Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# WorkSpaces Administration Active Directory des pools
La configuration et l'utilisation d'Active Directory avec WorkSpaces des pools impliquent les tâches administratives suivantes.
**Topics**
+ [Octroi d'autorisations pour la création et la gestion d'objets ordinateur Active Directory](#active-directory-permissions)
+ [Recherche du nom unique d’unité d’organisation](#active-directory-oudn)
+ [Octroi de droits d'administrateur local sur des images personnalisées](#active-directory-image-builder-local-admin)
+ [Verrouillage de la session de streaming lorsque l'utilisateur est inactif](#active-directory-session-lock)
+ [Configuration de WorkSpaces pools pour utiliser des approbations de domaine](#active-directory-domain-trusts)
## Octroi d'autorisations pour la création et la gestion d'objets ordinateur Active Directory
Pour autoriser les WorkSpaces pools à effectuer des opérations sur les objets informatiques Active Directory, vous devez disposer d'un compte doté d'autorisations suffisantes. La bonne pratique consiste à utiliser un compte disposant uniquement des privilèges minimum nécessaires. Les autorisations minimum de l'unité d'organisation (OU) Active Directory sont les suivantes :
+ Créer des objets ordinateur
+ Modifier le mot de passe
+ Réinitialiser le mot de passe
+ Écrire une description
Avant de configurer les autorisations, vous devez effectuer les tâches suivantes :
+ Obtenir l’accès à un ordinateur ou à une instance EC2 qui est jointe à votre domaine.
+ Installer le composant logiciel enfichable MMC Utilisateurs et ordinateurs Active Directory. Pour plus d’informations, consultez [Installing or Removing Remote Server Administration Tools for Windows 7](https://technet.microsoft.com/en-us/library/ee449483.aspx) dans la documentation Microsoft.
+ Vous connecter en tant qu’utilisateur du domaine disposant des autorisations appropriées pour modifier les paramètres de sécurité des unités d’organisation.
+ Créer ou identifier l’utilisateur, le compte de service ou le groupe auquel déléguer des autorisations.
**Pour configurer les autorisations minimum**
1. Lancez **Utilisateurs et ordinateurs Active Directory** dans votre domaine ou sur votre contrôleur de domaine.
1. Dans le volet de navigation de gauche, sélectionnez la première unité d’organisation sur laquelle fournir les privilèges joints au domaine, ouvrez le menu contextuel (clic droit), puis choisissez **Déléguer le contrôle**.
1. Sur la page **Assistant Délégation de contrôle**, choisissez **Suivant**, **Ajouter**.
1. Pour **Sélectionner des utilisateurs, des ordinateurs ou des groupes**, sélectionnez l’utilisateur, le compte de service ou le groupe créé au préalable, puis choisissez **OK**.
1. Sur la page **Tâches à déléguer**, sélectionnez **Créer une tâche personnalisée à déléguer**, puis choisissez **Suivant**.
1. Choisissez **Seulement des objets suivants dans le dossier**, puis **Objets ordinateur**.
1. Choisissez **Créer les objets sélectionnés dans ce dossier**, **Suivant**.
1. Pour **Autorisations**, choisissez **, Lire**, **Écrire**, **Modifier le mot de passe**, **Réinitialiser le mot de passe**, **Suivant**.
1. Sur la page **Fin de l'Assistant Délégation de contrôle**, vérifiez les informations et choisissez **Terminer**.
1. Répétez les étapes 2 à 9 pour toutes les autres étapes OUs nécessitant ces autorisations.
Si vous déléguez des autorisations à un groupe, créez un utilisateur ou un compte de service avec un mot de passe fort et ajoutez ce compte au groupe. Ce compte disposera alors de privilèges suffisants pour vous connecter WorkSpaces à l'annuaire. Utilisez ce compte lors de la création de la configuration de votre répertoire WorkSpaces Pools.
## Recherche du nom unique d’unité d’organisation
Lorsque vous enregistrez votre domaine Active Directory auprès de WorkSpaces Pools, vous devez fournir un nom distinctif d'unité organisationnelle (UO). A cet effet, créez une unité d'organisation. Le conteneur Computers par défaut n'est pas une unité d'organisation et ne peut pas être utilisé par les WorkSpaces pools. La procédure suivante montre comment obtenir ce nom.
**Note**
Le nom unique doit commencer par **OU=** pour pouvoir être utilisé pour des objets ordinateur.
Avant d’effectuer cette procédure, vous devez effectuer les tâches suivantes :
+ Obtenir l’accès à un ordinateur ou à une instance EC2 qui est jointe à votre domaine.
+ Installer le composant logiciel enfichable MMC Utilisateurs et ordinateurs Active Directory. Pour plus d’informations, consultez [Installing or Removing Remote Server Administration Tools for Windows 7](https://technet.microsoft.com/en-us/library/ee449483.aspx) dans la documentation Microsoft.
+ Vous connecter en tant qu’utilisateur du domaine disposant des autorisations appropriées pour lire les propriétés de sécurité des unités d’organisation.
**Pour trouver le nom unique d'une unité d'organisation**
1. Lancez **Utilisateurs et ordinateurs Active Directory** dans votre domaine ou sur votre contrôleur de domaine.
1. Sous **Afficher**, assurez-vous que les **Fonctions avancées** soient activées.
1. Dans le volet de navigation de gauche, sélectionnez la première unité d'organisation à utiliser pour les objets WorkSpaces informatiques, ouvrez le menu contextuel (clic droit), puis choisissez **Propriétés**.
1. Choisissez **Éditeur d’attribut**.
1. Sous **Attributs **, pour **distinguishedName**, choisissez **Afficher **.
1. Pour **Valeur**, sélectionnez le nom unique, ouvrez le menu contextuel et choisissez **Copier**.
## Octroi de droits d'administrateur local sur des images personnalisées
Par défaut, les utilisateurs du domaine Active Directory ne disposent pas de droits d'administrateur local sur les images. Vous pouvez accorder ces droits en utilisant les préférences de stratégie de groupe de votre répertoire, ou manuellement, en utilisant le compte d'administrateur local sur une image. L'octroi de droits d'administrateur local à un utilisateur de domaine permet à cet utilisateur d'installer des applications et de créer des images personnalisées dans des WorkSpaces pools.
**Topics**
+ [Utilisation des préférences de stratégie de groupe](#group-policy)
+ [Utiliser le groupe d'administrateurs local sur le WorkSpace pour créer des images](#manual-procedure)
### Utilisation des préférences de stratégie de groupe
Les préférences de stratégie de groupe peuvent être utilisées pour accorder des droits d'administrateur local aux utilisateurs ou groupes Active Directory, et à tous les objets ordinateur de l'unité d'organisation spécifiée. Les utilisateurs ou groupes Active Directory auxquels vous voulez accorder des autorisations d'administrateur local doivent déjà exister. Pour utiliser les préférences de stratégie de groupe, vous devez tout d'abord effectuer les opérations suivantes :
+ Obtenir l’accès à un ordinateur ou à une instance EC2 qui est jointe à votre domaine.
+ Installer le composant logiciel enfichable MMC GPMC (Console de gestion des stratégies de groupe). Pour plus d’informations, consultez [Installing or Removing Remote Server Administration Tools for Windows 7](https://technet.microsoft.com/en-us/library/ee449483.aspx) dans la documentation Microsoft.
+ Connectez-vous en tant qu'utilisateur du domaine autorisé à créer des objets de stratégie de groupe (GPOs). Lien GPOs vers le lien approprié OUs.
**Pour utiliser les préférences de stratégie de groupe afin d'accorder les autorisations d'administrateur local**
1. Dans votre répertoire ou sur un contrôleur de domaine, ouvrez l’invite de commande en tant qu’administrateur, tapez `gpmc.msc`, puis appuyez sur ENTRÉE.
1. Dans l’arborescence de console de gauche, sélectionnez l’unité d’organisation dans laquelle vous allez créer un nouveau GPO ou utiliser un GPO existant, puis effectuez l’une des actions suivantes :
+ Créez un GPO en ouvrant le menu contextuel (clic droit) et choisissez **Create a GPO in this domain, Link it here.**. Pour **Nom**, fournissez un nom descriptif pour ce GPO.
+ Sélectionner un GPO existant.
1. Ouvrez le menu contextuel de l’objet Stratégie de groupe (GPO), puis choisissez **Modifier**.
1. Dans l'arborescence de la console, choisissez **Configuration de l'ordinateur**, **Préférences**, **Paramètres Windows**, **Paramètres du Panneau de configuration** et **Utilisateurs et groupes locaux**.
1. Sélectionnez les **Utilisateurs et groupes locaux** sélectionnés, ouvrez le menu contextuel, puis choisissez **Nouveau**, **Groupe local**.
1. Pour **Actions**, choisissez **Mettre à jour**.
1. Pour **Nom du groupe**, choisissez **Administrateurs (intégré)**.
1. Sous **Membres**, choisissez **Ajouter…** et spécifiez les utilisateurs ou les groupes Active Directory auxquels affecter les droits d’administrateur local sur l’instance de streaming. Pour **Action**, choisissez **Ajouter à ce groupe**, puis choisissez **OK**.
1. Pour appliquer cet objet de stratégie de groupe à un autre OUs, sélectionnez l'unité d'organisation supplémentaire, ouvrez le menu contextuel et choisissez **Lier un objet de stratégie de groupe existant.**
1. À l’aide du nom de GPO nouveau ou existant que vous avez spécifié à l’étape 2, faites défiler l’écran jusqu’au GPO, puis choisissez **OK**.
1. Répétez les étapes 9 et 10 pour les autres OUs qui devraient bénéficier de cette préférence.
1. Choisissez **OK** pour fermer la boîte de dialogue **Nouvelles propriétés de groupe local**.
1. Choisissez **OK** à nouveau pour fermer la console GPMC.
Pour appliquer la nouvelle préférence au GPO, vous devez arrêter et redémarrer toutes les flottes ou instances Image Builder en cours d'exécution. Les utilisateurs et groupes Active Directory que vous avez spécifiés à l'étape 8 se voient automatiquement accorder les droits d'administrateur local sur les instances Image Builder et flottes de l'unité d'organisation auxquelles le GPO est lié.
### Utiliser le groupe d'administrateurs local sur le WorkSpace pour créer des images
Pour accorder aux utilisateurs ou aux groupes Active Directory des droits d'administrateur local sur une image, vous pouvez ajouter manuellement ces utilisateurs ou groupes au groupe d'administrateurs local sur l'image.
Les utilisateurs ou groupes Active Directory auxquels vous voulez accorder des droits d'administrateur local doivent déjà exister.
1. Connectez-vous à celui WorkSpace que vous utilisez pour créer des images. WorkSpace Il doit être en cours d'exécution et joint au domaine.
1. Choisissez **Démarrer**, **Outils d'administration**, puis double-cliquez sur **Gestion d'ordinateur**.
1. Dans le volet de navigation de gauche, choisissez **Utilisateurs et groupes locaux** et ouvrez le dossier **Groupes**.
1. Ouvrez le groupe **Administrateurs** et choisissez **Ajouter…**.
1. Sélectionnez tous les utilisateurs ou groupes Active Directory auxquels octroyer les droits d'administrateur local et choisissez **OK**. Choisissez **OK** à nouveau pour fermer la fenêtre **Propriétés de l'administrateur**.
1. Fermez Gestion de l'ordinateur.
1. Pour vous connecter en tant qu'utilisateur Active Directory et vérifier si cet utilisateur possède des droits d'administrateur local sur le WorkSpaces, choisissez **Admin Commands**, **Changer d'utilisateur**, puis entrez les informations d'identification de l'utilisateur concerné.
## Verrouillage de la session de streaming lorsque l'utilisateur est inactif
WorkSpaces Les pools reposent sur un paramètre que vous configurez dans le GPMC pour verrouiller la session de streaming une fois que votre utilisateur est inactif pendant une durée spécifiée. Pour utiliser la console GPMC, vous devez tout d'abord effectuer les opérations suivantes :
+ Obtenir l’accès à un ordinateur ou à une instance EC2 qui est jointe à votre domaine.
+ Installer la console GPMC. Pour plus d’informations, consultez [Installing or Removing Remote Server Administration Tools for Windows 7](https://technet.microsoft.com/en-us/library/ee449483.aspx) dans la documentation Microsoft.
+ Connectez-vous en tant qu'utilisateur du domaine autorisé à créer GPOs. Lien GPOs vers le lien approprié OUs.
**Pour verrouiller automatiquement l'instance de streaming lorsque votre utilisateur est inactif**
1. Dans votre répertoire ou sur un contrôleur de domaine, ouvrez l’invite de commande en tant qu’administrateur, tapez `gpmc.msc`, puis appuyez sur ENTRÉE.
1. Dans l’arborescence de console de gauche, sélectionnez l’unité d’organisation dans laquelle vous allez créer un nouveau GPO ou utiliser un GPO existant, puis effectuez l’une des actions suivantes :
+ Créez un GPO en ouvrant le menu contextuel (clic droit) et choisissez **Create a GPO in this domain, Link it here.**. Pour **Nom**, fournissez un nom descriptif pour ce GPO.
+ Sélectionner un GPO existant.
1. Ouvrez le menu contextuel de l’objet Stratégie de groupe (GPO), puis choisissez **Modifier**.
1. Sous **Configuration utilisateur**, développez **Stratégies**, **Modèles d’administration**, **Panneau de configuration**, puis choisissez **Personnalisation**.
1. Double-cliquez sur **Activer l'écran de veille**.
1. Dans le paramètre de stratégie **Activer l'écran de veille**, choisissez **Activé**.
1. Choisissez **Appliquer**, puis **OK**.
1. Double-cliquez sur **Forcer un écran de veille spécifique**.
1. Dans le paramètre de stratégie **Forcer un écran de veille spécifique**, choisissez **Activé**.
1. Sous **Nom du fichier exécutable de l’écran de veille**, saisissez **scrnsave.scr**. Lorsque ce paramètre est activé, le système affiche un écran de veille noir sur le bureau de l'utilisateur.
1. Choisissez **Appliquer**, puis **OK**.
1. Double-cliquez sur **Un mot de passe protège l’écran de veille**.
1. Dans le paramètre de stratégie **Un mot de passe protège l’écran de veille**, choisissez **Activé**.
1. Choisissez **Appliquer**, puis **OK**.
1. Double-cliquez sur **Dépassement du délai d’expiration de l’écran de veille**.
1. Dans le paramètre de stratégie **Dépassement du délai d’expiration de l’écran de veille**, choisissez **Activé**.
1. Pour **Secondes**, spécifiez la durée pendant laquelle les utilisateurs doivent être inactifs avant que l'écran de veille ne s'applique. Pour définir une durée d'inactivité de 10 minutes, spécifiez 600 secondes.
1. Choisissez **Appliquer**, puis **OK**.
1. Dans l’arborescence de la console, sous **Configuration utilisateur**, développez **Stratégies**, **Modèles d’administration**, **Système**, puis choisissez **Options Ctrl\$1Alt\$1Suppr**.
1. Double-cliquez sur **Supprimer le verrouillage de l'ordinateur**.
1. Dans le paramètre de stratégie **Supprimer le verrouillage de l'ordinateur**, choisissez **Désactivé**.
1. Choisissez **Appliquer**, puis **OK**.
## Configuration de WorkSpaces pools pour utiliser des approbations de domaine
WorkSpaces Les pools prennent en charge les environnements de domaine Active Directory dans lesquels les ressources réseau telles que les serveurs de fichiers, les applications et les objets informatiques résident dans un domaine et les objets utilisateur dans un autre. Le compte de service de domaine utilisé pour les opérations sur les objets informatiques n'a pas besoin de se trouver dans le même domaine que les WorkSpaces objets informatiques du pool.
Lors de la création d’une configuration de répertoire, spécifiez un compte de service qui possède les autorisations appropriées pour gérer les objets ordinateur dans le domaine Active Directory où les serveurs de fichiers, les applications, les objets ordinateur et les autres ressources réseau résident.
Vos comptes Active Directory d'utilisateur final doivent avoir les autorisations « Autorisé à authentifier » pour les éléments suivants :
+ WorkSpaces Regroupe des objets informatiques
+ Contrôleurs de domaine pour le domaine
Pour de plus amples informations, veuillez consulter [Octroi d'autorisations pour la création et la gestion d'objets ordinateur Active Directory](#active-directory-permissions).