Concesión de permisos para crear y administrar objetos de equipo de Active Directory Obtención del nombre distinguido de la unidad organizativa Otorgar derechos de administrador local sobre imágenes personalizadas Bloqueo de la sesión en streaming cuando el usuario está inactivo Configuración de WorkSpaces grupos para usar confianzas de dominio

WorkSpaces Administración de grupos de Active Directory

La configuración y el uso de Active Directory con WorkSpaces grupos implican las siguientes tareas administrativas.

Tareas

Concesión de permisos para crear y administrar objetos de equipo de Active Directory
Obtención del nombre distinguido de la unidad organizativa
Otorgar derechos de administrador local sobre imágenes personalizadas
Bloqueo de la sesión en streaming cuando el usuario está inactivo
Configuración de WorkSpaces grupos para usar confianzas de dominio

Concesión de permisos para crear y administrar objetos de equipo de Active Directory

Para permitir que los WorkSpaces grupos realicen operaciones con objetos informáticos de Active Directory, necesita una cuenta con permisos suficientes. Como práctica recomendada, use una cuenta que tenga solo los privilegios mínimos necesarios. Los permisos mínimos de la unidad organizativa (OU) de Active Directory son los siguientes:

Crear objeto equipo
Cambio de contraseña
Restablecer contraseña
Escribir descripción

Antes de configurar los permisos, primero tendrá que hacer lo siguiente:

Obtenga acceso a un equipo o una EC2 instancia que esté unida a su dominio.
Instale el MMC complemento Usuarios y equipos de Active Directory. Para obtener más información, consulte Installing or Removing Remote Server Administration Tools for Windows 7 en la documentación de Microsoft.
Inicie sesión como usuario de dominio con los permisos adecuados para modificar la configuración de seguridad de la OU.
Cree o identifique al usuario, la cuenta de servicio o el grupo al que se delegarán permisos.

Para configurar permisos mínimos

Abra Active Directory Users and Computers (Usuarios y equipos de Active Directory) en el dominio o en el controlador de dominio.
En el panel de navegación de la izquierda, seleccione la primera OU para la que se proporcionarán privilegios de unión al dominio, abra el menú contextual (haga clic con el botón derecho) y, a continuación, elija Delegate Control (Delegar control).
En la página Delegation of Control Wizard, elija Next, Add.
En Seleccionar usuarios, equipos o grupos, seleccione el usuario, la cuenta de servicio o el grupo previamente creados y, a continuación, elija Aceptar.
En la página Tareas que se delegarán, elija Crear una tarea personalizada para delegar y luego elija Siguiente.
Elija Only the following objects in the folder, Computer objects.
Elija Create selected objects in this folder, Next.
En Permissions, elija Read, Write, Change Password, Reset Password, Next.
En la página Completing the Delegation of Control Wizard, verifique la información y elija Finish.
Repita los pasos 2 a 9 para cualquier otra persona OUs que requiera estos permisos.

Si ha delegado permisos en un grupo, cree una cuenta de usuario o de servicio con una contraseña segura y añada dicha cuenta al grupo. Esta cuenta tendrá entonces los privilegios suficientes para conectarla WorkSpaces al directorio. Utilice esta cuenta al crear la configuración del directorio de WorkSpaces grupos.

Obtención del nombre distinguido de la unidad organizativa

Al registrar su dominio de Active Directory en WorkSpaces Pools, debe proporcionar un nombre distintivo de la unidad organizativa (OU). Cree una OU con este fin. El contenedor de ordenadores predeterminado no es una unidad organizativa y los WorkSpaces grupos no pueden usarlo. En el siguiente procedimiento se muestra cómo obtener este nombre.

nota

El nombre distinguido debe comenzar con OU= o no podrá usarse para objetos de equipo.

Antes de realizar este procedimiento, deberá hacer lo siguiente:

Obtenga acceso a un equipo o una EC2 instancia que esté unida a su dominio.
Instale el MMC complemento Usuarios y equipos de Active Directory. Para obtener más información, consulte Installing or Removing Remote Server Administration Tools for Windows 7 en la documentación de Microsoft.
Inicie sesión como usuario de dominio con los permisos adecuados para leer las propiedades de seguridad de la OU.

Para buscar el nombre distinguido de una OU

Abra Active Directory Users and Computers (Usuarios y equipos de Active Directory) en el dominio o en el controlador de dominio.
En View, asegúrese de que la opción Advanced Features esté habilitada.
En el panel de navegación izquierdo, seleccione la primera unidad organizativa que desee utilizar para los objetos del WorkSpaces ordenador, abra el menú contextual (haga clic con el botón derecho) y, a continuación, elija Propiedades.
Elija Attribute Editor.
En Atributos, para distinguishedName, elija Ver.
En Value (Valor), seleccione el nombre distinguido, abra el menú contextual y elija Copy (Copiar).

Otorgar derechos de administrador local sobre imágenes personalizadas

De forma predeterminada, los usuarios del dominio de Active Directory no tienen derechos de administrador local sobre las imágenes. Puede conceder estos derechos mediante las preferencias de política de grupo de su directorio o manualmente mediante la cuenta de administrador local de una imagen. La concesión de derechos de administrador local a un usuario del dominio le permite instalar aplicaciones y crear imágenes personalizadas en los WorkSpaces grupos.

Contenido

Uso de las preferencias de la política de grupo
Uso del grupo de administradores local de la WorkSpace para crear imágenes

Uso de las preferencias de la política de grupo

Puede utilizar las preferencias de la política de grupo para conceder derechos de administrador local a usuarios o grupos de Active Directory y a todos los objetos de equipo de la OU especificada. Los usuarios o grupos de Active Directory a los que desea conceder permisos de administrador local deben existir previamente. Para utilizar las preferencias de la política de grupo, primero tendrá que hacer lo siguiente:

Obtenga acceso a un ordenador o a una EC2 instancia que esté unida a su dominio.
Instale el MMC complemento Consola de administración de políticas de grupo (GPMC). Para obtener más información, consulte Installing or Removing Remote Server Administration Tools for Windows 7 en la documentación de Microsoft.
Inicie sesión como usuario de dominio con permisos para crear objetos de política de grupo (GPOs). Enlace GPOs al correspondienteOUs.

Para utilizar las preferencias de la política de grupo para conceder permisos de administrador local

En su directorio o en un controlador de dominio, abra la línea de comandos como administrador, escriba ygpmc.msc, a continuación, presioneENTER.
En el árbol de la consola de la izquierda, seleccione la unidad organizativa en la que va a crear una nueva GPO o utilizar una existente yGPO, a continuación, realice una de las siguientes acciones:
- Para crear una nuevaGPO, abra el menú contextual (haga clic con el botón derecho) y seleccione Crear una GPO en este dominio y enlazarla aquí. En Nombre, proporciona un nombre descriptivo para elloGPO.
- Seleccione uno existenteGPO.
Abra el menú contextual de GPO y elija Editar.
En el árbol de la consola, elija Computer Configuration (Configuración del equipo), Preferences (Preferencias), Windows Settings (Configuración de Windows), Control Panel Settings (Configuración del panel de control) y Local Users and Groups (Usuarios y grupos locales).
Seleccione Local Users and Groups (Usuarios y grupos locales), abra el menú contextual y elija New (Nuevo), Local Group (Grupo local).
En Action, elija Update.
En Group name, elija Administrators (built-in).
En Miembro, elija Agregar... y especifique los usuario o grupos de Active Directory a los que se asignarán derechos de administrador local en la instancia en streaming. En Action, seleccione Add to this group y, a continuación, OK.
Para aplicarlo GPO a otroOUs, seleccione la unidad organizativa adicional, abra el menú contextual y elija Vincular una unidad existente GPO.
Con el GPO nombre nuevo o existente que especificó en el paso 2, desplácese hasta encontrar el yGPO, a continuación, pulse Aceptar.
Repita los pasos 9 y 10 para ver otras OUs opciones que deban tener esta preferencia.
Elija OK (Aceptar) para cerrar el cuadro de diálogo New Local Group Properties (Propiedades de nuevo grupo local).
Vuelva a pulsar Aceptar para cerrar elGPMC.

Para aplicar la nueva preferencia aGPO, debe detener y reiniciar todos los generadores de imágenes o flotas que se estén ejecutando. A los usuarios y grupos de Active Directory que especificó en el paso 8 se les conceden automáticamente derechos de administrador local en los generadores de imágenes y las flotas de la unidad organizativa a la que GPO está vinculado.

Uso del grupo de administradores local de la WorkSpace para crear imágenes

Para conceder a los usuarios o grupos de Active Directory derechos de administrador local sobre una imagen, puede agregar estos usuarios o grupos manualmente al grupo de administradores locales de la imagen.

Los usuarios o grupos de Active Directory a los que se conceden derechos de administrador local deben existir ya.

Conéctate al WorkSpace que utilizas para crear imágenes. WorkSpace Debe estar en ejecución y unido a un dominio.
Elija Start (Inicio), Administrative Tools (Herramientas administrativas) y, a continuación, haga doble clic en Computer Management (Administración de equipos).
En el panel de navegación izquierdo, seleccione Local Users and Groups y abra la carpeta Groups.
Abra el grupo Administrators y seleccione Add....
Seleccione todos los usuarios o grupos de Active Directory a los que se asignarán derechos de administrador local y elija OK. Elija OK (Aceptar) de nuevo para cerrar el cuadro de diálogo Administrator Properties (Propiedades de Administradores).
Cierre la utilidad Administración de equipos.
Para iniciar sesión como usuario de Active Directory y comprobar si ese usuario tiene derechos de administrador local WorkSpaces, seleccione Admin Commands, Cambie de usuario y, a continuación, introduzca las credenciales del usuario correspondiente.

Bloqueo de la sesión en streaming cuando el usuario está inactivo

WorkSpaces Los grupos se basan en una configuración que se configura GPMC para bloquear la sesión de streaming después de que el usuario esté inactivo durante un período de tiempo específico. Para usar elGPMC, primero tendrás que hacer lo siguiente:

Obtén acceso a un ordenador o a una EC2 instancia que esté unida a tu dominio.
Instala elGPMC. Para obtener más información, consulte Installing or Removing Remote Server Administration Tools for Windows 7 en la documentación de Microsoft.
Inicie sesión como usuario de dominio con permisos para crearGPOs. Enlace GPOs al enlace correspondienteOUs.

Para bloquear automáticamente la instancia de streaming cuando el usuario está inactivo

En su directorio o en un controlador de dominio, abra la línea de comandos como administrador, escriba ygpmc.msc, a continuación, presioneENTER.
En el árbol de la consola de la izquierda, seleccione la unidad organizativa en la que va a crear una nueva GPO o utilizar una existente yGPO, a continuación, realice una de las siguientes acciones:
- Para crear una nuevaGPO, abra el menú contextual (haga clic con el botón derecho) y seleccione Crear una GPO en este dominio y enlazarla aquí. En Nombre, proporciona un nombre descriptivo para elloGPO.
- Seleccione uno existenteGPO.
Abra el menú contextual de GPO y elija Editar.
En User Configuration (Configuración de usuario), expanda Policies (Políticas), Administrative Templates (Plantillas administrativas), Control Panel (Panel de control) y, a continuación, elija Personalization (Personalización).
Haga doble clic en Enable screen saver (Habilitar protector de pantalla).
En la opción de política Enable screen saver (Habilitar protector de pantalla), elija Enabled (Habilitado).
Seleccione Aplicar y, después, Aceptar.
Haga doble clic en Force specific screen saver (Aplicar un protector de pantalla específico).
En la opción de política Force specific screen saver (Aplicar un protector de pantalla específico), elija Enabled (Habilitado).
En Screen saver executable name (Nombre del ejecutable del protector de pantalla), escriba scrnsave.scr. Cuando esta opción está habilitada, el sistema muestra un protector de pantalla negro en el escritorio del usuario.
Seleccione Aplicar y, después, Aceptar.
Haga doble clic en Password protect the screen saver (Proteger el protector de pantalla mediante contraseña).
En la opción de política Password protect the screen saver (Proteger el protector de pantalla mediante contraseña), elija Enabled (Habilitado).
Seleccione Aplicar y, después, Aceptar.
Haga doble clic en Screen saver timeout (Tiempo de espera del protector de pantalla).
En la opción de política Screen saver timeout (Tiempo de espera del protector de pantalla), elija Enabled (Habilitado).
En Seconds (Segundos), especifique el tiempo que los usuarios deben estar inactivos antes de que se aplique el protector de pantalla. Para establecer el tiempo de inactividad en 10 minutos, especifique 600 segundos.
Seleccione Aplicar y, después, Aceptar.
En el árbol de la consola, en User Configuration (Configuración de usuario), expanda Policies (Políticas), Administrative Templates (Plantillas administrativas), System (Sistema) y, a continuación, elija Ctrl+Alt+Del Options (Opciones de Ctrl+Alt+Supr).
Haga doble clic en Remove Lock Computer (Quitar el bloqueo de equipos).
En la opción de política Remove Lock Computer (Quitar el bloqueo de equipos), elija Disabled (Deshabilitado).
Seleccione Aplicar y, después, Aceptar.

Configuración de WorkSpaces grupos para usar confianzas de dominio

WorkSpaces Los grupos admiten entornos de dominio de Active Directory en los que los recursos de red, como servidores de archivos, aplicaciones y objetos informáticos, residen en un dominio y los objetos de usuario residen en otro. No es necesario que la cuenta de servicio de dominio utilizada para las operaciones de objetos de equipo esté en el mismo dominio que los objetos WorkSpaces de equipo del grupo.

Cuando cree la configuración del directorio, especifique una cuenta de servicio con los permisos pertinentes para administrar objetos de equipo en el dominio de Active Directory donde se encuentran los servidores de archivos, las aplicaciones, los objetos de equipo y otros recursos de red.

Las cuentas de Active Directory de usuario final deben tener los permisos "Allowed to Authenticate" para los elementos siguientes:

WorkSpaces Reúne objetos de ordenador
Controladores de dominio para el dominio

Para obtener más información, consulte Concesión de permisos para crear y administrar objetos de equipo de Active Directory.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Habilitar el uso compartido entre cuentas PCA

Más información