Concesión de permisos para crear y administrar objetos de equipo de Active Directory Obtención del nombre distinguido de la unidad organizativa Concesión de derechos de administrador local para imágenes personalizadas Bloqueo de la sesión en streaming cuando el usuario está inactivo Configuración de WorkSpaces Pools para utilizar relaciones de confianza del dominio

Administración de Active Directory en WorkSpaces Pools

La configuración y el uso de Active Directory con WorkSpaces Pools conlleva las siguientes tareas administrativas.

Tareas

Concesión de permisos para crear y administrar objetos de equipo de Active Directory
Obtención del nombre distinguido de la unidad organizativa
Concesión de derechos de administrador local para imágenes personalizadas
Bloqueo de la sesión en streaming cuando el usuario está inactivo
Configuración de WorkSpaces Pools para utilizar relaciones de confianza del dominio

Concesión de permisos para crear y administrar objetos de equipo de Active Directory

Si desea permitir que WorkSpaces Pools ejecute operaciones con objetos de equipo de Active Directory, debe tener una cuenta con permisos suficientes. Como práctica recomendada, use una cuenta que tenga solo los privilegios mínimos necesarios. Los permisos mínimos de la unidad organizativa (OU) de Active Directory son los siguientes:

Crear objeto equipo
Cambio de contraseña
Restablecer contraseña
Escribir descripción

Antes de configurar los permisos, primero tendrá que hacer lo siguiente:

Obtener acceso a una instancia EC2 o un equipo que esté unido al dominio.
Instalar el complemento MMC Usuarios y equipos de Active Directory. Para obtener más información, consulte Installing or Removing Remote Server Administration Tools for Windows 7 en la documentación de Microsoft.
Inicie sesión como usuario de dominio con los permisos adecuados para modificar la configuración de seguridad de la OU.
Cree o identifique al usuario, la cuenta de servicio o el grupo al que se delegarán permisos.

Para configurar permisos mínimos

Abra Active Directory Users and Computers (Usuarios y equipos de Active Directory) en el dominio o en el controlador de dominio.
En el panel de navegación de la izquierda, seleccione la primera OU para la que se proporcionarán privilegios de unión al dominio, abra el menú contextual (haga clic con el botón derecho) y, a continuación, elija Delegate Control (Delegar control).
En la página Delegation of Control Wizard, elija Next, Add.
En Seleccionar usuarios, equipos o grupos, seleccione el usuario, la cuenta de servicio o el grupo previamente creados y, a continuación, elija Aceptar.
En la página Tareas que se delegarán, elija Crear una tarea personalizada para delegar y luego elija Siguiente.
Elija Only the following objects in the folder, Computer objects.
Elija Create selected objects in this folder, Next.
En Permissions, elija Read, Write, Change Password, Reset Password, Next.
En la página Completing the Delegation of Control Wizard, verifique la información y elija Finish.
Repita los pasos 2-9 para todas las OU adicionales que requieran estos permisos.

Si ha delegado permisos en un grupo, cree una cuenta de usuario o de servicio con una contraseña segura y añada dicha cuenta al grupo. Esta cuenta tendrá privilegios suficientes para conectar los escritorios de WorkSpaces al directorio. Utilice esta cuenta cuando cree la configuración de directorio de WorkSpaces Pools.

Obtención del nombre distinguido de la unidad organizativa

Cuando registre el dominio de Active Directory en WorkSpaces Pools, deberá proporcionar el nombre distintivo de una unidad organizativa (OU). Cree una OU con este fin. WorkSpaces Pools no puede utilizar el contenedor predeterminado del equipo porque no es una OU. En el siguiente procedimiento se muestra cómo obtener este nombre.

nota

El nombre distinguido debe comenzar con OU= o no podrá usarse para objetos de equipo.

Antes de realizar este procedimiento, deberá hacer lo siguiente:

Obtener acceso a una instancia EC2 o un equipo que esté unido al dominio.
Instalar el complemento MMC Usuarios y equipos de Active Directory. Para obtener más información, consulte Installing or Removing Remote Server Administration Tools for Windows 7 en la documentación de Microsoft.
Inicie sesión como usuario de dominio con los permisos adecuados para leer las propiedades de seguridad de la OU.

Para buscar el nombre distinguido de una OU

Abra Active Directory Users and Computers (Usuarios y equipos de Active Directory) en el dominio o en el controlador de dominio.
En View, asegúrese de que la opción Advanced Features esté habilitada.
En el panel de navegación de la izquierda, seleccione la primera OU que se usará para los objetos de equipo de WorkSpaces, abra el menú contextual (haga clic con el botón derecho) y elija Propiedades.
Elija Attribute Editor.
En Attributes, para distinguishedName, elija View.
En Value (Valor), seleccione el nombre distinguido, abra el menú contextual y elija Copy (Copiar).

Concesión de derechos de administrador local para imágenes personalizadas

De forma predeterminada, los usuarios de dominio de Active Directory no tienen derechos de administrador local para las imágenes. Para conceder estos derechos, utilice las preferencias de la política de grupo del directorio, o manualmente mediante la cuenta de administrador local de una imagen. La concesión de derechos de administrador local a un usuario de dominio permite a este instalar aplicaciones y crear imágenes personalizadas en WorkSpaces Pools.

Contenido

Uso de las preferencias de la política de grupo
Uso del grupo de administradores locales en el escritorio de WorkSpaces para crear imágenes

Uso de las preferencias de la política de grupo

Puede utilizar las preferencias de la política de grupo para conceder derechos de administrador local a usuarios o grupos de Active Directory y a todos los objetos de equipo de la OU especificada. Los usuarios o grupos de Active Directory a los que desea conceder permisos de administrador local deben existir previamente. Para utilizar las preferencias de la política de grupo, primero tendrá que hacer lo siguiente:

Obtener acceso a una instancia EC2 o un equipo que esté unido al dominio.
Instale el complemento MMC de la consola de administración de políticas de grupo (GPMC). Para obtener más información, consulte Installing or Removing Remote Server Administration Tools for Windows 7 en la documentación de Microsoft.
Inicie sesión como usuario del dominio con permisos para crear objetos de política de grupo (GPO). Vincule los GPO a las OU apropiadas.

Para utilizar las preferencias de la política de grupo para conceder permisos de administrador local

En el directorio o en un controlador de dominio, abra el símbolo del sistema como administrador, escriba gpmc.msc y, a continuación, pulse INTRO.
En el árbol de la consola de la izquierda, seleccione la OU donde creará el nuevo GPO o usará uno ya existente y, a continuación, realice una de las operaciones siguientes:
- Cree un nuevo GPO; para ello, abra el menú contextual (haga clic con el botón derecho) y elija Create a GPO in this domain and link it here (Crear un GPO en este dominio y vincularlo aquí). En Name, proporcione un nombre descriptivo para este GPO.
- Seleccione un GPO existente.
Abra el menú contextual del GPO y elija Edit (Editar).
En el árbol de la consola, elija Computer Configuration (Configuración del equipo), Preferences (Preferencias), Windows Settings (Configuración de Windows), Control Panel Settings (Configuración del panel de control) y Local Users and Groups (Usuarios y grupos locales).
Seleccione Local Users and Groups (Usuarios y grupos locales), abra el menú contextual y elija New (Nuevo), Local Group (Grupo local).
En Action, elija Update.
En Group name, elija Administrators (built-in).
En Miembro, elija Agregar... y especifique los usuario o grupos de Active Directory a los que se asignarán derechos de administrador local en la instancia en streaming. En Action, seleccione Add to this group y, a continuación, OK.
Para aplicar este GPO a otras OU, seleccione la OU adicional, abra el menú contextual y elija Link an Existing GPO (Vincular un GPO existente).
Desplácese para encontrar el nombre del GPO nuevo o ya existente especificado en el paso 2 y, a continuación, elija OK (Aceptar).
Repita los pasos 9 y 10 en el caso de que haya OU adicionales que deban tener esta preferencia.
Elija OK (Aceptar) para cerrar el cuadro de diálogo New Local Group Properties (Propiedades de nuevo grupo local).
Elija OK (Aceptar) de nuevo para cerrar la GPMC.

Para aplicar la nueva preferencia al GPO, detenga y reinicie los constructores de imágenes o las flotas en ejecución. Los usuarios y grupos de Active Directory que ha especificado en el paso 8 obtienen automáticamente derechos de administrador local para los constructores de imágenes y las flotas de la OU a la que está vinculado el GPO.

Uso del grupo de administradores locales en el escritorio de WorkSpaces para crear imágenes

Si desea conceder a los usuarios o grupos de Active Directory derechos de administrador local para una imagen, puede añadir manualmente estos usuarios o grupos al grupo de administradores locales de la imagen.

Los usuarios o grupos de Active Directory a los que se conceden derechos de administrador local deben existir ya.

Conéctese al escritorio de WorkSpaces que utiliza para crear imágenes. El escritorio de WorkSpaces debe estar en ejecución y vinculado a un dominio.
Elija Start (Inicio), Administrative Tools (Herramientas administrativas) y, a continuación, haga doble clic en Computer Management (Administración de equipos).
En el panel de navegación izquierdo, seleccione Local Users and Groups y abra la carpeta Groups.
Abra el grupo Administrators y seleccione Add....
Seleccione todos los usuarios o grupos de Active Directory a los que se asignarán derechos de administrador local y elija OK. Elija OK (Aceptar) de nuevo para cerrar el cuadro de diálogo Administrator Properties (Propiedades de Administradores).
Cierre la utilidad Administración de equipos.
Para iniciar sesión como usuario de Active Directory y comprobar si ese usuario dispone de derechos de administrador local para el escritorio de WorkSpaces, elija Comandos de administración, Cambiar de usuario y, a continuación, escriba las credenciales del usuario en cuestión.

Bloqueo de la sesión en streaming cuando el usuario está inactivo

WorkSpaces Pools se basa en una opción que se configura en la GPMC para bloquear la sesión de transmisión después de que el usuario esté inactivo durante un determinado periodo de tiempo. Para utilizar la GPMC, primero tendrá que hacer lo siguiente:

Obtener acceso a una instancia EC2 o un equipo que esté unido al dominio.
Instalar la GPMC. Para obtener más información, consulte Installing or Removing Remote Server Administration Tools for Windows 7 en la documentación de Microsoft.
Iniciar sesión como usuario del dominio con permisos para crear GPO. Vincule los GPO a las OU apropiadas.

Para bloquear automáticamente la instancia de streaming cuando el usuario está inactivo

En el directorio o en un controlador de dominio, abra el símbolo del sistema como administrador, escriba gpmc.msc y, a continuación, pulse INTRO.
En el árbol de la consola de la izquierda, seleccione la OU donde creará el nuevo GPO o usará uno ya existente y, a continuación, realice una de las operaciones siguientes:
- Cree un nuevo GPO; para ello, abra el menú contextual (haga clic con el botón derecho) y elija Create a GPO in this domain and link it here (Crear un GPO en este dominio y vincularlo aquí). En Name, proporcione un nombre descriptivo para este GPO.
- Seleccione un GPO existente.
Abra el menú contextual del GPO y elija Edit (Editar).
En User Configuration (Configuración de usuario), expanda Policies (Políticas), Administrative Templates (Plantillas administrativas), Control Panel (Panel de control) y, a continuación, elija Personalization (Personalización).
Haga doble clic en Enable screen saver (Habilitar protector de pantalla).
En la opción de política Enable screen saver (Habilitar protector de pantalla), elija Enabled (Habilitado).
Seleccione Aplicar y, después, Aceptar.
Haga doble clic en Force specific screen saver (Aplicar un protector de pantalla específico).
En la opción de política Force specific screen saver (Aplicar un protector de pantalla específico), elija Enabled (Habilitado).
En Screen saver executable name (Nombre del ejecutable del protector de pantalla), escriba scrnsave.scr. Cuando esta opción está habilitada, el sistema muestra un protector de pantalla negro en el escritorio del usuario.
Seleccione Aplicar y, después, Aceptar.
Haga doble clic en Password protect the screen saver (Proteger el protector de pantalla mediante contraseña).
En la opción de política Password protect the screen saver (Proteger el protector de pantalla mediante contraseña), elija Enabled (Habilitado).
Seleccione Aplicar y, después, Aceptar.
Haga doble clic en Screen saver timeout (Tiempo de espera del protector de pantalla).
En la opción de política Screen saver timeout (Tiempo de espera del protector de pantalla), elija Enabled (Habilitado).
En Seconds (Segundos), especifique el tiempo que los usuarios deben estar inactivos antes de que se aplique el protector de pantalla. Para establecer el tiempo de inactividad en 10 minutos, especifique 600 segundos.
Seleccione Aplicar y, después, Aceptar.
En el árbol de la consola, en User Configuration (Configuración de usuario), expanda Policies (Políticas), Administrative Templates (Plantillas administrativas), System (Sistema) y, a continuación, elija Ctrl+Alt+Del Options (Opciones de Ctrl+Alt+Supr).
Haga doble clic en Remove Lock Computer (Quitar el bloqueo de equipos).
En la opción de política Remove Lock Computer (Quitar el bloqueo de equipos), elija Disabled (Deshabilitado).
Seleccione Aplicar y, después, Aceptar.

Configuración de WorkSpaces Pools para utilizar relaciones de confianza del dominio

WorkSpaces Pools es compatible con entornos de dominio de Active Directory donde los recursos de red, como, por ejemplo, servidores de archivos, aplicaciones y objetos de equipo, residen en un dominio y los objetos de usuario residen en otro. La cuenta de servicio de dominio utilizada para operaciones de objeto de equipo no necesita estar en el mismo dominio que los objetos de equipo de WorkSpaces Pools.

Cuando cree la configuración del directorio, especifique una cuenta de servicio con los permisos pertinentes para administrar objetos de equipo en el dominio de Active Directory donde se encuentran los servidores de archivos, las aplicaciones, los objetos de equipo y otros recursos de red.

Las cuentas de Active Directory de usuario final deben tener los permisos "Allowed to Authenticate" para los elementos siguientes:

Objetos de equipo de WorkSpaces Pools
Controladores de dominio para el dominio

Para obtener más información, consulte Concesión de permisos para crear y administrar objetos de equipo de Active Directory.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Habilitación del uso compartido entre cuentas de una CA privada

Más información