Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# WorkSpaces Aplikasi Administrasi Direktori Aktif
Menyiapkan dan menggunakan Active Directory dengan WorkSpaces Aplikasi melibatkan tugas-tugas administratif berikut.
**Topics**
+ [Memberikan Izin untuk Membuat dan Mengelola Objek Komputer Direktori Aktif](active-directory-permissions.md)
+ [Menemukan Nama Distinguished Unit Organisasi](active-directory-oudn.md)
+ [Memberikan Hak Administrator Lokal pada Pembuat Gambar](active-directory-image-builder-local-admin.md)
+ [Memperbarui Akun Layanan yang Digunakan untuk Bergabung dengan Domain](active-directory-service-acct.md)
+ [Mengunci Sesi Streaming Saat Pengguna Menganggur](active-directory-session-lock.md)
+ [Mengedit Konfigurasi Direktori](active-directory-config-edit.md)
+ [Menghapus Konfigurasi Direktori](active-directory-config-delete.md)
+ [Mengkonfigurasi WorkSpaces Aplikasi untuk Menggunakan Domain Trusts](active-directory-domain-trusts.md)
+ [Mengelola WorkSpaces Aplikasi Objek Komputer di Active Directory](active-directory-identify-objects.md)
# Memberikan Izin untuk Membuat dan Mengelola Objek Komputer Direktori Aktif
Untuk mengizinkan WorkSpaces Aplikasi melakukan operasi objek komputer Active Directory, Anda memerlukan akun dengan izin yang memadai. Sebagai praktik terbaik, gunakan akun yang hanya memiliki hak istimewa minimum yang diperlukan. Izin minimum Active Directory Organizational Unit (OU) adalah sebagai berikut:
+ Buat Objek Komputer
+ Ubah Kata Sandi
+ Atur ulang kata sandi
+ Tulis Deskripsi
Sebelum menyiapkan izin, Anda harus melakukan hal berikut terlebih dahulu:
+ Dapatkan akses ke komputer atau instans EC2 yang bergabung dengan domain Anda.
+ Instal snap-in Active Directory User dan Computers MMC. Untuk informasi selengkapnya, lihat [Menginstal atau Menghapus Alat Administrasi Server Jarak Jauh untuk Windows 7](https://technet.microsoft.com/en-us/library/ee449483.aspx) di dokumentasi Microsoft.
+ Masuk sebagai pengguna domain dengan izin yang sesuai untuk mengubah pengaturan keamanan OU.
+ Membuat atau mengidentifikasi pengguna, akun layanan, atau grup untuk mendelegasikan izin.
**Untuk mengatur izin minimum**
1. Buka **Pengguna dan Komputer Direktori Aktif** di domain Anda atau di pengontrol domain Anda.
1. **Di panel navigasi kiri, pilih OU pertama yang akan memberikan hak istimewa bergabung domain, buka menu konteks (klik kanan), lalu pilih Kontrol Delegasi.**
1. Pada halaman **Delegasi Control Wizard**, pilih **Berikutnya**, **Tambah**.
1. Untuk **Pilih Pengguna, Komputer, atau Grup**, pilih pengguna, akun layanan, atau grup yang telah dibuat sebelumnya, lalu pilih **OK**.
1. Pada halaman **Tugas untuk Didelegasikan**, pilih **Buat tugas kustom untuk didelegasikan**, lalu pilih **Selanjutnya**.
1. Pilih **Hanya objek berikut di folder**, **Objek komputer**.
1. Pilih **Buat objek yang dipilih di folder ini**, **Berikutnya**.
1. Untuk **Izin**, pilih **Baca**, **Tulis**, **Ubah Kata Sandi**, **Setel Ulang Kata Sandi**, **Berikutnya**.
1. Pada halaman **Menyelesaikan Delegasi Wizard Kontrol**, verifikasi informasi dan pilih **Selesai**.
1. Ulangi langkah 2-9 untuk tambahan apa pun OUs yang memerlukan izin ini.
Jika Anda mendelegasikan izin ke grup, buat akun pengguna atau layanan dengan kata sandi yang kuat dan tambahkan akun tersebut ke grup. Akun ini kemudian akan memiliki hak istimewa yang cukup untuk menghubungkan instance streaming Anda ke direktori. Gunakan akun ini saat membuat konfigurasi direktori WorkSpaces Aplikasi Anda.
# Menemukan Nama Distinguished Unit Organisasi
Ketika Anda mendaftarkan domain Active Directory Anda dengan WorkSpaces Aplikasi, Anda harus memberikan nama unit organisasi (OU) yang dibedakan. Buat OU untuk tujuan ini. Kontainer Komputer default bukan OU dan tidak dapat digunakan oleh WorkSpaces Aplikasi. Prosedur berikut menunjukkan cara mendapatkan nama ini.
**catatan**
Nama yang dibedakan harus dimulai dengan **OU=** atau tidak dapat digunakan untuk objek komputer.
Sebelum Anda menyelesaikan prosedur ini, Anda harus melakukan hal berikut terlebih dahulu:
+ Dapatkan akses ke komputer atau instans EC2 yang bergabung dengan domain Anda.
+ Instal snap-in Active Directory User dan Computers MMC. Untuk informasi selengkapnya, lihat [Menginstal atau Menghapus Alat Administrasi Server Jarak Jauh untuk Windows 7](https://technet.microsoft.com/en-us/library/ee449483.aspx) di dokumentasi Microsoft.
+ Masuk sebagai pengguna domain dengan izin yang sesuai untuk membaca properti keamanan OU.
**Untuk menemukan nama yang dibedakan dari OU**
1. Buka **Pengguna dan Komputer Direktori Aktif** di domain Anda atau di pengontrol domain Anda.
1. Di bawah **View**, pastikan bahwa **Fitur Lanjutan** diaktifkan.
1. **Di panel navigasi kiri, pilih OU pertama yang akan digunakan untuk WorkSpaces aplikasi streaming objek komputer instance, buka menu konteks (klik kanan), lalu pilih Properties.**
1. Pilih **Editor Atribut**.
1. **Di bawah **Atribut**, untuk **DifferishedName**, pilih View.**
1. Untuk **Nilai**, pilih nama yang dibedakan, buka menu konteks, lalu pilih **Salin**.
# Memberikan Hak Administrator Lokal pada Pembuat Gambar
Secara default, pengguna domain Active Directory tidak memiliki hak administrator lokal pada instance pembuat gambar. Anda dapat memberikan hak ini dengan menggunakan preferensi Kebijakan Grup di direktori Anda, atau secara manual, dengan menggunakan akun administrator lokal pada pembuat gambar. Memberikan hak administrator lokal kepada pengguna domain memungkinkan pengguna untuk menginstal aplikasi dan membuat gambar di pembuat gambar WorkSpaces Aplikasi.
**Topics**
+ [Menggunakan preferensi Kebijakan Grup](group-policy.md)
+ [Menggunakan grup Administrator lokal pada pembuat gambar](manual-procedure.md)
# Menggunakan preferensi Kebijakan Grup
Anda dapat menggunakan preferensi Kebijakan Grup untuk memberikan hak administrator lokal kepada pengguna atau grup Active Directory dan ke semua objek komputer di OU yang ditentukan. Pengguna Active Directory atau grup yang ingin Anda berikan izin administrator lokal harus sudah ada. Untuk menggunakan preferensi Kebijakan Grup, Anda harus melakukan hal berikut terlebih dahulu:
+ Dapatkan akses ke komputer atau instans EC2 yang bergabung dengan domain Anda.
+ Instal snap-in MMC Konsol Manajemen Kebijakan Grup (GPMC). Untuk informasi selengkapnya, lihat [Menginstal atau Menghapus Alat Administrasi Server Jarak Jauh untuk Windows 7](https://technet.microsoft.com/en-us/library/ee449483.aspx) di dokumentasi Microsoft.
+ Masuk sebagai pengguna domain dengan izin untuk membuat objek Kebijakan Grup (GPOs). Tautan GPOs ke yang sesuai OUs.
**Untuk menggunakan preferensi Kebijakan Grup untuk memberikan izin administrator lokal**
1. Di direktori Anda atau pada pengontrol domain, buka prompt perintah sebagai administrator, ketik`gpmc.msc`, lalu tekan ENTER.
1. Di pohon konsol sebelah kiri, pilih OU tempat Anda akan membuat GPO baru atau menggunakan GPO yang ada, lalu lakukan salah satu dari yang berikut:
+ Buat GPO baru dengan membuka menu konteks (klik kanan) dan memilih **Buat GPO di domain ini, Tautkan di** sini. Untuk **Nama**, berikan nama deskriptif untuk GPO ini.
+ Pilih GPO yang ada.
1. Buka menu konteks untuk GPO, dan pilih **Edit**.
1. Di pohon konsol, pilih **Konfigurasi Komputer**, **Preferensi**, **Pengaturan Windows, Pengaturan** **Panel Kontrol**, dan **Pengguna dan Grup Lokal**.
1. Pilih **Pengguna dan Grup Lokal** yang dipilih, buka menu konteks, dan pilih **Baru**, **Grup Lokal**.
1. Untuk **Tindakan**, pilih **Perbarui**.
1. Untuk **nama Grup**, pilih **Administrator (bawaan)**.
1. Di bawah **Anggota**, pilih **Tambah...** dan tentukan pengguna atau grup Direktori Aktif yang akan menetapkan hak administrator lokal pada instance streaming. Untuk **Tindakan**, pilih **Tambahkan ke grup ini**, dan pilih **OK**.
1. Untuk menerapkan GPO ini ke yang lain OUs, pilih OU tambahan, buka menu konteks dan pilih **Tautkan GPO yang Ada**.
1. **Menggunakan nama GPO baru atau yang sudah ada yang Anda tentukan di langkah 2, gulir untuk menemukan GPO, lalu pilih OK.**
1. Ulangi langkah 9 dan 10 untuk tambahan OUs yang harus memiliki preferensi ini.
1. Pilih **OK** untuk menutup kotak dialog **Properti Grup Lokal Baru**.
1. Pilih **OK** lagi untuk menutup GPMC.
Untuk menerapkan preferensi baru ke GPO, Anda harus menghentikan dan memulai ulang pembuat gambar atau armada apa pun yang sedang berjalan. Pengguna dan grup Active Directory yang Anda tentukan di langkah 8 secara otomatis diberikan hak administrator lokal pada pembuat gambar dan armada di OU tempat GPO ditautkan.
# Menggunakan grup Administrator lokal pada pembuat gambar
Untuk memberikan hak administrator lokal kepada pengguna Active Directory atau grup pada pembuat gambar, Anda dapat menambahkan pengguna atau grup ini secara manual ke grup Administrator lokal di pembuat gambar. Pembuat gambar yang dibuat dari gambar dengan hak-hak ini mempertahankan hak yang sama.
Pengguna Active Directory atau grup untuk memberikan hak administrator lokal harus sudah ada.
**Untuk menambahkan pengguna atau grup Active Directory ke grup Administrator lokal pada pembuat gambar**
1. Buka konsol WorkSpaces Aplikasi di [https://console.aws.amazon.com/appstream2](https://console.aws.amazon.com/appstream2).
1. Connect ke image builder dalam mode Administrator. Pembuat gambar harus berjalan dan bergabung dengan domain. Untuk informasi selengkapnya, lihat [Tutorial: Menyiapkan Direktori Aktif](active-directory-directory-setup.md).
1. Pilih **Mulai**, **Alat Administratif**, dan kemudian klik dua kali **Manajemen Komputer**.
1. Di panel navigasi kiri, pilih **Pengguna dan Grup Lokal** dan buka folder **Grup**.
1. Buka grup **Administrator** dan pilih **Tambah**... .
1. Pilih semua pengguna Active Directory atau grup untuk menetapkan hak administrator lokal dan pilih **OK**. Pilih **OK** lagi untuk menutup kotak dialog **Properti Administrator**.
1. Tutup Manajemen Komputer.
1. Untuk masuk sebagai pengguna Active Directory dan menguji apakah pengguna tersebut memiliki hak administrator lokal pada pembuat gambar, pilih **Perintah Admin**, **Ganti pengguna**, lalu masukkan kredensyal pengguna yang relevan.
# Memperbarui Akun Layanan yang Digunakan untuk Bergabung dengan Domain
Untuk memperbarui akun layanan yang digunakan WorkSpaces Aplikasi untuk bergabung dengan domain, sebaiknya gunakan dua akun layanan terpisah untuk bergabung dengan pembuat gambar dan armada ke domain Direktori Aktif Anda. Menggunakan dua akun layanan terpisah memastikan bahwa tidak ada gangguan dalam layanan ketika akun layanan perlu diperbarui (misalnya, ketika kata sandi kedaluwarsa).
**Untuk memperbarui akun layanan**
1. Buat grup Active Directory dan delegasikan izin yang benar ke grup.
1. Tambahkan akun layanan Anda ke grup Active Directory yang baru.
1. Bila diperlukan, edit objek WorkSpaces Applications Directory Config Anda dengan memasukkan kredensi login untuk akun layanan baru.
Setelah Anda menyiapkan grup Active Directory dengan akun layanan baru, setiap operasi instans streaming baru akan menggunakan akun layanan baru, sementara operasi instans streaming dalam proses terus menggunakan akun lama tanpa gangguan.
Waktu tumpang tindih akun layanan sementara operasi instans streaming dalam proses selesai sangat singkat, tidak lebih dari sehari. Waktu tumpang tindih diperlukan karena Anda tidak boleh menghapus atau mengubah kata sandi untuk akun layanan lama selama periode tumpang tindih, atau operasi yang ada dapat gagal.
# Mengunci Sesi Streaming Saat Pengguna Menganggur
WorkSpaces Aplikasi bergantung pada pengaturan yang Anda konfigurasikan di GPMC untuk mengunci sesi streaming setelah pengguna Anda menganggur untuk jumlah waktu tertentu. Untuk menggunakan GPMC, Anda harus melakukan hal berikut terlebih dahulu:
+ Dapatkan akses ke komputer atau instans EC2 yang bergabung dengan domain Anda.
+ Instal GPMC. Untuk informasi selengkapnya, lihat [Menginstal atau Menghapus Alat Administrasi Server Jarak Jauh untuk Windows 7](https://technet.microsoft.com/en-us/library/ee449483.aspx) di dokumentasi Microsoft.
+ Masuk sebagai pengguna domain dengan izin untuk membuat GPOs. Tautan GPOs ke yang sesuai OUs.
**Untuk mengunci instans streaming secara otomatis saat pengguna Anda menganggur**
1. Di direktori Anda atau pada pengontrol domain, buka prompt perintah sebagai administrator, ketik`gpmc.msc`, lalu tekan ENTER.
1. Di pohon konsol sebelah kiri, pilih OU tempat Anda akan membuat GPO baru atau menggunakan GPO yang ada, lalu lakukan salah satu dari yang berikut:
+ Buat GPO baru dengan membuka menu konteks (klik kanan) dan memilih **Buat GPO di domain ini, Tautkan di** sini. Untuk **Nama**, berikan nama deskriptif untuk GPO ini.
+ Pilih GPO yang ada.
1. Buka menu konteks untuk GPO, dan pilih **Edit**.
1. Di bawah **Konfigurasi Pengguna**, perluas **Kebijakan**, **Template Administratif**, **Panel Kontrol**, lalu pilih **Personalisasi**.
1. Klik dua kali **Aktifkan screen saver**.
1. Dalam pengaturan kebijakan **Enable screen saver**, pilih **Diaktifkan**.
1. Pilih **Berlakukan**, lalu pilih **OKE**.
1. Klik dua kali **Paksa screen saver tertentu**.
1. Dalam setelan kebijakan **penghemat layar khusus paksa**, pilih **Diaktifkan**.
1. Di bawah **nama eksekusi Screen saver, masukkan**. **scrnsave.scr** Saat pengaturan ini diaktifkan, sistem menampilkan screen saver hitam di desktop pengguna.
1. Pilih **Berlakukan**, lalu pilih **OKE**.
1. Klik dua kali **Kata sandi melindungi screen saver**.
1. Dalam pengaturan kebijakan **proteksi sandi screen saver**, pilih **Diaktifkan**.
1. Pilih **Berlakukan**, lalu pilih **OKE**.
1. Klik dua kali Batas waktu **penghemat layar**.
1. **Dalam setelan kebijakan **batas waktu tunggu screen saver**, pilih Diaktifkan.**
1. Untuk **Detik**, tentukan lamanya waktu pengguna harus menganggur sebelum screen saver diterapkan. Untuk mengatur waktu idle ke 10 menit, tentukan 600 detik.
1. Pilih **Berlakukan**, lalu pilih **OKE**.
1. Di pohon konsol, di bawah **Konfigurasi Pengguna**, perluas **Kebijakan**, **Template Administratif**, **Sistem**, lalu pilih **Ctrl\$1Alt\$1Del** Options.
1. Klik dua kali **Hapus Kunci Komputer**.
1. Dalam pengaturan kebijakan **Hapus Kunci Komputer**, pilih **Dinonaktifkan**.
1. Pilih **Berlakukan**, lalu pilih **OKE**.
# Mengedit Konfigurasi Direktori
Setelah konfigurasi direktori WorkSpaces Aplikasi dibuat, Anda dapat mengeditnya untuk menambah, menghapus, atau memodifikasi unit organisasi, memperbarui nama pengguna akun layanan, atau memperbarui kata sandi akun layanan.
**Untuk memperbarui konfigurasi direktori**
1. Buka konsol WorkSpaces Aplikasi di [https://console.aws.amazon.com/appstream2](https://console.aws.amazon.com/appstream2).
1. Di panel navigasi kiri, pilih **Directory Configs** dan pilih konfigurasi direktori yang akan diedit.
1. Pilih **Tindakan**, **Edit**.
1. Perbarui bidang yang akan diubah. Untuk menambahkan tambahan OUs, pilih tanda plus (**\$1**) di sebelah bidang OU paling atas. Untuk menghapus bidang OU, pilih **x** di sebelah bidang.
**catatan**
Setidaknya satu OU diperlukan. OUs yang saat ini digunakan tidak dapat dihapus.
1. Untuk menyimpan perubahan, pilih **Perbarui Konfigurasi Direktori**.
1. Informasi di tab **Detail** sekarang harus diperbarui untuk mencerminkan perubahan.
Perubahan pada kredenal masuk akun layanan tidak memengaruhi operasi instans streaming dalam proses. Operasi instans streaming baru menggunakan kredensil yang diperbarui. Untuk informasi selengkapnya, lihat [Memperbarui Akun Layanan yang Digunakan untuk Bergabung dengan Domain](active-directory-service-acct.md).
# Menghapus Konfigurasi Direktori
Anda dapat menghapus konfigurasi direktori WorkSpaces Aplikasi yang tidak lagi diperlukan. Konfigurasi direktori yang terkait dengan pembuat gambar atau armada tidak dapat dihapus.
**Untuk menghapus konfigurasi direktori**
1. Buka konsol WorkSpaces Aplikasi di [https://console.aws.amazon.com/appstream2](https://console.aws.amazon.com/appstream2).
1. Di panel navigasi kiri, pilih **Directory Configs** dan pilih konfigurasi direktori yang akan dihapus.
1. Pilih **Tindakan**, **Hapus**.
1. Verifikasi nama dalam pesan pop-up, dan pilih **Hapus**.
1. Pilih **Perbarui Config Direktori**.
# Mengkonfigurasi WorkSpaces Aplikasi untuk Menggunakan Domain Trusts
WorkSpaces Aplikasi mendukung lingkungan domain Active Directory di mana sumber daya jaringan seperti server file, aplikasi, dan objek komputer berada di satu domain, dan objek pengguna berada di domain lain. Akun layanan domain yang digunakan untuk operasi objek komputer tidak perlu berada dalam domain yang sama dengan objek komputer WorkSpaces Aplikasi.
Saat membuat konfigurasi direktori, tentukan akun layanan yang memiliki izin yang sesuai untuk mengelola objek komputer di domain Active Directory tempat server file, aplikasi, objek komputer, dan sumber daya jaringan lainnya berada.
Akun Active Directory pengguna akhir Anda harus memiliki izin “Diizinkan untuk Mengautentikasi” untuk hal berikut:
+ WorkSpaces Aplikasi objek komputer
+ Pengontrol domain untuk domain
Untuk informasi selengkapnya, lihat [Memberikan Izin untuk Membuat dan Mengelola Objek Komputer Direktori Aktif](active-directory-permissions.md).
# Mengelola WorkSpaces Aplikasi Objek Komputer di Active Directory
WorkSpaces Aplikasi tidak menghapus objek komputer dari Active Directory. Objek komputer ini dapat dengan mudah diidentifikasi di direktori Anda. Setiap objek komputer dalam direktori dibuat dengan `Description` atribut, yang menentukan armada atau instance pembuat gambar dan nama.
**Contoh Deskripsi Objek Komputer**
| Tipe | Nama | Deskripsi Atribut |
| --- | --- | --- |
| Armada | ExampleFleet | `WorkSpaces Applications - fleet:ExampleFleet` |
| Pembuat gambar | ExampleImageBuilder | `WorkSpaces Applications - image-builder:ExampleImageBuilder` |
Anda dapat mengidentifikasi dan menghapus objek komputer yang tidak aktif yang dibuat oleh WorkSpaces Aplikasi dengan menggunakan `dsrm` perintah berikut `dsquery computer` dan. Untuk informasi selengkapnya, lihat [Komputer Dsquery](https://technet.microsoft.com/en-us/library/cc730720.aspx) dan [DSRM di dokumentasi Microsoft](https://technet.microsoft.com/en-us/library/cc731865.aspx).
`dsquery`Perintah mengidentifikasi objek komputer yang tidak aktif selama periode waktu tertentu dan menggunakan format berikut. `dsquery`Perintah juga harus dijalankan dengan parameter `-desc "WorkSpaces Applications*"` untuk hanya menampilkan objek WorkSpaces Applications.
```
dsquery computer "OU-distinguished-name" -desc "WorkSpaces Applications*" -inactive number-of-weeks-since-last-login
```
+ `OU-distinguished-name`adalah nama yang dibedakan dari unit organisasi. Untuk informasi selengkapnya, lihat [Menemukan Nama Distinguished Unit Organisasi](active-directory-oudn.md). Jika Anda tidak memberikan *OU-distinguished-name* parameter, perintah akan mencari seluruh direktori.
+ `number-of-weeks-since-last-log-in`adalah nilai yang diinginkan berdasarkan bagaimana Anda ingin mendefinisikan ketidakaktifan.
Misalnya, perintah berikut menampilkan semua objek komputer di unit `OU=ExampleOU,DC=EXAMPLECO,DC=COM` organisasi yang belum masuk dalam dua minggu terakhir.
```
dsquery computer OU=ExampleOU,DC=EXAMPLECO,DC=COM -desc "WorkSpaces Applications*" -inactive 2
```
Jika ada kecocokan yang ditemukan, hasilnya adalah satu atau lebih nama objek. `dsrm`Perintah menghapus objek yang ditentukan dan menggunakan format berikut:
```
dsrm objectname
```
`objectname`Dimana nama objek lengkap dari output `dsquery` perintah. Misalnya, jika `dsquery` perintah di atas menghasilkan objek komputer bernama "ExampleComputer“, `dsrm` perintah untuk menghapusnya adalah sebagai berikut:
```
dsrm "CN=ExampleComputer,OU=ExampleOU,DC=EXAMPLECO,DC=COM"
```
Anda dapat menghubungkan perintah ini bersama-sama dengan menggunakan operator pipe (`|`). Misalnya, untuk menghapus semua objek komputer WorkSpaces Aplikasi, meminta konfirmasi untuk masing-masing, gunakan format berikut. Tambahkan `-noprompt` parameter `dsrm` untuk menonaktifkan konfirmasi.
```
dsquery computer OU-distinguished-name -desc "WorkSpaces Applications*" –inactive number-of-weeks-since-last-log-in | dsrm
```