f <path>\<file> NTAuthCA
      ```

      Asegúrese de que los comandos se completen correctamente y, a continuación, elimine el archivo de certificado de CA privada. Según la configuración de replicación de Active Directory, la CA puede tardar varios minutos en publicar en los controladores de dominio y en las instancias de la flota de WorkSpaces aplicaciones.
**nota**  
Active Directory debe distribuir la CA a las autoridades de certificación raíz de confianza y Enterprise NTAuth almacena automáticamente las instancias de la flota de WorkSpaces aplicaciones cuando se unen al dominio.

En los sistemas operativos Windows, la distribución de la CA (autoridad de certificación) se realiza automáticamente. Sin embargo, para Rocky Linux y Red Hat Enterprise Linux, debe descargar los certificados de CA raíz de la CA utilizada por WorkSpaces Applications Directory Config. Si sus certificados de CA raíz de KDC son diferentes, también debe descargarlos. Antes de utilizar la autenticación basada en certificados, es necesario importar estos certificados a una imagen o instantánea.

En la imagen, debe haber un archivo llamado /`etc/sssd/pki/sssd_auth_ca_db.pem`. Debe parecerse a lo siguiente:

```
-----BEGIN CERTIFICATE-----
Base64-encoded certificate chain from ACM Private CA 
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Base64-encoded certificate body from ACM private CA
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Base64-encoded root CA KDC certificate chain
-----END CERTIFICATE-----
```

**nota**  
Al copiar una imagen entre regiones o cuentas, o al volver a asociar una imagen a un nuevo Active Directory, será necesario volver a configurar este archivo con los certificados correspondientes en un generador de imágenes y volver a capturarlo antes de usarlo.

A continuación se indican las instrucciones para descargar los certificados de CA raíz:

1. En el generador de imágenes, cree un archivo con el nombre `/etc/sssd/pki/sssd_auth_ca_db.pem`.

1. Abra la [consola de AWS Private CA](https://console.aws.amazon.com/acm-pca/).

1. Elija el certificado privado que se utiliza con la configuración del directorio de WorkSpaces aplicaciones.

1. Seleccione la pestaña **Certificados de CA**.

1. Copie la cadena de certificados y el cuerpo del certificado a `/etc/sssd/pki/sssd_auth_ca_db.pem` en el generador de imágenes.

Si los certificados de CA raíz que utiliza KDCs son diferentes del certificado de CA raíz que utiliza su WorkSpaces Applications Directory Config, siga estos pasos de ejemplo para descargarlos:

1. Conéctese a una instancia de Windows unida al mismo dominio que su generador de imágenes.

1. Abra `certlm.msc`.

1. En el panel izquierdo, seleccione **Entidades de certificación raíz de confianza** y, a continuación, seleccione **Certificados**.

1. Para cada certificado de CA raíz, abra el menú contextual (clic con el botón secundario).

1. Seleccione **Todas las tareas**, seleccione **Exportar** para abrir el asistente de exportación de certificados y, a continuación, seleccione **Siguiente**.

1. Elija **X.509 codificado en base64 (.CER)** y seleccione **Siguiente**.

1. Seleccione **Examinar**, introduzca un nombre de archivo y seleccione **Siguiente**.

1. Seleccione **Finalizar**.

1. Abra el certificado exportado en un editor de texto.

1. Copie el contenido del archivo a `/etc/sssd/pki/sssd_auth_ca_db.pem` en el generador de imágenes.

# Habilitación de la autenticación basada en certificados
<a name="certificate-based-authentication-enable"></a>

Realice los siguientes pasos antes de habilitar la autenticación basada en certificados.

**Para habilitar la autenticación basada en certificados**

1. Abra la consola de WorkSpaces aplicaciones en [https://console.aws.amazon.com/appstream2.](https://console.aws.amazon.com/appstream2)

1. En el panel de navegación, elija **Config de directorios**. Seleccione la configuración de directorio que desee configurar y elija **Editar**.

1. Elija **Habilitar la autenticación basada en certificados.**

1. Confirme que su ARN de CA privada esté asociado a la lista. Para que aparezca en la lista, debe almacenar la CA privada en el mismo espacio. Cuenta de AWS Región de AWS También debe etiquetar la CA privada con una clave denominada `euc-private-ca`.

1. Configure el registro del directorio como alternativa. La opción de alternativa permite a los usuarios iniciar sesión con la contraseña de dominio de AD si la autenticación basada en certificados no se realiza correctamente. Esto solo se recomienda en los casos en que los usuarios conozcan las contraseñas de sus dominios. Cuando la opción de alternativa está desactivada, una sesión puede desconectar al usuario si se produce una pantalla de bloqueo o si se cierra sesión en Windows. Si la opción de alternativa está activada, la sesión solicita al usuario su contraseña de dominio de AD.

1. Elija **Save changes (Guardar cambios)**.

1. Ya está habilitada la autenticación basada en certificados. Cuando los usuarios se autentiquen con SAML 2.0 en una pila de WorkSpaces aplicaciones mediante la flota unida a un dominio desde el cliente web de WorkSpaces Applications o el cliente para Windows (versión 1.1.1099 y posteriores), dejarán de recibir la solicitud de la contraseña del dominio. Los usuarios verán un mensaje que indica que se está realizando la conexión con autenticación basada en certificados al conectarse a una sesión habilitada para la autenticación basada en certificados.

# Administración de la autenticación basada en certificados
<a name="certificate-based-authentication-manage"></a>

Tras habilitar la autenticación basada en certificados, revise las siguientes tareas.

**Topics**
+ [Certificado de CA privada](certificate-based-authentication-manage-CA.md)
+ [Certificados de usuario final](certificate-based-authentication-manage-certs.md)
+ [Informes de auditoría](certificate-based-authentication-manage-audit.md)
+ [Registro y supervisión](certificate-based-authentication-manage-logging.md)

# Certificado de CA privada
<a name="certificate-based-authentication-manage-CA"></a>

En una configuración típica, el certificado de CA privada tiene un período de validez de 10 años. Para obtener más información sobre cómo reemplazar una CA privada con un certificado vencido o cómo volver a emitir la CA privada con un nuevo período de validez, consulte [Managing the private CA lifecycle](https://docs.aws.amazon.com/privateca/latest/userguide/ca-lifecycle.html). 

# Certificados de usuario final
<a name="certificate-based-authentication-manage-certs"></a>

Los certificados de usuario final emitidos por AWS Private CA for WorkSpaces Applications para la autenticación basada en certificados no requieren renovación ni revocación. Estos certificados son de corta duración. WorkSpaces Las aplicaciones emiten automáticamente un nuevo certificado para cada nueva sesión o cada 24 horas para las sesiones de larga duración. La sesión de WorkSpaces aplicaciones regula el uso de estos certificados de usuario final. Si finaliza una sesión, WorkSpaces las aplicaciones dejan de usar ese certificado. Estos certificados de usuario final tienen un período de validez más corto que una distribución CRL de CA AWS privada típica. Como resultado, no es necesario revocar los certificados de usuario final y no aparecerán en una CRL. 

# Informes de auditoría
<a name="certificate-based-authentication-manage-audit"></a>

Puede crear un informe de auditoría para mostrar todos los certificados que la CA privada ha emitido o revocado. Para obtener más información, consulte [Using audit reports with your private CA](https://docs.aws.amazon.com/privateca/latest/userguide/PcaAuditReport.html).

# Registro y supervisión
<a name="certificate-based-authentication-manage-logging"></a>

Puede utilizarlos CloudTrail para grabar las llamadas a la API a una CA privada por parte de WorkSpaces las aplicaciones. Para obtener más información, consulte [¿Qué es AWS CloudTrail?](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) y [uso CloudTrail](https://docs.aws.amazon.com/privateca/latest/userguide/PcaCtIntro.html). En el historial de CloudTrail eventos, puede ver los nombres de **GetCertificate**los **IssueCertificate**eventos de la fuente de eventos **acm-pca.amazonaws.com** creados con el nombre de usuario de la aplicación. WorkSpaces **EcmAssumeRoleSession** Estos eventos se registrarán para cada solicitud de autenticación basada en un certificado de la aplicación. WorkSpaces Para obtener más información, consulte [Visualización de eventos con el historial de CloudTrail eventos](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).

# Habilitación del uso compartido entre cuentas de una CA privada
<a name="pca-sharing"></a>

El uso compartido entre cuentas de una CA privada (PCA) ofrece la posibilidad de conceder permisos para que otras cuentas usen una CA centralizada. La CA puede generar y emitir certificados mediante [AWS Resource Access Manager](https://aws.amazon.com/ram/) (RAM) para administrar los permisos. Esto elimina la necesidad de una CA privada en cada cuenta. El uso compartido entre cuentas privadas de CA se puede utilizar con la autenticación basada en certificados (CBA) de WorkSpaces las aplicaciones dentro de la misma. Región de AWS

Para utilizar un recurso de CA privada compartido con la CBA de WorkSpaces aplicaciones, siga estos pasos:

1. Configure la CA privada para la CBA de forma centralizada. Cuenta de AWS Para obtener más información, consulte [Autenticación basada en certificados](certificate-based-authentication.md).

1. Comparta la CA privada con el recurso Cuentas de AWS donde los recursos de WorkSpaces las aplicaciones utilizan la CBA. Para ello, siga los pasos que se indican en [Cómo usar la RAM de AWS para compartir su cuenta cruzada de CA privada de AWS](https://aws.amazon.com/blogs/security/how-to-use-aws-ram-to-share-your-acm-private-ca-cross-account/). No necesita completar el paso 3 para crear un certificado. Puede compartir la CA privada con una persona Cuentas de AWS o compartirla a través AWS Organizations de ella. Si compartes con cuentas individuales, debes aceptar la CA privada compartida en tu cuenta de recursos mediante la AWS Resource Access Manager consola o APIs. 

   Al configurar el recurso compartido, confirme que el AWS Resource Access Manager recurso compartido de la CA privada de la cuenta de recursos utiliza la plantilla de permisos `AWSRAMBlankEndEntityCertificateAPICSRPassthroughIssuanceCertificateAuthority` gestionados. Esta plantilla se alinea con la plantilla de PCA que utiliza el rol de servicio de WorkSpaces aplicaciones al emitir los certificados CBA.

1. Una vez que el recurso se haya compartido correctamente, podrá ver la CA privada compartida mediante la consola de Private CA en la cuenta de recursos.

1. Utilice la API o la CLI para asociar el ARN de CA privado con el CBA en la configuración del WorkSpaces directorio de aplicaciones. En este momento, la consola de WorkSpaces aplicaciones no admite la selección de una CA privada compartida. ARNs A continuación se muestran ejemplos de comandos de la CLI.

   `aws appstream update-directory-config --directory-name <value> --certificate-based-auth-properties Status=<value>,CertificateAuthorityArn=<value>` 

# WorkSpaces Aplicaciones: Administración de Active Directory
<a name="active-directory-admin"></a>

La configuración y el uso de Active Directory con WorkSpaces aplicaciones implican las siguientes tareas administrativas.

**Topics**
+ [Concesión de permisos para crear y administrar objetos de equipo de Active Directory](active-directory-permissions.md)
+ [Obtención del nombre distinguido de la unidad organizativa](active-directory-oudn.md)
+ [Concesión de derechos de administrador local para constructores de imágenes](active-directory-image-builder-local-admin.md)
+ [Actualización de la cuenta de servicio utilizada para incorporarse al dominio](active-directory-service-acct.md)
+ [Bloqueo de la sesión en streaming cuando el usuario está inactivo](active-directory-session-lock.md)
+ [Edición de la configuración de directorio](active-directory-config-edit.md)
+ [Eliminación de la configuración de un directorio](active-directory-config-delete.md)
+ [Configuración de WorkSpaces aplicaciones para usar confianzas de dominio](active-directory-domain-trusts.md)
+ [Administración de WorkSpaces aplicaciones y objetos informáticos en Active Directory](active-directory-identify-objects.md)

# Concesión de permisos para crear y administrar objetos de equipo de Active Directory
<a name="active-directory-permissions"></a>

Para permitir que WorkSpaces las aplicaciones realicen operaciones con objetos informáticos de Active Directory, necesita una cuenta con permisos suficientes. Como práctica recomendada, use una cuenta que tenga solo los privilegios mínimos necesarios. Los permisos mínimos de la unidad organizativa (OU) de Active Directory son los siguientes:
+ Crear objeto equipo
+ Cambio de contraseña
+ Restablecer contraseña
+ Escribir descripción

Antes de configurar los permisos, primero tendrá que hacer lo siguiente:
+ Obtener acceso a una instancia EC2 o un equipo que esté unido al dominio.
+ Instalar el complemento MMC Usuarios y equipos de Active Directory. Para obtener más información, consulte [Installing or Removing Remote Server Administration Tools for Windows 7](https://technet.microsoft.com/en-us/library/ee449483.aspx) en la documentación de Microsoft.
+ Inicie sesión como usuario de dominio con los permisos adecuados para modificar la configuración de seguridad de la OU.
+ Cree o identifique al usuario, la cuenta de servicio o el grupo al que se delegarán permisos.

**Para configurar permisos mínimos**

1. Abra **Active Directory Users and Computers** (Usuarios y equipos de Active Directory) en el dominio o en el controlador de dominio.

1. En el panel de navegación de la izquierda, seleccione la primera OU para la que se proporcionarán privilegios de unión al dominio, abra el menú contextual (haga clic con el botón derecho) y, a continuación, elija **Delegate Control** (Delegar control).

1. En la página **Delegation of Control Wizard**, elija **Next**, **Add**.

1. En **Seleccionar usuarios, equipos o grupos**, seleccione el usuario, la cuenta de servicio o el grupo previamente creados y, a continuación, elija **Aceptar**.

1. En la página **Tareas que se delegarán**, elija **Crear una tarea personalizada para delegar** y luego elija **Siguiente**.

1. Elija **Only the following objects in the folder**, **Computer objects**.

1. Elija **Create selected objects in this folder**, **Next**.

1. En **Permissions**, elija **Read**, **Write**, **Change Password**, **Reset Password**, **Next**.

1. En la página **Completing the Delegation of Control Wizard**, verifique la información y elija **Finish**.

1. Repita los pasos 2 a 9 para cualquier otra persona OUs que requiera estos permisos.

Si ha delegado permisos en un grupo, cree una cuenta de usuario o de servicio con una contraseña segura y añada dicha cuenta al grupo. Esta cuenta tendrá privilegios suficientes para conectar sus instancias en streaming al directorio. Utilice esta cuenta al crear la configuración del directorio de WorkSpaces aplicaciones.

# Obtención del nombre distinguido de la unidad organizativa
<a name="active-directory-oudn"></a>

Al registrar su dominio de Active Directory en WorkSpaces Applications, debe proporcionar un nombre distintivo de la unidad organizativa (OU). Cree una OU con este fin. El contenedor de ordenadores predeterminado no es una unidad organizativa y WorkSpaces las aplicaciones no lo pueden utilizar. En el siguiente procedimiento se muestra cómo obtener este nombre.

**nota**  
El nombre distinguido debe comenzar con **OU=** o no podrá usarse para objetos de equipo.

Antes de realizar este procedimiento, deberá hacer lo siguiente:
+ Obtener acceso a una instancia EC2 o un equipo que esté unido al dominio.
+ Instalar el complemento MMC Usuarios y equipos de Active Directory. Para obtener más información, consulte [Installing or Removing Remote Server Administration Tools for Windows 7](https://technet.microsoft.com/en-us/library/ee449483.aspx) en la documentación de Microsoft.
+ Inicie sesión como usuario de dominio con los permisos adecuados para leer las propiedades de seguridad de la OU.

**Para buscar el nombre distinguido de una OU**

1. Abra **Active Directory Users and Computers** (Usuarios y equipos de Active Directory) en el dominio o en el controlador de dominio.

1. En **View**, asegúrese de que la opción **Advanced Features** esté habilitada.

1. En el panel de navegación izquierdo, seleccione la primera unidad organizativa que se utilizará para la transmisión de WorkSpaces aplicaciones de instancias de objetos informáticos, abra el menú contextual (haga clic con el botón derecho) y, a continuación, elija **Propiedades**.

1. Elija **Attribute Editor**.

1. En **Attributes**, para **distinguishedName**, elija **View**.

1. En **Value** (Valor), seleccione el nombre distinguido, abra el menú contextual y elija **Copy** (Copiar).

# Concesión de derechos de administrador local para constructores de imágenes
<a name="active-directory-image-builder-local-admin"></a>

De forma predeterminada, los usuarios de dominio de Active Directory no tienen derechos de administrador local para las instancias del constructor de imágenes. Puede conceder estos derechos utilizando las preferencias de la política de grupo del directorio, o manualmente mediante la cuenta de administrador local de un constructor de imágenes. La concesión de derechos de administrador local a un usuario del dominio le permite instalar aplicaciones y crear imágenes en un generador de imágenes de WorkSpaces aplicaciones.

**Topics**
+ [Uso de las preferencias de la política de grupo](group-policy.md)
+ [Uso del grupo de administradores locales en el constructor de imágenes](manual-procedure.md)

# Uso de las preferencias de la política de grupo
<a name="group-policy"></a>

Puede utilizar las preferencias de la política de grupo para conceder derechos de administrador local a usuarios o grupos de Active Directory y a todos los objetos de equipo de la OU especificada. Los usuarios o grupos de Active Directory a los que desea conceder permisos de administrador local deben existir previamente. Para utilizar las preferencias de la política de grupo, primero tendrá que hacer lo siguiente:
+ Obtener acceso a una instancia EC2 o un equipo que esté unido al dominio.
+ Instale el complemento MMC de la consola de administración de políticas de grupo (GPMC). Para obtener más información, consulte [Installing or Removing Remote Server Administration Tools for Windows 7](https://technet.microsoft.com/en-us/library/ee449483.aspx) en la documentación de Microsoft.
+ Inicie sesión como usuario de dominio con permisos para crear objetos de política de grupo (GPOs). Enlace GPOs al correspondiente OUs.

**Para utilizar las preferencias de la política de grupo para conceder permisos de administrador local**

1. En el directorio o en un controlador de dominio, abra el símbolo del sistema como administrador, escriba `gpmc.msc` y, a continuación, pulse INTRO.

1. En el árbol de la consola de la izquierda, seleccione la OU donde creará el nuevo GPO o usará uno ya existente y, a continuación, realice una de las operaciones siguientes: 
   + Cree un nuevo GPO; para ello, abra el menú contextual (haga clic con el botón derecho) y elija **Create a GPO in this domain and link it here** (Crear un GPO en este dominio y vincularlo aquí). En **Name**, proporcione un nombre descriptivo para este GPO.
   + Seleccione un GPO existente.

1. Abra el menú contextual del GPO y elija **Edit** (Editar).

1. En el árbol de la consola, elija **Computer Configuration** (Configuración del equipo), **Preferences** (Preferencias), **Windows Settings** (Configuración de Windows), **Control Panel Settings** (Configuración del panel de control) y **Local Users and Groups** (Usuarios y grupos locales).

1. Seleccione **Local Users and Groups** (Usuarios y grupos locales), abra el menú contextual y elija **New** (Nuevo), **Local Group** (Grupo local).

1. En **Action**, elija **Update**.

1. En **Group name**, elija **Administrators (built-in)**.

1. En **Miembro**, elija **Agregar...** y especifique los usuario o grupos de Active Directory a los que se asignarán derechos de administrador local en la instancia en streaming. En **Action**, seleccione **Add to this group** y, a continuación, **OK**.

1. Para aplicar este GPO a otro OUs, seleccione la OU adicional, abra el menú contextual y elija **Vincular un GPO existente**.

1. Desplácese para encontrar el nombre del GPO nuevo o ya existente especificado en el paso 2 y, a continuación, elija **OK** (Aceptar). 

1. Repita los pasos 9 y 10 para ver otros OUs que deban tener esta preferencia.

1. Elija **OK** (Aceptar) para cerrar el cuadro de diálogo **New Local Group Properties** (Propiedades de nuevo grupo local).

1. Elija **OK** (Aceptar) de nuevo para cerrar la GPMC.

Para aplicar la nueva preferencia al GPO, detenga y reinicie los constructores de imágenes o las flotas en ejecución. Los usuarios y grupos de Active Directory que ha especificado en el paso 8 obtienen automáticamente derechos de administrador local para los constructores de imágenes y las flotas de la OU a la que está vinculado el GPO.

# Uso del grupo de administradores locales en el constructor de imágenes
<a name="manual-procedure"></a>

Si desea conceder a los usuarios o grupos de Active Directory derechos de administrador local para el constructor de imágenes, puede añadir manualmente estos usuarios o grupos al grupo de administradores locales del constructor de imágenes. Los constructores de imágenes que se crean a partir de imágenes con estos derechos mantienen los mismos derechos. 

Los usuarios o grupos de Active Directory a los que se conceden derechos de administrador local deben existir ya.

**Para añadir usuarios o grupos de Active Directory al grupo de administradores locales del constructor de imágenes**

1. Abra la consola de WorkSpaces aplicaciones en [https://console.aws.amazon.com/appstream2.](https://console.aws.amazon.com/appstream2)

1. Conéctese al constructor de imágenes en modo Administrador. El constructor de imágenes tiene que estar ejecutándose y unido al dominio. Para obtener más información, consulte [Tutorial: Configuración de Active Directory](active-directory-directory-setup.md).

1. Elija **Start** (Inicio), **Administrative Tools** (Herramientas administrativas) y, a continuación, haga doble clic en **Computer Management** (Administración de equipos).

1. En el panel de navegación izquierdo, seleccione **Local Users and Groups** y abra la carpeta **Groups**.

1. Abra el grupo **Administrators** y seleccione **Add...**.

1. Seleccione todos los usuarios o grupos de Active Directory a los que se asignarán derechos de administrador local y elija **OK**. Elija **OK** (Aceptar) de nuevo para cerrar el cuadro de diálogo **Administrator Properties** (Propiedades de Administradores).

1. Cierre la utilidad Administración de equipos.

1. Para iniciar sesión como usuario de Active Directory y comprobar si ese usuario dispone de derechos de administrador local para el constructor de imágenes, elija **Admin Commands** (Comandos de administración), **Switch user** (Cambiar de usuario) y, a continuación, escriba las credenciales del usuario en cuestión.

# Actualización de la cuenta de servicio utilizada para incorporarse al dominio
<a name="active-directory-service-acct"></a>

Para actualizar la cuenta de servicio que WorkSpaces Applications usa para unirse al dominio, le recomendamos usar dos cuentas de servicio independientes para unir los generadores de imágenes y las flotas a su dominio de Active Directory. Utilice dos cuentas de servicio independientes para asegurarse de que el servicio no se interrumpa cuando una cuenta de servicio necesite actualizarse (por ejemplo, cuando venza una contraseña). 

**Para actualizar una cuenta de servicio**

1. Cree un grupo de Active Directory y delegue los permisos adecuados al grupo.

1. Añada sus cuentas de servicio al nuevo grupo de Active Directory.

1. Cuando sea necesario, edite el objeto WorkSpaces Applications Directory Config introduciendo las credenciales de inicio de sesión de la nueva cuenta de servicio.

Después de haber configurado el grupo de Active Directory con la nueva cuenta de servicio, todas las operaciones de instancias de streaming nuevas utilizarán la cuenta de servicio nueva, mientras que las operaciones de instancias de streaming en curso seguirán utilizando la cuenta anterior sin interrupción. 

El tiempo de solapamiento de la cuenta de servicio mientras se completan las operaciones de instancias de streaming en curso es muy corto; no dura más de un día. El tiempo de solapamiento es necesario, ya que no se debe eliminar ni cambiar la contraseña de la antigua cuenta de servicio durante el período de solapamiento; de lo contrario, las operaciones en curso pueden resultar erróneas.

# Bloqueo de la sesión en streaming cuando el usuario está inactivo
<a name="active-directory-session-lock"></a>

WorkSpaces Las aplicaciones se basan en una configuración que se configura en la GPMC para bloquear la sesión de streaming después de que el usuario esté inactivo durante un período de tiempo específico. Para utilizar la GPMC, primero tendrá que hacer lo siguiente:
+ Obtener acceso a una instancia EC2 o un equipo que esté unido al dominio.
+ Instalar la GPMC. Para obtener más información, consulte [Installing or Removing Remote Server Administration Tools for Windows 7](https://technet.microsoft.com/en-us/library/ee449483.aspx) en la documentación de Microsoft.
+ Inicie sesión como usuario del dominio con permisos de creación GPOs. Enlace GPOs al enlace correspondiente OUs.

**Para bloquear automáticamente la instancia de streaming cuando el usuario está inactivo**

1. En el directorio o en un controlador de dominio, abra el símbolo del sistema como administrador, escriba `gpmc.msc` y, a continuación, pulse INTRO.

1. En el árbol de la consola de la izquierda, seleccione la OU donde creará el nuevo GPO o usará uno ya existente y, a continuación, realice una de las operaciones siguientes: 
   + Cree un nuevo GPO; para ello, abra el menú contextual (haga clic con el botón derecho) y elija **Create a GPO in this domain and link it here** (Crear un GPO en este dominio y vincularlo aquí). En **Name**, proporcione un nombre descriptivo para este GPO.
   + Seleccione un GPO existente.

1. Abra el menú contextual del GPO y elija **Edit** (Editar). 

1. En **User Configuration** (Configuración de usuario), expanda **Policies** (Políticas), **Administrative Templates** (Plantillas administrativas), **Control Panel** (Panel de control) y, a continuación, elija **Personalization** (Personalización). 

1. Haga doble clic en **Enable screen saver** (Habilitar protector de pantalla).

1. En la opción de política **Enable screen saver** (Habilitar protector de pantalla), elija **Enabled** (Habilitado).

1. Seleccione **Aplicar** y, después, **Aceptar**.

1. Haga doble clic en **Force specific screen saver** (Aplicar un protector de pantalla específico). 

1. En la opción de política **Force specific screen saver** (Aplicar un protector de pantalla específico), elija **Enabled** (Habilitado).

1. En **Screen saver executable name (Nombre del ejecutable del protector de pantalla)**, escriba **scrnsave.scr**. Cuando esta opción está habilitada, el sistema muestra un protector de pantalla negro en el escritorio del usuario.

1. Seleccione **Aplicar** y, después, **Aceptar**.

1. Haga doble clic en **Password protect the screen saver** (Proteger el protector de pantalla mediante contraseña).

1. En la opción de política **Password protect the screen saver** (Proteger el protector de pantalla mediante contraseña), elija **Enabled** (Habilitado).

1. Seleccione **Aplicar** y, después, **Aceptar**.

1. Haga doble clic en **Screen saver timeout** (Tiempo de espera del protector de pantalla).

1. En la opción de política **Screen saver timeout** (Tiempo de espera del protector de pantalla), elija **Enabled** (Habilitado).

1. En **Seconds** (Segundos), especifique el tiempo que los usuarios deben estar inactivos antes de que se aplique el protector de pantalla. Para establecer el tiempo de inactividad en 10 minutos, especifique 600 segundos.

1. Seleccione **Aplicar** y, después, **Aceptar**.

1. En el árbol de la consola, en **User Configuration** (Configuración de usuario), expanda **Policies** (Políticas), **Administrative Templates** (Plantillas administrativas), **System** (Sistema) y, a continuación, elija **Ctrl\$1Alt\$1Del Options** (Opciones de Ctrl\$1Alt\$1Supr). 

1. Haga doble clic en **Remove Lock Computer** (Quitar el bloqueo de equipos).

1. En la opción de política **Remove Lock Computer** (Quitar el bloqueo de equipos), elija **Disabled** (Deshabilitado).

1. Seleccione **Aplicar** y, después, **Aceptar**.

# Edición de la configuración de directorio
<a name="active-directory-config-edit"></a>

Una vez creada la configuración del directorio de WorkSpaces aplicaciones, puedes editarla para añadir, eliminar o modificar unidades organizativas, actualizar el nombre de usuario de la cuenta de servicio o actualizar la contraseña de la cuenta de servicio. 

**Para actualizar una configuración de directorio**

1. Abra la consola de WorkSpaces aplicaciones en [https://console.aws.amazon.com/appstream2.](https://console.aws.amazon.com/appstream2)

1. En el panel de navegación izquierdo, seleccione **Directory Configs** y seleccione la configuración del directorio que quiera editar.

1. Seleccione **Acciones**, **Editar**.

1. Actualice los campos que desee cambiar. Para añadir más OUs, seleccione el signo más (**\$1**) situado junto al campo OU situado en la parte superior. Para eliminar un campo de OU, seleccione la **x** situada junto al campo.
**nota**  
Se requiere al menos una unidad organizativa. OUs que están actualmente en uso no se pueden eliminar.

1. Para guardar los cambios, seleccione **Update Directory Config**.

1. La información de la pestaña **Details** deberá actualizarse ahora para reflejar los cambios.

Los cambios en las credenciales de inicio de sesión de la cuenta de servicio no influyen en las operaciones de instancias de streaming en curso. Las operaciones de instancias de streaming nuevas utilizan las credenciales actualizadas. Para obtener más información, consulte [Actualización de la cuenta de servicio utilizada para incorporarse al dominio](active-directory-service-acct.md).

# Eliminación de la configuración de un directorio
<a name="active-directory-config-delete"></a>

Puede eliminar una configuración del directorio de WorkSpaces aplicaciones que ya no sea necesaria. Las configuraciones de directorio que están asociadas a constructores de imágenes o flotas no se pueden eliminar.

**Para eliminar una configuración de directorio**

1. Abra la consola de WorkSpaces aplicaciones en [https://console.aws.amazon.com/appstream2.](https://console.aws.amazon.com/appstream2)

1. En el panel de navegación izquierdo, seleccione **Directory Configs** y seleccione la configuración del directorio que quiera eliminar.

1. Elija **Acciones**, **Eliminar**.

1. Verifique el nombre en el mensaje emergente y seleccione **Delete**.

1. Elija **Update Directory Config**.

# Configuración de WorkSpaces aplicaciones para usar confianzas de dominio
<a name="active-directory-domain-trusts"></a>

WorkSpaces Las aplicaciones son compatibles con los entornos de dominio de Active Directory, en los que los recursos de red, como servidores de archivos, aplicaciones y objetos informáticos, residen en un dominio y los objetos de usuario residen en otro. No es necesario que la cuenta de servicio de dominio utilizada para las operaciones de objetos informáticos esté en el mismo dominio que los objetos informáticos de WorkSpaces las Aplicaciones. 

Cuando cree la configuración del directorio, especifique una cuenta de servicio con los permisos pertinentes para administrar objetos de equipo en el dominio de Active Directory donde se encuentran los servidores de archivos, las aplicaciones, los objetos de equipo y otros recursos de red.

Las cuentas de Active Directory de usuario final deben tener los permisos "Allowed to Authenticate" para los elementos siguientes:
+ WorkSpaces Aplicaciones, objetos de ordenador.
+ Controladores de dominio para el dominio

Para obtener más información, consulte [Concesión de permisos para crear y administrar objetos de equipo de Active Directory](active-directory-permissions.md).

# Administración de WorkSpaces aplicaciones y objetos informáticos en Active Directory
<a name="active-directory-identify-objects"></a>

WorkSpaces Las aplicaciones no eliminan los objetos informáticos de Active Directory. Puede identificar fácilmente estos objetos de equipo en su directorio. Cada objeto de equipo del directorio se crea con el atributo `Description`, que especifica una instancia de flota o de constructor de imágenes y el nombre. 


**Ejemplos de descripción de objetos de equipo**  

| Tipo | Name | Atributo Description | 
| --- | --- | --- | 
|  Fleet  |  ExampleFleet  |  `WorkSpaces Applications - fleet:ExampleFleet`  | 
|  Constructor de imágenes  |  ExampleImageBuilder  |  `WorkSpaces Applications - image-builder:ExampleImageBuilder`  | 

Puede identificar y eliminar los objetos informáticos inactivos creados por WorkSpaces las aplicaciones mediante los `dsrm` comandos `dsquery computer` y siguientes. Para obtener más información, consulte [Dsquery computer](https://technet.microsoft.com/en-us/library/cc730720.aspx) y [Dsrm](https://technet.microsoft.com/en-us/library/cc731865.aspx) en la documentación de Microsoft.

El comando `dsquery` identifica los objetos de equipo inactivos durante un determinado periodo de tiempo y utiliza el formato siguiente. El `dsquery` comando también debe ejecutarse con el parámetro `-desc "WorkSpaces Applications*"` para mostrar solo los objetos de WorkSpaces Applications. 

```
dsquery computer "OU-distinguished-name" -desc "WorkSpaces Applications*" -inactive number-of-weeks-since-last-login
```
+ `OU-distinguished-name` es el nombre distinguido de la unidad organizativa. Para obtener más información, consulte [Obtención del nombre distinguido de la unidad organizativa](active-directory-oudn.md). Si no proporciona el *OU-distinguished-name* parámetro, el comando busca en todo el directorio. 
+ `number-of-weeks-since-last-log-in` es el valor que determina cómo se desea definir la inactividad. 

Por ejemplo, el comando siguiente muestra todos los objetos de equipo de la unidad organizativa `OU=ExampleOU,DC=EXAMPLECO,DC=COM` en los que no se ha iniciado sesión en las últimas dos semanas.

```
dsquery computer OU=ExampleOU,DC=EXAMPLECO,DC=COM -desc "WorkSpaces Applications*" -inactive 2
```

Si se encuentra alguna coincidencia, el resultado será uno o varios nombres de objetos. El comando `dsrm` borra el objeto especificado y utiliza el formato siguiente:

```
dsrm objectname
```

Donde `objectname` es el nombre de objeto completo de la salida del comando `dsquery`. Por ejemplo, si el `dsquery` comando anterior da como resultado un objeto informático denominado "ExampleComputer«, el `dsrm` comando para eliminarlo sería el siguiente:

```
dsrm "CN=ExampleComputer,OU=ExampleOU,DC=EXAMPLECO,DC=COM"
```

Puede encadenar estos comandos con el operador de barra vertical (`|`). Por ejemplo, para eliminar todos los objetos del ordenador de WorkSpaces Applications y solicitar la confirmación de cada uno de ellos, utilice el siguiente formato. Añada el parámetro `-noprompt` a `dsrm` para deshabilitar la confirmación.

```
dsquery computer OU-distinguished-name -desc "WorkSpaces Applications*" –inactive number-of-weeks-since-last-log-in | dsrm
```

# Más información
<a name="active-directory-more-info"></a>

Para obtener más información relacionada con este tema, consulte los siguientes recursos:
+ [Solución de problemas con los códigos de notificación](troubleshooting-notification-codes.md): resoluciones para errores de código de notificación.
+ [Solución de problemas de Active Directory](troubleshooting-active-directory.md): ayuda para solucionar problemas habituales.
+ [Microsoft Active Directory](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_microsoft_ad.html): información sobre el uso Directory Service.