Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Menggunakan Active Directory dengan WorkSpaces Aplikasi
<a name="active-directory"></a>

Anda dapat menggabungkan armada Windows dan pembuat gambar WorkSpaces Aplikasi Amazon Selalu Aktif dan Sesuai Permintaan ke domain di Microsoft Active Directory dan menggunakan domain Active Directory yang ada, baik berbasis cloud maupun lokal, untuk meluncurkan instans streaming yang bergabung dengan domain. Anda juga dapat menggunakan AWS Directory Service for Microsoft Active Directory, juga dikenal sebagai Microsoft AD yang AWS Dikelola, untuk membuat domain Direktori Aktif dan menggunakannya untuk mendukung sumber daya WorkSpaces Aplikasi Anda. Untuk informasi selengkapnya tentang menggunakan Microsoft AD yang AWS Dikelola, lihat [Microsoft Active Directory](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_microsoft_ad.html) di *Panduan AWS Directory Service Administrasi*.

**catatan**  
Armada Amazon Linux 2, pembuat gambar, armada elastis, dan pembuat blok aplikasi saat ini tidak mendukung domain join.

Dengan menggabungkan WorkSpaces Aplikasi ke domain Active Directory Anda, Anda dapat:
+ Izinkan pengguna dan aplikasi Anda mengakses sumber daya Direktori Aktif seperti printer dan berbagi file dari sesi streaming.
+ Gunakan setelan Kebijakan Grup yang tersedia di Konsol Manajemen Kebijakan Grup (GPMC) untuk menentukan pengalaman pengguna akhir.
+ Streaming aplikasi yang mengharuskan pengguna untuk diautentikasi menggunakan kredensi login Active Directory mereka.
+ Terapkan kebijakan kepatuhan dan keamanan perusahaan Anda ke instans streaming WorkSpaces Aplikasi Anda.

**Topics**
+ [Ikhtisar Domain Direktori Aktif](active-directory-overview.md)
+ [Sebelum Anda Mulai Menggunakan Active Directory dengan WorkSpaces Aplikasi Amazon](active-directory-prerequisites.md)
+ [Tutorial: Menyiapkan Direktori Aktif](active-directory-directory-setup.md)
+ [Otentikasi Berbasis Sertifikat](certificate-based-authentication.md)
+ [WorkSpaces Aplikasi Administrasi Direktori Aktif](active-directory-admin.md)
+ [Info Selengkapnya](active-directory-more-info.md)

# Ikhtisar Domain Direktori Aktif
<a name="active-directory-overview"></a>

Menggunakan domain Active Directory dengan WorkSpaces Aplikasi memerlukan pemahaman tentang bagaimana mereka bekerja bersama dan tugas konfigurasi yang harus Anda selesaikan. Anda harus menyelesaikan tugas-tugas berikut:

1. Konfigurasikan pengaturan Kebijakan Grup sesuai kebutuhan untuk menentukan pengalaman pengguna akhir dan persyaratan keamanan untuk aplikasi.

1. Buat tumpukan aplikasi yang bergabung dengan domain di Aplikasi. WorkSpaces 

1. Buat WorkSpaces aplikasi Aplikasi di penyedia identitas SAMP 2.0 dan tetapkan ke pengguna akhir baik secara langsung atau melalui grup Active Directory.

Agar pengguna Anda dapat diautentikasi ke domain, beberapa langkah harus dilakukan saat pengguna ini memulai sesi streaming WorkSpaces Aplikasi. Diagram berikut menggambarkan aliran otentikasi end-to-end pengguna dari permintaan browser awal melalui SAMP dan otentikasi Active Directory.

![\[Authentication flow diagram showing steps from user login to AWSWorkSpaces Applications session start.\]](http://docs.aws.amazon.com/id_id/appstream2/latest/developerguide/images/domain-join-UPDATED.png)


**Alur Otentikasi Pengguna**

1. Pengguna menelusuri ke`https://applications.exampleco.com`. Halaman sign-on meminta otentikasi untuk pengguna.

1. Layanan federasi meminta otentikasi dari toko identitas organisasi.

1. Toko identitas mengautentikasi pengguna dan mengembalikan respons otentikasi ke layanan federasi.

1. Pada otentikasi yang berhasil, layanan federasi memposting pernyataan SAMP ke browser pengguna.

1. Browser pengguna memposting pernyataan SAMP ke titik akhir SAMP AWS Masuk (). `https://signin.aws.amazon.com/saml` AWS Masuk menerima permintaan SAMP, memproses permintaan, mengautentikasi pengguna, dan meneruskan token otentikasi ke layanan Aplikasi. WorkSpaces 

1. Menggunakan token otentikasi dari AWS, WorkSpaces Aplikasi mengotorisasi pengguna dan menyajikan aplikasi ke browser.

1. Pengguna memilih aplikasi dan, tergantung pada metode otentikasi login Windows yang diaktifkan pada tumpukan WorkSpaces Aplikasi, mereka diminta untuk memasukkan kata sandi domain Active Directory mereka atau memilih kartu pintar. Jika kedua metode otentikasi diaktifkan, pengguna dapat memilih apakah akan memasukkan kata sandi domain mereka atau menggunakan kartu pintar mereka. Otentikasi berbasis sertifikat juga dapat digunakan untuk mengautentikasi pengguna, menghapus prompt.

1. Pengontrol domain dihubungi untuk otentikasi pengguna.

1. Setelah diautentikasi dengan domain, sesi pengguna dimulai dengan konektivitas domain.

Dari sudut pandang pengguna, proses ini transparan. Pengguna memulai dengan menavigasi ke portal internal organisasi Anda dan diarahkan ke portal WorkSpaces aplikasi Aplikasi, tanpa harus memasukkan kredensyal. AWS Hanya kata sandi domain Active Directory atau kredenal kartu pintar yang diperlukan.

Sebelum pengguna dapat memulai proses ini, Anda harus mengonfigurasi Active Directory dengan hak yang diperlukan dan pengaturan Kebijakan Grup dan membuat tumpukan aplikasi yang bergabung dengan domain.

# Sebelum Anda Mulai Menggunakan Active Directory dengan WorkSpaces Aplikasi Amazon
<a name="active-directory-prerequisites"></a>

Sebelum Anda menggunakan domain Microsoft Active Directory dengan WorkSpaces Aplikasi, perhatikan persyaratan dan pertimbangan berikut.

**Topics**
+ [Lingkungan Domain Direktori Aktif](active-directory-prerequisites-domain-environment.md)
+ [Instans Streaming Aplikasi yang Bergabung dengan Domain WorkSpaces](active-directory-prerequisites-streaming-instances.md)
+ [Pengaturan Kebijakan Grup](active-directory-prerequisites-group-policy-settings.md)
+ [Otentikasi Kartu Pintar](active-directory-prerequisites-smart-card-authentication.md)

# Lingkungan Domain Direktori Aktif
<a name="active-directory-prerequisites-domain-environment"></a>

Lingkungan domain direktori aktif Anda harus memenuhi persyaratan berikut.
+ Anda harus memiliki domain Microsoft Active Directory untuk bergabung dengan instans streaming Anda. Jika Anda tidak memiliki domain Direktori Aktif atau ingin menggunakan lingkungan Direktori Aktif lokal, lihat [Layanan Domain Direktori Aktif pada Panduan Penerapan Solusi AWS Mitra](https://aws-solutions-library-samples.github.io/cfn-ps-microsoft-activedirectory/).
+ Anda harus memiliki akun layanan domain dengan izin untuk membuat dan mengelola objek komputer di domain yang ingin Anda gunakan dengan WorkSpaces Aplikasi. Untuk selengkapnya, lihat [Cara Membuat Akun Domain di Direktori Aktif](https://msdn.microsoft.com/en-us/library/aa545262(v=cs.70).aspx) dalam dokumentasi Microsoft.

  Saat Anda mengaitkan domain Direktori Aktif ini dengan WorkSpaces Aplikasi, berikan nama dan kata sandi akun layanan. WorkSpaces Aplikasi menggunakan akun ini untuk membuat dan mengelola objek komputer di direktori. Untuk informasi selengkapnya, lihat [Memberikan Izin untuk Membuat dan Mengelola Objek Komputer Direktori Aktif](active-directory-permissions.md).
+ Ketika Anda mendaftarkan domain Active Directory Anda dengan WorkSpaces Aplikasi, Anda harus memberikan nama unit organisasi (OU) yang dibedakan. Buat OU untuk tujuan ini. Kontainer Komputer default bukan OU dan tidak dapat digunakan oleh WorkSpaces Aplikasi. Untuk informasi selengkapnya, lihat [Menemukan Nama Distinguished Unit Organisasi](active-directory-oudn.md).
+ Direktori yang Anda rencanakan untuk digunakan dengan WorkSpaces Aplikasi harus dapat diakses melalui nama domain yang sepenuhnya memenuhi syarat (FQDNs) melalui virtual private cloud (VPC) tempat instance streaming Anda diluncurkan. Untuk informasi selengkapnya, lihat [Persyaratan Port Layanan Domain Direktori Aktif dan](https://technet.microsoft.com/en-us/library/dd772723.aspx) Direktori Aktif dalam dokumentasi Microsoft.
+ Akses pengontrol domain juga dapat didukung IPv6, dan memerlukan [opsi DHCP mengatur pembaruan](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_DHCP_Options.html).

# Instans Streaming Aplikasi yang Bergabung dengan Domain WorkSpaces
<a name="active-directory-prerequisites-streaming-instances"></a>

Federasi pengguna berbasis SAMP 2.0 diperlukan untuk streaming aplikasi dari armada Always-On dan On-Demand yang bergabung dengan domain. Anda tidak dapat meluncurkan sesi ke instans yang bergabung dengan domain dengan menggunakan [CreateStreamingURL atau kumpulan pengguna](https://docs.aws.amazon.com/appstream2/latest/APIReference/API_CreateStreamingURL.html) Aplikasi. WorkSpaces 

Selain itu, Anda harus menggunakan gambar yang mendukung penggabungan pembuat gambar dan armada ke domain Active Directory. Semua gambar publik yang dipublikasikan pada atau setelah 24 Juli 2017 mendukung bergabung dengan domain Active Directory. Untuk informasi selengkapnya, lihat [WorkSpaces Catatan Rilis Pembaruan Gambar Dasar Aplikasi dan Gambar Terkelola](base-image-version-history.md) dan [Tutorial: Menyiapkan Direktori Aktif](active-directory-directory-setup.md).

**catatan**  
Anda dapat bergabung dengan instans streaming armada Selalu Aktif dan Sesuai Permintaan ke domain Direktori Aktif. Sistem operasi yang didukung termasuk Windows, Red Hat Enterprise Linux, dan Rocky Linux.

# Pengaturan Kebijakan Grup
<a name="active-directory-prerequisites-group-policy-settings"></a>

Verifikasi konfigurasi Anda untuk pengaturan Kebijakan Grup berikut. Jika diperlukan, perbarui pengaturan seperti yang dijelaskan di bagian ini sehingga tidak memblokir WorkSpaces Aplikasi untuk mengautentikasi dan masuk ke pengguna domain Anda. Jika tidak, ketika pengguna Anda mencoba masuk ke WorkSpaces Aplikasi, login mungkin tidak berhasil. Sebagai gantinya, pesan ditampilkan, memberi tahu pengguna bahwa “Terjadi kesalahan yang tidak diketahui.”
+ **Konfigurasi Komputer> Template Administratif> Komponen Windows> Opsi Masuk Windows> Nonaktifkan atau Aktifkan Perangkat Lunak Urutan Perhatian Aman** - Atur ini ke **Diaktifkan** untuk **Layanan**.
+ **Konfigurasi Komputer> Template Administratif> Sistem> Logon > Kecualikan penyedia kredensyal** - Pastikan bahwa CLSID berikut *tidak* terdaftar: dan `e7c1bab5-4b49-4e64-a966-8d99686f8c7c` `f148bAed-5f7f-40c9-8D48-51e24e571825`
+ **Konfigurasi Komputer > Kebijakan > Pengaturan Windows > Pengaturan Keamanan > Kebijakan Lokal > Opsi Keamanan > Logon Interaktif > Logon Interaktif: Teks pesan untuk pengguna yang mencoba masuk** **- Setel ini ke Tidak ditentukan.**
+ **Konfigurasi Komputer > Kebijakan > Pengaturan Windows > Pengaturan Keamanan > Kebijakan Lokal > Opsi Keamanan > Logon Interaktif > Logon Interaktif: Judul pesan untuk pengguna yang mencoba masuk** **- Setel ini ke Tidak ditentukan.**
+ **Konfigurasi Komputer > Kebijakan > Pengaturan Windows > Pengaturan Keamanan > Kebijakan Lokal> Penetapan Hak Pengguna > Izinkan masuk secara lokal** - Setel ini ke **Tidak ditentukan** atau tambahkan domain user/group ke daftar ini.
+ **Konfigurasi Komputer > Kebijakan > Pengaturan Windows > Pengaturan Keamanan > Kebijakan Lokal> Penetapan Hak Pengguna > Tolak log on secara lokal** - Setel ini ke **Tidak ditentukan** atau pastikan bahwa pengguna/grup domain tidak termasuk dalam daftar.

Jika Anda menggunakan armada multi-sesi, Anda juga memerlukan pengaturan Kebijakan Grup berikut, selain pengaturan yang ditentukan di atas.
+ **Konfigurasi Komputer > Kebijakan > Pengaturan Windows > Pengaturan Keamanan > Kebijakan Lokal> Penetapan Hak Pengguna > Izinkan masuk melalui Layanan Desktop Jarak Jauh** - Setel ini ke **Tidak ditentukan** atau tambahkan domain user/group ke daftar ini.
+ **Konfigurasi Komputer> Kebijakan > Pengaturan Windows > Pengaturan Keamanan > Kebijakan Lokal> Penetapan Hak Pengguna > Tolak masuk melalui Layanan Desktop Jarak Jauh** - Setel ini ke **Tidak ditentukan** atau pastikan bahwa domain users/groups tidak termasuk dalam daftar.

# Otentikasi Kartu Pintar
<a name="active-directory-prerequisites-smart-card-authentication"></a>

WorkSpaces Aplikasi mendukung penggunaan kata sandi domain Active Directory atau kartu pintar seperti [Common Access Card (CAC) dan kartu](https://www.cac.mil/Common-Access-Card) pintar [Personal Identity Verification (PIV)](https://piv.idmanagement.gov/) untuk masuk Windows ke instance streaming WorkSpaces Aplikasi. Untuk informasi tentang cara mengonfigurasi lingkungan Direktori Aktif untuk mengaktifkan kartu pintar masuk menggunakan otoritas sertifikasi pihak ketiga (CAs), lihat [Pedoman untuk mengaktifkan logon kartu pintar dengan otoritas sertifikasi pihak ketiga](https://docs.microsoft.com/en-us/troubleshoot/windows-server/windows-security/enabling-smart-card-logon-third-party-certification-authorities) dalam dokumentasi Microsoft.

**catatan**  
WorkSpaces Aplikasi juga mendukung penggunaan kartu pintar untuk otentikasi dalam sesi setelah pengguna masuk ke instance streaming. Fitur ini hanya didukung untuk pengguna yang memiliki klien WorkSpaces Aplikasi untuk Windows versi 1.1.257 atau yang lebih baru diinstal. Untuk informasi tentang persyaratan tambahan, lihat[Kartu Pintar](feature-support-USB-devices-qualified.md#feature-support-USB-devices-qualified-smart-cards).

# Tutorial: Menyiapkan Direktori Aktif
<a name="active-directory-directory-setup"></a>

Untuk menggunakan Active Directory dengan WorkSpaces Applications, Anda harus terlebih dahulu mendaftarkan konfigurasi direktori Anda dengan membuat objek Directory Config di WorkSpaces Applications. Objek ini mencakup informasi yang diperlukan untuk menggabungkan instance streaming ke domain Active Directory. Anda membuat objek Directory Config menggunakan WorkSpaces Applications management console, AWS SDK, atau. AWS CLI Anda kemudian dapat menggunakan konfigurasi direktori untuk meluncurkan armada dan pembuat gambar Always-On dan On-Demand yang bergabung dengan domain. 

**catatan**  
Anda hanya dapat bergabung dengan instans streaming armada Selalu Aktif dan Sesuai Permintaan ke domain Direktori Aktif.

**Topics**
+ [Langkah 1: Buat Objek Config Direktori](#active-directory-setup-config)
+ [Langkah 2: Buat Gambar dengan Menggunakan Image Builder yang Bergabung dengan Domain](#active-directory-setup-image-builder)
+ [Langkah 3: Buat Armada yang Bergabung dengan Domain](#active-directory-setup-fleet)
+ [Langkah 4: Konfigurasikan SAMP 2.0](#active-directory-setup-saml)

## Langkah 1: Buat Objek Config Direktori
<a name="active-directory-setup-config"></a>

Objek Directory Config yang Anda buat di WorkSpaces Aplikasi akan digunakan pada langkah selanjutnya.

Jika Anda menggunakan AWS SDK, Anda dapat menggunakan [CreateDirectoryConfig](https://docs.aws.amazon.com/appstream2/latest/APIReference/API_CreateDirectoryConfig.html)operasi. Jika Anda menggunakan AWS CLI, Anda dapat menggunakan [create-directory-config](https://docs.aws.amazon.com/cli/latest/reference/appstream/create-directory-config.html)perintah.

**Untuk membuat objek Directory Config dengan menggunakan konsol Applications WorkSpaces**

1. Buka konsol WorkSpaces Aplikasi di [https://console.aws.amazon.com/appstream2](https://console.aws.amazon.com/appstream2).

1. Di panel navigasi, pilih **Directory Config, Create Directory** **Config**.

1. Untuk **Nama Direktori**, berikan nama domain yang sepenuhnya memenuhi syarat (FQDN) dari domain Direktori Aktif (misalnya,). `corp.example.com` Setiap wilayah hanya dapat memiliki satu nilai **Directory Config** dengan nama direktori tertentu.

1. Untuk **Nama Akun Layanan**, masukkan nama akun yang dapat membuat objek komputer dan yang memiliki izin untuk bergabung dengan domain. Untuk informasi selengkapnya, lihat [Memberikan Izin untuk Membuat dan Mengelola Objek Komputer Direktori Aktif](active-directory-permissions.md). Nama akun harus dalam format`DOMAIN\username`.

1. Untuk **Kata Sandi** dan **Konfirmasi Kata Sandi**, ketik kata sandi direktori untuk akun yang ditentukan.

1. Untuk **Unit Organisasi (OU)**, ketikkan nama yang dibedakan dari setidaknya satu OU untuk streaming objek komputer instance. 
**catatan**  
Nama OU tidak dapat berisi spasi. Jika Anda menentukan nama OU yang berisi spasi, ketika armada atau pembuat gambar mencoba untuk bergabung kembali dengan domain Active Directory, WorkSpaces Aplikasi tidak dapat memutar objek komputer dengan benar dan domain bergabung kembali tidak berhasil. Untuk informasi tentang cara memecahkan masalah ini, lihat topik *DOMAIN\$1JOIN\$1INTERNAL\$1SERVICE\$1ERROR* untuk pesan “Akun sudah ada”. [Domain Direktori Aktif Bergabung](troubleshooting-notification-codes.md#troubleshooting-notification-codes-ad)  
Selain itu, kontainer Komputer default bukan OU dan tidak dapat digunakan oleh WorkSpaces Aplikasi. Untuk informasi selengkapnya, lihat [Menemukan Nama Distinguished Unit Organisasi](active-directory-oudn.md).

1. Untuk menambahkan lebih dari satu OU, pilih tanda plus (**\$1**) di sebelah **Unit Organisasi (OU)**. Untuk menghapus OUs, pilih ikon **x**.

1. Pilih **Berikutnya**.

1. Tinjau informasi konfigurasi dan pilih **Buat**.

## Langkah 2: Buat Gambar dengan Menggunakan Image Builder yang Bergabung dengan Domain
<a name="active-directory-setup-image-builder"></a>

Selanjutnya, menggunakan pembuat gambar WorkSpaces Aplikasi, buat gambar baru dengan kemampuan bergabung domain Active Directory. Perhatikan bahwa armada dan gambar dapat menjadi anggota domain yang berbeda. Anda bergabung dengan pembuat gambar ke domain untuk mengaktifkan domain bergabung dan menginstal aplikasi. Gabungan domain armada dibahas di bagian selanjutnya.

**Untuk membuat gambar untuk meluncurkan armada yang bergabung dengan domain**

1. Ikuti prosedur di [Tutorial: Membuat Gambar WorkSpaces Aplikasi Kustom dengan Menggunakan Konsol WorkSpaces Aplikasi](tutorial-image-builder.md).

1. Untuk langkah pemilihan gambar dasar, gunakan gambar AWS dasar yang dirilis pada atau setelah 24 Juli 2017. Untuk daftar AWS gambar yang dirilis saat ini, lihat[WorkSpaces Catatan Rilis Pembaruan Gambar Dasar Aplikasi dan Gambar Terkelola](base-image-version-history.md).

1. Untuk **Langkah 3: Konfigurasikan Jaringan**, pilih VPC dan subnet dengan konektivitas jaringan ke lingkungan Active Directory Anda. Pilih grup keamanan yang diatur untuk mengizinkan akses ke direktori Anda melalui subnet VPC Anda.

1. Juga di **Langkah 3: Konfigurasikan Jaringan**, perluas bagian **Domain Direktori Aktif (Opsional)**, dan pilih nilai untuk **Nama** **Direktori dan Direktori OU** tempat pembuat gambar harus digabungkan.

1. Tinjau konfigurasi pembuat gambar dan pilih **Buat**.

1. Tunggu pembuat gambar baru mencapai status **Running**, dan pilih **Connect**.

1. Masuk ke pembuat gambar dalam mode Administrator atau sebagai pengguna direktori dengan izin administrator lokal. Untuk informasi selengkapnya, lihat [Memberikan Hak Administrator Lokal pada Pembuat Gambar](active-directory-image-builder-local-admin.md).

1. Selesaikan langkah-langkah [Tutorial: Membuat Gambar WorkSpaces Aplikasi Kustom dengan Menggunakan Konsol WorkSpaces Aplikasi](tutorial-image-builder.md) untuk menginstal aplikasi dan membuat gambar baru.

## Langkah 3: Buat Armada yang Bergabung dengan Domain
<a name="active-directory-setup-fleet"></a>

Dengan menggunakan gambar pribadi yang dibuat pada langkah sebelumnya, buat armada Always-On atau On-Demand yang bergabung dengan domain Active Directory untuk aplikasi streaming. Domain bisa berbeda dari yang Anda gunakan untuk pembuat gambar untuk membuat gambar.

**Untuk membuat armada Always-On atau On-Demand yang bergabung dengan domain**

1. Ikuti prosedur di [Buat Armada di WorkSpaces Aplikasi Amazon](set-up-stacks-fleets-create.md).

1. Untuk langkah pemilihan gambar, gunakan gambar yang dibuat pada langkah sebelumnya,[Langkah 2: Buat Gambar dengan Menggunakan Image Builder yang Bergabung dengan Domain](#active-directory-setup-image-builder).

1. Untuk **Langkah 4: Konfigurasikan Jaringan**, pilih VPC dan subnet dengan konektivitas jaringan ke lingkungan Active Directory Anda. Pilih grup keamanan yang disiapkan untuk memungkinkan komunikasi ke domain Anda.

1. Juga di **Langkah 4: Konfigurasikan Jaringan**, perluas bagian **Domain Direktori Aktif (Opsional)** dan pilih nilai untuk **Nama Direktori** **dan Direktori OU** tempat armada harus bergabung.

1. Tinjau konfigurasi armada dan pilih **Buat**.

1. Selesaikan langkah-langkah yang tersisa [Buat Armada dan Tumpukan WorkSpaces Aplikasi Amazon](set-up-stacks-fleets.md) sehingga armada Anda dikaitkan dengan tumpukan dan lari.

## Langkah 4: Konfigurasikan SAMP 2.0
<a name="active-directory-setup-saml"></a>

Pengguna Anda harus menggunakan lingkungan federasi identitas berbasis SAMP 2.0 untuk meluncurkan sesi streaming dari armada yang bergabung dengan domain Anda.

**Untuk mengonfigurasi SAMP 2.0 untuk akses masuk tunggal**

1. Ikuti prosedur di [Menyiapkan SAMP](external-identity-providers-setting-up-saml.md).

1. WorkSpaces Aplikasi mengharuskan `NameID` nilai SAML\$1subject untuk pengguna yang masuk disediakan dalam salah satu format berikut:
   + `domain\username`menggunakan AMAccount nama s
   + `username@domain.com`menggunakan userPrincipalName

   Jika Anda menggunakan format AMAccount Nama s, Anda dapat menentukan `domain` dengan menggunakan nama NetBIOS atau nama domain yang sepenuhnya memenuhi syarat (FQDN).

1. Berikan akses ke pengguna atau grup Active Directory Anda untuk mengaktifkan akses ke tumpukan WorkSpaces Aplikasi dari portal aplikasi penyedia identitas Anda.

1. Selesaikan langkah-langkah selebihnya di [Menyiapkan SAMP](external-identity-providers-setting-up-saml.md).

**Untuk masuk ke pengguna dengan SAMP 2.0**

1. Masuk ke katalog aplikasi penyedia SAMP 2.0 Anda dan buka WorkSpaces aplikasi SAMP Aplikasi yang Anda buat di prosedur sebelumnya.

1. Saat katalog WorkSpaces aplikasi Aplikasi ditampilkan, pilih aplikasi yang akan diluncurkan.

1. Saat ikon pemuatan ditampilkan, Anda diminta untuk memberikan kata sandi. Nama pengguna domain yang disediakan oleh penyedia identitas SAMP 2.0 Anda muncul di atas bidang kata sandi. Masukkan kata sandi Anda, dan pilih **masuk**.

Instans streaming melakukan prosedur login Windows, dan aplikasi yang dipilih terbuka.

# Otentikasi Berbasis Sertifikat
<a name="certificate-based-authentication"></a>

Anda dapat menggunakan otentikasi berbasis sertifikat dengan armada WorkSpaces Aplikasi yang bergabung dengan Microsoft Active Directory. Ini menghapus prompt pengguna untuk kata sandi domain Direktori Aktif saat pengguna masuk. Dengan menggunakan otentikasi berbasis sertifikat dengan domain Active Directory, Anda dapat:
+ Andalkan penyedia identitas SAMP 2.0 Anda untuk mengautentikasi pengguna dan memberikan pernyataan SAMP agar sesuai dengan pengguna di Active Directory.
+ Buat pengalaman masuk masuk tunggal dengan lebih sedikit permintaan pengguna.
+ Aktifkan alur otentikasi tanpa kata sandi menggunakan penyedia identitas SAMP 2.0 Anda.

Otentikasi berbasis sertifikat menggunakan sumber daya AWS Private Certificate Authority (AWS Private CA) di situs Anda. Akun AWS Dengan AWS Private CA, Anda dapat membuat hierarki otoritas sertifikat pribadi (CA), termasuk root dan bawahan CAs. Anda juga dapat membuat hierarki CA Anda sendiri dan mengeluarkan sertifikat darinya yang mengautentikasi pengguna internal. Untuk informasi lebih lanjut, lihat [Apa itu AWS Private CA](https://docs.aws.amazon.com/privateca/latest/userguide/PcaWelcome.html).

Bila Anda menggunakan AWS Private CA untuk autentikasi berbasis sertifikat, WorkSpaces Aplikasi meminta sertifikat untuk pengguna Anda secara otomatis pada reservasi sesi untuk setiap WorkSpaces instance armada Aplikasi. Ini mengautentikasi pengguna ke Active Directory dengan kartu pintar virtual yang disediakan dengan sertifikat.

Otentikasi berbasis sertifikat (CBA) didukung pada armada yang bergabung dengan domain WorkSpaces Aplikasi (baik armada sesi tunggal dan multi-sesi) yang menjalankan instance Windows. Untuk mengaktifkan CBA pada armada multi-sesi, Anda harus menggunakan gambar WorkSpaces Aplikasi yang menggunakan agen WorkSpaces Aplikasi yang dirilis pada atau setelah 02-07-2025. Atau, gambar Anda harus menggunakan pembaruan gambar WorkSpaces Aplikasi terkelola yang dirilis pada atau setelah 02-11-2025. 

**Topics**
+ [Prasyarat](certificate-based-authentication-prereq.md)
+ [Aktifkan Otentikasi Berbasis Sertifikat](certificate-based-authentication-enable.md)
+ [Mengelola Otentikasi Berbasis Sertifikat](certificate-based-authentication-manage.md)
+ [Aktifkan Berbagi PCA Lintas Akun](pca-sharing.md)

# Prasyarat
<a name="certificate-based-authentication-prereq"></a>

Selesaikan langkah-langkah berikut sebelum Anda menggunakan otentikasi berbasis sertifikat.

1. Siapkan armada yang bergabung dengan domain dan konfigurasikan SAMP 2.0. Pastikan Anda menggunakan `username@domain.com` `userPrincipalName` format untuk `NameID` SAML\$1subject. Untuk informasi selengkapnya, lihat [Langkah 5: Buat Pernyataan untuk Respons Otentikasi SAMP](external-identity-providers-setting-up-saml.md#external-identity-providers-create-assertions).
**catatan**  
Jangan aktifkan **login kartu pintar untuk Active Directory** di tumpukan Anda jika Anda ingin menggunakan otentikasi berbasis sertifikat. Untuk informasi selengkapnya, lihat [Kartu Pintar](feature-support-USB-devices-qualified.md#feature-support-USB-devices-qualified-smart-cards). 

1. Gunakan agen WorkSpaces Aplikasi versi 10-13-2022 atau yang lebih baru dengan gambar Anda. Untuk informasi selengkapnya, lihat [Simpan Gambar WorkSpaces Aplikasi Amazon Anda Up-to-Date](keep-image-updated.md).

1. Konfigurasikan `ObjectSid` atribut dalam pernyataan SAMP Anda. Anda dapat menggunakan atribut ini untuk melakukan pemetaan yang kuat dengan pengguna Active Directory. Autentikasi berbasis sertifikat gagal jika `ObjectSid` atribut tidak cocok dengan pengenal keamanan Direktori Aktif (SID) untuk pengguna yang ditentukan dalam SAML\$1subject. `NameID` Untuk informasi selengkapnya, lihat [Langkah 5: Buat Pernyataan untuk Respons Otentikasi SAMP](external-identity-providers-setting-up-saml.md#external-identity-providers-create-assertions). `ObjectSid`Ini wajib untuk otentikasi berbasis sertifikat setelah 10 September 2025. Untuk informasi selengkapnya, lihat [KB5014754: Perubahan autentikasi berbasis sertifikat pada](https://support.microsoft.com/en-us/topic/kb5014754-certificate-based-authentication-changes-on-windows-domain-controllers-ad2c23b0-15d8-4340-a468-4d4f3b188f16) pengontrol domain Windows.

1. Tambahkan `sts:TagSession` izin ke kebijakan kepercayaan peran IAM yang Anda gunakan dengan konfigurasi SAMP 2.0 Anda. Untuk informasi selengkapnya, lihat [Melewati tag sesi di AWS STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html.html). Izin ini diperlukan untuk menggunakan otentikasi berbasis sertifikat. Untuk informasi selengkapnya, lihat [Langkah 2: Buat Peran IAM Federasi SAMP 2.0](external-identity-providers-setting-up-saml.md#external-identity-providers-grantperms).

1. Buat otoritas sertifikat pribadi (CA) menggunakan AWS Private CA, jika Anda tidak memiliki satu dikonfigurasi dengan Active Directory Anda. AWS CA pribadi diperlukan untuk menggunakan otentikasi berbasis sertifikat. Untuk informasi selengkapnya, lihat [Merencanakan AWS Private CA penerapan Anda](https://docs.aws.amazon.com/privateca/latest/userguide/PcaPlanning.html). Pengaturan AWS Private CA berikut adalah umum untuk banyak kasus penggunaan otentikasi berbasis sertifikat:
   + **Opsi tipe CA**
     + **Mode penggunaan CA sertifikat berumur pendek** — Direkomendasikan jika CA hanya mengeluarkan sertifikat pengguna akhir untuk otentikasi berbasis sertifikat.
     + **Hirarki tingkat tunggal dengan Root CA** — Pilih CA bawahan untuk mengintegrasikannya dengan hierarki CA yang ada.
   + **Opsi algoritma kunci** - RSA 2048
   + **Pilihan nama subjek yang dibedakan — Gunakan opsi** yang paling tepat untuk mengidentifikasi CA ini di toko Otoritas Sertifikasi Root Tepercaya Direktori Aktif Anda.
   + **Opsi pencabutan sertifikat** - Distribusi CRL
**catatan**  
Otentikasi berbasis sertifikat memerlukan titik distribusi CRL online yang dapat diakses dari instance armada WorkSpaces Aplikasi dan pengontrol domain. Ini memerlukan akses tidak terautentikasi ke bucket Amazon S3 yang dikonfigurasi AWS untuk entri CRL CA Pribadi, atau distribusi CloudFront dengan akses ke bucket Amazon S3 jika memblokir akses publik. Untuk informasi selengkapnya tentang opsi ini, lihat [Merencanakan daftar pencabutan sertifikat (CRL](https://docs.aws.amazon.com/privateca/latest/userguide/crl-planning.html)).

1. Tandai CA pribadi Anda dengan kunci yang berhak menunjuk CA `euc-private-ca` untuk digunakan dengan otentikasi berbasis sertifikat WorkSpaces Aplikasi. Kunci ini tidak memerlukan nilai. Untuk informasi selengkapnya, lihat [Mengelola tag untuk CA pribadi Anda](https://docs.aws.amazon.com/privateca/latest/userguide/PcaCaTagging.html). Untuk informasi selengkapnya tentang kebijakan AWS terkelola yang digunakan dengan WorkSpaces Aplikasi untuk memberikan izin ke sumber daya di Anda Akun AWS, lihat[AWS Kebijakan Terkelola yang Diperlukan untuk Mengakses Sumber Daya WorkSpaces Aplikasi](managed-policies-required-to-access-appstream-resources.md).

1. Otentikasi berbasis sertifikat menggunakan kartu pintar virtual untuk masuk. Untuk informasi selengkapnya, lihat [Pedoman untuk mengaktifkan logon kartu pintar dengan otoritas sertifikasi pihak ketiga](https://learn.microsoft.com/en-us/troubleshoot/windows-server/windows-security/enabling-smart-card-logon-third-party-certification-authorities). Ikuti langkah-langkah ini:

   1. Konfigurasikan pengontrol domain dengan sertifikat pengontrol domain untuk mengautentikasi pengguna kartu pintar. Jika Anda memiliki CA perusahaan Layanan Sertifikat Direktori Aktif yang dikonfigurasi di Direktori Aktif Anda, maka secara otomatis akan mendaftarkan pengontrol domain dengan sertifikat yang mengaktifkan logon kartu pintar. Jika Anda tidak memiliki Layanan Sertifikat Direktori Aktif, lihat [Persyaratan untuk sertifikat pengontrol domain dari CA pihak ketiga](https://learn.microsoft.com/en-US/troubleshoot/windows-server/windows-security/requirements-domain-controller). AWS merekomendasikan otoritas sertifikat perusahaan Active Directory untuk secara otomatis mengelola pendaftaran untuk sertifikat pengontrol domain.
**catatan**  
Jika Anda menggunakan Microsoft AD AWS Terkelola, Anda dapat mengonfigurasi Layanan Sertifikat pada instans Amazon EC2 yang memenuhi persyaratan untuk sertifikat pengontrol domain. Lihat [Menerapkan Direktori Aktif ke Amazon Virtual Private Cloud baru](https://docs.aws.amazon.com/launchwizard/latest/userguide/launch-wizard-ad-deploying-new-vpc.html) misalnya penerapan AWS Microsoft AD Terkelola yang dikonfigurasi dengan Layanan Sertifikat Direktori Aktif.  
Dengan Microsoft AD dan Layanan Sertifikat Direktori Aktif AWS Terkelola, Anda juga harus membuat aturan keluar dari grup keamanan VPC pengontrol ke instans Amazon EC2 yang menjalankan Layanan Sertifikat. Anda harus memberikan akses grup keamanan ke port TCP 135, dan port 49152 hingga 65535 untuk mengaktifkan pendaftaran otomatis sertifikat. Instans Amazon EC2 juga harus mengizinkan akses masuk pada port yang sama ini dari instance domain, termasuk pengontrol domain. Untuk informasi selengkapnya tentang menemukan grup keamanan untuk Microsoft AD AWS Terkelola, lihat [Mengonfigurasi subnet dan grup keamanan VPC Anda](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_tutorial_setup_trust_prepare_mad.html#tutorial_setup_trust_open_vpc).

   1. Di konsol CA AWS Pribadi, atau dengan SDK atau CLI, ekspor sertifikat CA pribadi. Untuk informasi selengkapnya, lihat [Mengekspor sertifikat pribadi](https://docs.aws.amazon.com/acm/latest/userguide/export-private.html).

   1. Publikasikan CA pribadi ke Active Directory. Masuk ke pengontrol domain atau mesin yang bergabung dengan domain. Salin sertifikat CA pribadi ke salah satu `<path>\<file>` dan jalankan perintah berikut sebagai administrator domain. Anda juga dapat menggunakan Kebijakan Grup dan Alat Kesehatan Microsoft PKI (PKIView) untuk mempublikasikan CA. Untuk informasi selengkapnya, lihat [Petunjuk konfigurasi](https://learn.microsoft.com/en-us/troubleshoot/windows-server/windows-security/enabling-smart-card-logon-third-party-certification-authorities#configuration-instructions).

      ```
      certutil -dspublish -f <path>\<file> RootCA
      ```

      ```
      certutil -dspublish -f <path>\<file> NTAuthCA
      ```

      Pastikan perintah berhasil diselesaikan, lalu hapus file sertifikat CA pribadi. Bergantung pada pengaturan replikasi Direktori Aktif Anda, CA dapat mengambil beberapa menit untuk mempublikasikan ke pengontrol domain dan instance armada WorkSpaces Aplikasi Anda.
**catatan**  
Active Directory harus mendistribusikan CA ke Otoritas Sertifikasi Root Tepercaya dan NTAuth toko Perusahaan secara otomatis untuk instance armada WorkSpaces Aplikasi saat mereka bergabung dengan domain.

Untuk sistem operasi Windows, distribusi CA (Certificate Authority) terjadi secara otomatis. Namun, untuk Rocky Linux dan Red Hat Enterprise Linux, Anda harus mengunduh sertifikat CA root dari CA yang digunakan oleh WorkSpaces Applications Directory Config Anda. Jika sertifikat CA root KDC Anda berbeda, Anda juga harus mengunduhnya. Sebelum menggunakan otentikasi berbasis sertifikat, Anda perlu mengimpor sertifikat ini ke gambar atau snapshot.

Pada gambar, harus ada file bernama/`etc/sssd/pki/sssd_auth_ca_db.pem`. Seharusnya terlihat seperti berikut:

```
-----BEGIN CERTIFICATE-----
Base64-encoded certificate chain from ACM Private CA 
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Base64-encoded certificate body from ACM private CA
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Base64-encoded root CA KDC certificate chain
-----END CERTIFICATE-----
```

**catatan**  
Saat menyalin gambar di seluruh wilayah atau akun, atau mengaitkan ulang gambar dengan Direktori Aktif baru, file ini perlu dikonfigurasi ulang dengan sertifikat yang relevan pada pembuat gambar dan diambil kembali sebelum digunakan.

Di bawah ini adalah petunjuk untuk mengunduh sertifikat CA root:

1. Pada pembuat gambar, buat file bernama`/etc/sssd/pki/sssd_auth_ca_db.pem`.

1. Buka [konsol AWS Private CA](https://console.aws.amazon.com/acm-pca/).

1. Pilih sertifikat pribadi yang digunakan dengan WorkSpaces Applications Directory Config Anda.

1. Pilih tab **sertifikat CA**.

1. Salin rantai sertifikat dan badan sertifikat ke `/etc/sssd/pki/sssd_auth_ca_db.pem` pembuat gambar.

Jika sertifikat CA root yang KDCs digunakan berbeda dari sertifikat CA root yang digunakan oleh WorkSpaces Applications Directory Config Anda, ikuti langkah-langkah berikut untuk mengunduhnya:

1. Connect ke instance Windows yang bergabung dengan domain yang sama dengan pembuat gambar Anda.

1. Buka `certlm.msc`.

1. Di panel kiri, pilih **Otoritas Sertifikat Root Tepercaya**, lalu pilih **Sertifikat..**

1. Untuk setiap sertifikat CA root, buka menu konteks (klik kanan).

1. Pilih **Semua Tugas**, pilih **Ekspor** untuk membuka Wisaya Ekspor Sertifikat, lalu pilih **Berikutnya**.

1. **Pilih **Base64-encoded X.509 (.CER**), dan pilih Berikutnya.**

1. Pilih **Browse**, masukkan nama file, dan pilih **Berikutnya**.

1. Pilih **Selesai**.

1. Buka sertifikat yang diekspor dalam editor teks.

1. Salin isi file `/etc/sssd/pki/sssd_auth_ca_db.pem` ke pembuat gambar.

# Aktifkan Otentikasi Berbasis Sertifikat
<a name="certificate-based-authentication-enable"></a>

Selesaikan langkah-langkah berikut untuk mengaktifkan otentikasi berbasis sertifikat.

**Untuk mengaktifkan otentikasi berbasis sertifikat**

1. Buka konsol WorkSpaces Aplikasi di [https://console.aws.amazon.com/appstream2](https://console.aws.amazon.com/appstream2).

1. Di panel navigasi, pilih **Konfigurasi Direktori**. Pilih konfigurasi direktori yang ingin Anda konfigurasi, dan pilih **Edit**.

1. Pilih **Aktifkan Otentikasi Berbasis Sertifikat**.

1. Konfirmasikan bahwa CA ARN pribadi Anda terkait dalam daftar. Untuk muncul dalam daftar, Anda harus menyimpan CA pribadi di tempat yang sama Akun AWS dan Wilayah AWS. Anda juga harus menandai CA pribadi dengan kunci bernama`euc-private-ca`.

1. Konfigurasikan log direktori di fallback. Dengan Fallback, pengguna dapat masuk dengan kata sandi domain AD mereka jika otentikasi berbasis sertifikat tidak berhasil. Ini direkomendasikan hanya dalam kasus di mana pengguna mengetahui kata sandi domain mereka. Ketika fallback dimatikan, sesi dapat memutuskan koneksi pengguna jika layar kunci atau log off Windows terjadi. Jika fallback diaktifkan, sesi akan meminta pengguna untuk kata sandi domain AD mereka.

1. Pilih **Simpan Perubahan**.

1. Otentikasi berbasis sertifikat sekarang diaktifkan. Ketika pengguna mengautentikasi dengan SAMP 2.0 ke tumpukan WorkSpaces Aplikasi menggunakan armada yang bergabung dengan domain dari klien web WorkSpaces Aplikasi atau klien untuk Windows (versi 1.1.1099 dan yang lebih baru), mereka tidak akan lagi menerima prompt untuk kata sandi domain. Pengguna akan melihat “Menghubungkan dengan otentikasi berbasis sertifikat...” pesan saat menghubungkan ke sesi yang diaktifkan untuk otentikasi berbasis sertifikat.

# Mengelola Otentikasi Berbasis Sertifikat
<a name="certificate-based-authentication-manage"></a>

Setelah Anda mengaktifkan otentikasi berbasis sertifikat, tinjau tugas-tugas berikut.

**Topics**
+ [Sertifikat CA Pribadi](certificate-based-authentication-manage-CA.md)
+ [Sertifikat Pengguna Akhir](certificate-based-authentication-manage-certs.md)
+ [Laporan Audit](certificate-based-authentication-manage-audit.md)
+ [Pembuatan Log dan Pemantauan](certificate-based-authentication-manage-logging.md)

# Sertifikat CA Pribadi
<a name="certificate-based-authentication-manage-CA"></a>

Dalam konfigurasi tipikal, sertifikat CA pribadi memiliki masa berlaku 10 tahun. Untuk informasi selengkapnya tentang mengganti CA privat dengan sertifikat kedaluwarsa, atau menerbitkan kembali CA privat dengan masa berlaku baru, lihat [Mengelola](https://docs.aws.amazon.com/privateca/latest/userguide/ca-lifecycle.html) siklus hidup CA pribadi 

# Sertifikat Pengguna Akhir
<a name="certificate-based-authentication-manage-certs"></a>

Sertifikat pengguna akhir yang dikeluarkan oleh AWS Private CA for WorkSpaces Applications autentikasi berbasis sertifikat tidak memerlukan perpanjangan atau pencabutan. Sertifikat ini berumur pendek. WorkSpaces Aplikasi secara otomatis mengeluarkan sertifikat baru untuk setiap sesi baru, atau setiap 24 jam untuk sesi dengan durasi yang lama. Sesi WorkSpaces Aplikasi mengatur penggunaan sertifikat pengguna akhir ini. Jika Anda mengakhiri sesi, WorkSpaces Aplikasi berhenti menggunakan sertifikat itu. Sertifikat pengguna akhir ini memiliki masa berlaku yang lebih pendek daripada distribusi CRL CA AWS Pribadi biasa. Akibatnya, sertifikat pengguna akhir tidak perlu dicabut dan tidak akan muncul di CRL. 

# Laporan Audit
<a name="certificate-based-authentication-manage-audit"></a>

Anda dapat membuat laporan audit untuk mencantumkan semua sertifikat yang telah dikeluarkan atau dicabut oleh CA privat Anda. Untuk informasi selengkapnya, lihat [Menggunakan laporan audit dengan CA pribadi Anda](https://docs.aws.amazon.com/privateca/latest/userguide/PcaAuditReport.html).

# Pembuatan Log dan Pemantauan
<a name="certificate-based-authentication-manage-logging"></a>

Anda dapat menggunakan CloudTrail untuk merekam panggilan API ke CA pribadi oleh WorkSpaces Aplikasi. Untuk informasi lebih lanjut lihat [Apa itu AWS CloudTrail?](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) dan [menggunakan CloudTrail](https://docs.aws.amazon.com/privateca/latest/userguide/PcaCtIntro.html). Dalam riwayat CloudTrail acara, Anda dapat melihat **GetCertificate**dan nama **IssueCertificate**acara dari sumber acara **acm-pca.amazonaws.com** yang dibuat oleh nama pengguna Aplikasi. WorkSpaces **EcmAssumeRoleSession** Peristiwa ini akan direkam untuk setiap permintaan WorkSpaces otentikasi berbasis sertifikat Aplikasi. Untuk informasi selengkapnya, lihat [Melihat peristiwa dengan Riwayat CloudTrail acara](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).

# Aktifkan Berbagi PCA Lintas Akun
<a name="pca-sharing"></a>

Berbagi lintas akun CA pribadi (PCA) menawarkan kemampuan untuk memberikan izin bagi akun lain untuk menggunakan CA terpusat. CA dapat menghasilkan dan menerbitkan sertifikat dengan menggunakan [AWS Resource Access Manager](https://aws.amazon.com/ram/) (RAM) untuk mengelola izin. Ini menghilangkan kebutuhan akan CA Pribadi di setiap akun. Berbagi lintas akun CA pribadi dapat digunakan dengan Otentikasi berbasis sertifikat WorkSpaces Aplikasi (CBA) dalam hal yang sama. Wilayah AWS

Untuk menggunakan sumber daya Private CA bersama dengan WorkSpaces Aplikasi CBA, selesaikan langkah-langkah berikut:

1. Konfigurasikan Private CA untuk CBA secara terpusat Akun AWS. Untuk informasi selengkapnya, lihat [Otentikasi Berbasis Sertifikat](certificate-based-authentication.md).

1. Bagikan CA Pribadi dengan sumber daya Akun AWS tempat sumber daya WorkSpaces Aplikasi memanfaatkan CBA. Untuk melakukannya, ikuti langkah-langkah di [Cara menggunakan AWS RAM untuk membagikan akun silang ACM Private CA](https://aws.amazon.com/blogs/security/how-to-use-aws-ram-to-share-your-acm-private-ca-cross-account/) Anda. Anda tidak perlu menyelesaikan langkah 3 untuk membuat sertifikat. Anda dapat berbagi CA Pribadi dengan individu Akun AWS, atau berbagi melalui AWS Organizations. Jika Anda berbagi dengan akun individual, Anda harus menerima CA Pribadi bersama di akun sumber daya Anda dengan menggunakan AWS Resource Access Manager konsol atau APIs. 

   Saat mengonfigurasi pembagian, konfirmasikan bahwa pembagian AWS Resource Access Manager sumber daya untuk CA Pribadi di akun sumber daya menggunakan templat izin `AWSRAMBlankEndEntityCertificateAPICSRPassthroughIssuanceCertificateAuthority` terkelola. Template ini sejajar dengan template PCA yang digunakan oleh peran layanan WorkSpaces Aplikasi saat menerbitkan sertifikat CBA.

1. Setelah pembagian berhasil, lihat CA Pribadi bersama dengan menggunakan konsol CA Pribadi di akun sumber daya.

1. Gunakan API atau CLI untuk mengaitkan Private CA ARN dengan CBA di Applications Directory Config Anda. WorkSpaces Pada saat ini, konsol WorkSpaces Aplikasi tidak mendukung pemilihan CA Pribadi bersama ARNs. Berikut ini adalah contoh perintah CLI:

   `aws appstream update-directory-config --directory-name <value> --certificate-based-auth-properties Status=<value>,CertificateAuthorityArn=<value>` 

# WorkSpaces Aplikasi Administrasi Direktori Aktif
<a name="active-directory-admin"></a>

Menyiapkan dan menggunakan Active Directory dengan WorkSpaces Aplikasi melibatkan tugas-tugas administratif berikut.

**Topics**
+ [Memberikan Izin untuk Membuat dan Mengelola Objek Komputer Direktori Aktif](active-directory-permissions.md)
+ [Menemukan Nama Distinguished Unit Organisasi](active-directory-oudn.md)
+ [Memberikan Hak Administrator Lokal pada Pembuat Gambar](active-directory-image-builder-local-admin.md)
+ [Memperbarui Akun Layanan yang Digunakan untuk Bergabung dengan Domain](active-directory-service-acct.md)
+ [Mengunci Sesi Streaming Saat Pengguna Menganggur](active-directory-session-lock.md)
+ [Mengedit Konfigurasi Direktori](active-directory-config-edit.md)
+ [Menghapus Konfigurasi Direktori](active-directory-config-delete.md)
+ [Mengkonfigurasi WorkSpaces Aplikasi untuk Menggunakan Domain Trusts](active-directory-domain-trusts.md)
+ [Mengelola WorkSpaces Aplikasi Objek Komputer di Active Directory](active-directory-identify-objects.md)

# Memberikan Izin untuk Membuat dan Mengelola Objek Komputer Direktori Aktif
<a name="active-directory-permissions"></a>

Untuk mengizinkan WorkSpaces Aplikasi melakukan operasi objek komputer Active Directory, Anda memerlukan akun dengan izin yang memadai. Sebagai praktik terbaik, gunakan akun yang hanya memiliki hak istimewa minimum yang diperlukan. Izin minimum Active Directory Organizational Unit (OU) adalah sebagai berikut:
+ Buat Objek Komputer
+ Ubah Kata Sandi
+ Atur ulang kata sandi
+ Tulis Deskripsi

Sebelum menyiapkan izin, Anda harus melakukan hal berikut terlebih dahulu:
+ Dapatkan akses ke komputer atau instans EC2 yang bergabung dengan domain Anda.
+ Instal snap-in Active Directory User dan Computers MMC. Untuk informasi selengkapnya, lihat [Menginstal atau Menghapus Alat Administrasi Server Jarak Jauh untuk Windows 7](https://technet.microsoft.com/en-us/library/ee449483.aspx) di dokumentasi Microsoft.
+ Masuk sebagai pengguna domain dengan izin yang sesuai untuk mengubah pengaturan keamanan OU.
+ Membuat atau mengidentifikasi pengguna, akun layanan, atau grup untuk mendelegasikan izin.

**Untuk mengatur izin minimum**

1. Buka **Pengguna dan Komputer Direktori Aktif** di domain Anda atau di pengontrol domain Anda.

1. **Di panel navigasi kiri, pilih OU pertama yang akan memberikan hak istimewa bergabung domain, buka menu konteks (klik kanan), lalu pilih Kontrol Delegasi.**

1. Pada halaman **Delegasi Control Wizard**, pilih **Berikutnya**, **Tambah**.

1. Untuk **Pilih Pengguna, Komputer, atau Grup**, pilih pengguna, akun layanan, atau grup yang telah dibuat sebelumnya, lalu pilih **OK**.

1. Pada halaman **Tugas untuk Didelegasikan**, pilih **Buat tugas kustom untuk didelegasikan**, lalu pilih **Selanjutnya**.

1. Pilih **Hanya objek berikut di folder**, **Objek komputer**.

1. Pilih **Buat objek yang dipilih di folder ini**, **Berikutnya**.

1. Untuk **Izin**, pilih **Baca**, **Tulis**, **Ubah Kata Sandi**, **Setel Ulang Kata Sandi**, **Berikutnya**.

1. Pada halaman **Menyelesaikan Delegasi Wizard Kontrol**, verifikasi informasi dan pilih **Selesai**.

1. Ulangi langkah 2-9 untuk tambahan apa pun OUs yang memerlukan izin ini.

Jika Anda mendelegasikan izin ke grup, buat akun pengguna atau layanan dengan kata sandi yang kuat dan tambahkan akun tersebut ke grup. Akun ini kemudian akan memiliki hak istimewa yang cukup untuk menghubungkan instance streaming Anda ke direktori. Gunakan akun ini saat membuat konfigurasi direktori WorkSpaces Aplikasi Anda.

# Menemukan Nama Distinguished Unit Organisasi
<a name="active-directory-oudn"></a>

Ketika Anda mendaftarkan domain Active Directory Anda dengan WorkSpaces Aplikasi, Anda harus memberikan nama unit organisasi (OU) yang dibedakan. Buat OU untuk tujuan ini. Kontainer Komputer default bukan OU dan tidak dapat digunakan oleh WorkSpaces Aplikasi. Prosedur berikut menunjukkan cara mendapatkan nama ini.

**catatan**  
Nama yang dibedakan harus dimulai dengan **OU=** atau tidak dapat digunakan untuk objek komputer.

Sebelum Anda menyelesaikan prosedur ini, Anda harus melakukan hal berikut terlebih dahulu:
+ Dapatkan akses ke komputer atau instans EC2 yang bergabung dengan domain Anda.
+ Instal snap-in Active Directory User dan Computers MMC. Untuk informasi selengkapnya, lihat [Menginstal atau Menghapus Alat Administrasi Server Jarak Jauh untuk Windows 7](https://technet.microsoft.com/en-us/library/ee449483.aspx) di dokumentasi Microsoft.
+ Masuk sebagai pengguna domain dengan izin yang sesuai untuk membaca properti keamanan OU.

**Untuk menemukan nama yang dibedakan dari OU**

1. Buka **Pengguna dan Komputer Direktori Aktif** di domain Anda atau di pengontrol domain Anda.

1. Di bawah **View**, pastikan bahwa **Fitur Lanjutan** diaktifkan.

1. **Di panel navigasi kiri, pilih OU pertama yang akan digunakan untuk WorkSpaces aplikasi streaming objek komputer instance, buka menu konteks (klik kanan), lalu pilih Properties.**

1. Pilih **Editor Atribut**.

1. **Di bawah **Atribut**, untuk **DifferishedName**, pilih View.**

1. Untuk **Nilai**, pilih nama yang dibedakan, buka menu konteks, lalu pilih **Salin**.

# Memberikan Hak Administrator Lokal pada Pembuat Gambar
<a name="active-directory-image-builder-local-admin"></a>

Secara default, pengguna domain Active Directory tidak memiliki hak administrator lokal pada instance pembuat gambar. Anda dapat memberikan hak ini dengan menggunakan preferensi Kebijakan Grup di direktori Anda, atau secara manual, dengan menggunakan akun administrator lokal pada pembuat gambar. Memberikan hak administrator lokal kepada pengguna domain memungkinkan pengguna untuk menginstal aplikasi dan membuat gambar di pembuat gambar WorkSpaces Aplikasi.

**Topics**
+ [Menggunakan preferensi Kebijakan Grup](group-policy.md)
+ [Menggunakan grup Administrator lokal pada pembuat gambar](manual-procedure.md)

# Menggunakan preferensi Kebijakan Grup
<a name="group-policy"></a>

Anda dapat menggunakan preferensi Kebijakan Grup untuk memberikan hak administrator lokal kepada pengguna atau grup Active Directory dan ke semua objek komputer di OU yang ditentukan. Pengguna Active Directory atau grup yang ingin Anda berikan izin administrator lokal harus sudah ada. Untuk menggunakan preferensi Kebijakan Grup, Anda harus melakukan hal berikut terlebih dahulu:
+ Dapatkan akses ke komputer atau instans EC2 yang bergabung dengan domain Anda.
+ Instal snap-in MMC Konsol Manajemen Kebijakan Grup (GPMC). Untuk informasi selengkapnya, lihat [Menginstal atau Menghapus Alat Administrasi Server Jarak Jauh untuk Windows 7](https://technet.microsoft.com/en-us/library/ee449483.aspx) di dokumentasi Microsoft.
+ Masuk sebagai pengguna domain dengan izin untuk membuat objek Kebijakan Grup (GPOs). Tautan GPOs ke yang sesuai OUs.

**Untuk menggunakan preferensi Kebijakan Grup untuk memberikan izin administrator lokal**

1. Di direktori Anda atau pada pengontrol domain, buka prompt perintah sebagai administrator, ketik`gpmc.msc`, lalu tekan ENTER.

1. Di pohon konsol sebelah kiri, pilih OU tempat Anda akan membuat GPO baru atau menggunakan GPO yang ada, lalu lakukan salah satu dari yang berikut: 
   + Buat GPO baru dengan membuka menu konteks (klik kanan) dan memilih **Buat GPO di domain ini, Tautkan di** sini. Untuk **Nama**, berikan nama deskriptif untuk GPO ini.
   + Pilih GPO yang ada.

1. Buka menu konteks untuk GPO, dan pilih **Edit**.

1. Di pohon konsol, pilih **Konfigurasi Komputer**, **Preferensi**, **Pengaturan Windows, Pengaturan** **Panel Kontrol**, dan **Pengguna dan Grup Lokal**.

1. Pilih **Pengguna dan Grup Lokal** yang dipilih, buka menu konteks, dan pilih **Baru**, **Grup Lokal**.

1. Untuk **Tindakan**, pilih **Perbarui**.

1. Untuk **nama Grup**, pilih **Administrator (bawaan)**.

1. Di bawah **Anggota**, pilih **Tambah...** dan tentukan pengguna atau grup Direktori Aktif yang akan menetapkan hak administrator lokal pada instance streaming. Untuk **Tindakan**, pilih **Tambahkan ke grup ini**, dan pilih **OK**.

1. Untuk menerapkan GPO ini ke yang lain OUs, pilih OU tambahan, buka menu konteks dan pilih **Tautkan GPO yang Ada**.

1. **Menggunakan nama GPO baru atau yang sudah ada yang Anda tentukan di langkah 2, gulir untuk menemukan GPO, lalu pilih OK.** 

1. Ulangi langkah 9 dan 10 untuk tambahan OUs yang harus memiliki preferensi ini.

1. Pilih **OK** untuk menutup kotak dialog **Properti Grup Lokal Baru**.

1. Pilih **OK** lagi untuk menutup GPMC.

Untuk menerapkan preferensi baru ke GPO, Anda harus menghentikan dan memulai ulang pembuat gambar atau armada apa pun yang sedang berjalan. Pengguna dan grup Active Directory yang Anda tentukan di langkah 8 secara otomatis diberikan hak administrator lokal pada pembuat gambar dan armada di OU tempat GPO ditautkan.

# Menggunakan grup Administrator lokal pada pembuat gambar
<a name="manual-procedure"></a>

Untuk memberikan hak administrator lokal kepada pengguna Active Directory atau grup pada pembuat gambar, Anda dapat menambahkan pengguna atau grup ini secara manual ke grup Administrator lokal di pembuat gambar. Pembuat gambar yang dibuat dari gambar dengan hak-hak ini mempertahankan hak yang sama. 

Pengguna Active Directory atau grup untuk memberikan hak administrator lokal harus sudah ada.

**Untuk menambahkan pengguna atau grup Active Directory ke grup Administrator lokal pada pembuat gambar**

1. Buka konsol WorkSpaces Aplikasi di [https://console.aws.amazon.com/appstream2](https://console.aws.amazon.com/appstream2).

1. Connect ke image builder dalam mode Administrator. Pembuat gambar harus berjalan dan bergabung dengan domain. Untuk informasi selengkapnya, lihat [Tutorial: Menyiapkan Direktori Aktif](active-directory-directory-setup.md).

1. Pilih **Mulai**, **Alat Administratif**, dan kemudian klik dua kali **Manajemen Komputer**.

1. Di panel navigasi kiri, pilih **Pengguna dan Grup Lokal** dan buka folder **Grup**.

1. Buka grup **Administrator** dan pilih **Tambah**... .

1. Pilih semua pengguna Active Directory atau grup untuk menetapkan hak administrator lokal dan pilih **OK**. Pilih **OK** lagi untuk menutup kotak dialog **Properti Administrator**.

1. Tutup Manajemen Komputer.

1. Untuk masuk sebagai pengguna Active Directory dan menguji apakah pengguna tersebut memiliki hak administrator lokal pada pembuat gambar, pilih **Perintah Admin**, **Ganti pengguna**, lalu masukkan kredensyal pengguna yang relevan.

# Memperbarui Akun Layanan yang Digunakan untuk Bergabung dengan Domain
<a name="active-directory-service-acct"></a>

Untuk memperbarui akun layanan yang digunakan WorkSpaces Aplikasi untuk bergabung dengan domain, sebaiknya gunakan dua akun layanan terpisah untuk bergabung dengan pembuat gambar dan armada ke domain Direktori Aktif Anda. Menggunakan dua akun layanan terpisah memastikan bahwa tidak ada gangguan dalam layanan ketika akun layanan perlu diperbarui (misalnya, ketika kata sandi kedaluwarsa). 

**Untuk memperbarui akun layanan**

1. Buat grup Active Directory dan delegasikan izin yang benar ke grup.

1. Tambahkan akun layanan Anda ke grup Active Directory yang baru.

1. Bila diperlukan, edit objek WorkSpaces Applications Directory Config Anda dengan memasukkan kredensi login untuk akun layanan baru.

Setelah Anda menyiapkan grup Active Directory dengan akun layanan baru, setiap operasi instans streaming baru akan menggunakan akun layanan baru, sementara operasi instans streaming dalam proses terus menggunakan akun lama tanpa gangguan. 

Waktu tumpang tindih akun layanan sementara operasi instans streaming dalam proses selesai sangat singkat, tidak lebih dari sehari. Waktu tumpang tindih diperlukan karena Anda tidak boleh menghapus atau mengubah kata sandi untuk akun layanan lama selama periode tumpang tindih, atau operasi yang ada dapat gagal.

# Mengunci Sesi Streaming Saat Pengguna Menganggur
<a name="active-directory-session-lock"></a>

WorkSpaces Aplikasi bergantung pada pengaturan yang Anda konfigurasikan di GPMC untuk mengunci sesi streaming setelah pengguna Anda menganggur untuk jumlah waktu tertentu. Untuk menggunakan GPMC, Anda harus melakukan hal berikut terlebih dahulu:
+ Dapatkan akses ke komputer atau instans EC2 yang bergabung dengan domain Anda.
+ Instal GPMC. Untuk informasi selengkapnya, lihat [Menginstal atau Menghapus Alat Administrasi Server Jarak Jauh untuk Windows 7](https://technet.microsoft.com/en-us/library/ee449483.aspx) di dokumentasi Microsoft.
+ Masuk sebagai pengguna domain dengan izin untuk membuat GPOs. Tautan GPOs ke yang sesuai OUs.

**Untuk mengunci instans streaming secara otomatis saat pengguna Anda menganggur**

1. Di direktori Anda atau pada pengontrol domain, buka prompt perintah sebagai administrator, ketik`gpmc.msc`, lalu tekan ENTER.

1. Di pohon konsol sebelah kiri, pilih OU tempat Anda akan membuat GPO baru atau menggunakan GPO yang ada, lalu lakukan salah satu dari yang berikut: 
   + Buat GPO baru dengan membuka menu konteks (klik kanan) dan memilih **Buat GPO di domain ini, Tautkan di** sini. Untuk **Nama**, berikan nama deskriptif untuk GPO ini.
   + Pilih GPO yang ada.

1. Buka menu konteks untuk GPO, dan pilih **Edit**. 

1. Di bawah **Konfigurasi Pengguna**, perluas **Kebijakan**, **Template Administratif**, **Panel Kontrol**, lalu pilih **Personalisasi**. 

1. Klik dua kali **Aktifkan screen saver**.

1. Dalam pengaturan kebijakan **Enable screen saver**, pilih **Diaktifkan**.

1. Pilih **Berlakukan**, lalu pilih **OKE**.

1. Klik dua kali **Paksa screen saver tertentu**. 

1. Dalam setelan kebijakan **penghemat layar khusus paksa**, pilih **Diaktifkan**.

1. Di bawah **nama eksekusi Screen saver, masukkan**. **scrnsave.scr** Saat pengaturan ini diaktifkan, sistem menampilkan screen saver hitam di desktop pengguna.

1. Pilih **Berlakukan**, lalu pilih **OKE**.

1. Klik dua kali **Kata sandi melindungi screen saver**.

1. Dalam pengaturan kebijakan **proteksi sandi screen saver**, pilih **Diaktifkan**.

1. Pilih **Berlakukan**, lalu pilih **OKE**.

1. Klik dua kali Batas waktu **penghemat layar**.

1. **Dalam setelan kebijakan **batas waktu tunggu screen saver**, pilih Diaktifkan.**

1. Untuk **Detik**, tentukan lamanya waktu pengguna harus menganggur sebelum screen saver diterapkan. Untuk mengatur waktu idle ke 10 menit, tentukan 600 detik.

1. Pilih **Berlakukan**, lalu pilih **OKE**.

1. Di pohon konsol, di bawah **Konfigurasi Pengguna**, perluas **Kebijakan**, **Template Administratif**, **Sistem**, lalu pilih **Ctrl\$1Alt\$1Del** Options. 

1. Klik dua kali **Hapus Kunci Komputer**.

1. Dalam pengaturan kebijakan **Hapus Kunci Komputer**, pilih **Dinonaktifkan**.

1. Pilih **Berlakukan**, lalu pilih **OKE**.

# Mengedit Konfigurasi Direktori
<a name="active-directory-config-edit"></a>

Setelah konfigurasi direktori WorkSpaces Aplikasi dibuat, Anda dapat mengeditnya untuk menambah, menghapus, atau memodifikasi unit organisasi, memperbarui nama pengguna akun layanan, atau memperbarui kata sandi akun layanan. 

**Untuk memperbarui konfigurasi direktori**

1. Buka konsol WorkSpaces Aplikasi di [https://console.aws.amazon.com/appstream2](https://console.aws.amazon.com/appstream2).

1. Di panel navigasi kiri, pilih **Directory Configs** dan pilih konfigurasi direktori yang akan diedit.

1. Pilih **Tindakan**, **Edit**.

1. Perbarui bidang yang akan diubah. Untuk menambahkan tambahan OUs, pilih tanda plus (**\$1**) di sebelah bidang OU paling atas. Untuk menghapus bidang OU, pilih **x** di sebelah bidang.
**catatan**  
Setidaknya satu OU diperlukan. OUs yang saat ini digunakan tidak dapat dihapus.

1. Untuk menyimpan perubahan, pilih **Perbarui Konfigurasi Direktori**.

1. Informasi di tab **Detail** sekarang harus diperbarui untuk mencerminkan perubahan.

Perubahan pada kredenal masuk akun layanan tidak memengaruhi operasi instans streaming dalam proses. Operasi instans streaming baru menggunakan kredensil yang diperbarui. Untuk informasi selengkapnya, lihat [Memperbarui Akun Layanan yang Digunakan untuk Bergabung dengan Domain](active-directory-service-acct.md).

# Menghapus Konfigurasi Direktori
<a name="active-directory-config-delete"></a>

Anda dapat menghapus konfigurasi direktori WorkSpaces Aplikasi yang tidak lagi diperlukan. Konfigurasi direktori yang terkait dengan pembuat gambar atau armada tidak dapat dihapus.

**Untuk menghapus konfigurasi direktori**

1. Buka konsol WorkSpaces Aplikasi di [https://console.aws.amazon.com/appstream2](https://console.aws.amazon.com/appstream2).

1. Di panel navigasi kiri, pilih **Directory Configs** dan pilih konfigurasi direktori yang akan dihapus.

1. Pilih **Tindakan**, **Hapus**.

1. Verifikasi nama dalam pesan pop-up, dan pilih **Hapus**.

1. Pilih **Perbarui Config Direktori**.

# Mengkonfigurasi WorkSpaces Aplikasi untuk Menggunakan Domain Trusts
<a name="active-directory-domain-trusts"></a>

WorkSpaces Aplikasi mendukung lingkungan domain Active Directory di mana sumber daya jaringan seperti server file, aplikasi, dan objek komputer berada di satu domain, dan objek pengguna berada di domain lain. Akun layanan domain yang digunakan untuk operasi objek komputer tidak perlu berada dalam domain yang sama dengan objek komputer WorkSpaces Aplikasi. 

Saat membuat konfigurasi direktori, tentukan akun layanan yang memiliki izin yang sesuai untuk mengelola objek komputer di domain Active Directory tempat server file, aplikasi, objek komputer, dan sumber daya jaringan lainnya berada.

Akun Active Directory pengguna akhir Anda harus memiliki izin “Diizinkan untuk Mengautentikasi” untuk hal berikut:
+ WorkSpaces Aplikasi objek komputer
+ Pengontrol domain untuk domain

Untuk informasi selengkapnya, lihat [Memberikan Izin untuk Membuat dan Mengelola Objek Komputer Direktori Aktif](active-directory-permissions.md).

# Mengelola WorkSpaces Aplikasi Objek Komputer di Active Directory
<a name="active-directory-identify-objects"></a>

WorkSpaces Aplikasi tidak menghapus objek komputer dari Active Directory. Objek komputer ini dapat dengan mudah diidentifikasi di direktori Anda. Setiap objek komputer dalam direktori dibuat dengan `Description` atribut, yang menentukan armada atau instance pembuat gambar dan nama. 


**Contoh Deskripsi Objek Komputer**  

| Tipe | Nama | Deskripsi Atribut | 
| --- | --- | --- | 
|  Armada  |  ExampleFleet  |  `WorkSpaces Applications - fleet:ExampleFleet`  | 
|  Pembuat gambar  |  ExampleImageBuilder  |  `WorkSpaces Applications - image-builder:ExampleImageBuilder`  | 

Anda dapat mengidentifikasi dan menghapus objek komputer yang tidak aktif yang dibuat oleh WorkSpaces Aplikasi dengan menggunakan `dsrm` perintah berikut `dsquery computer` dan. Untuk informasi selengkapnya, lihat [Komputer Dsquery](https://technet.microsoft.com/en-us/library/cc730720.aspx) dan [DSRM di dokumentasi Microsoft](https://technet.microsoft.com/en-us/library/cc731865.aspx).

`dsquery`Perintah mengidentifikasi objek komputer yang tidak aktif selama periode waktu tertentu dan menggunakan format berikut. `dsquery`Perintah juga harus dijalankan dengan parameter `-desc "WorkSpaces Applications*"` untuk hanya menampilkan objek WorkSpaces Applications. 

```
dsquery computer "OU-distinguished-name" -desc "WorkSpaces Applications*" -inactive number-of-weeks-since-last-login
```
+ `OU-distinguished-name`adalah nama yang dibedakan dari unit organisasi. Untuk informasi selengkapnya, lihat [Menemukan Nama Distinguished Unit Organisasi](active-directory-oudn.md). Jika Anda tidak memberikan *OU-distinguished-name* parameter, perintah akan mencari seluruh direktori. 
+ `number-of-weeks-since-last-log-in`adalah nilai yang diinginkan berdasarkan bagaimana Anda ingin mendefinisikan ketidakaktifan. 

Misalnya, perintah berikut menampilkan semua objek komputer di unit `OU=ExampleOU,DC=EXAMPLECO,DC=COM` organisasi yang belum masuk dalam dua minggu terakhir.

```
dsquery computer OU=ExampleOU,DC=EXAMPLECO,DC=COM -desc "WorkSpaces Applications*" -inactive 2
```

Jika ada kecocokan yang ditemukan, hasilnya adalah satu atau lebih nama objek. `dsrm`Perintah menghapus objek yang ditentukan dan menggunakan format berikut:

```
dsrm objectname
```

`objectname`Dimana nama objek lengkap dari output `dsquery` perintah. Misalnya, jika `dsquery` perintah di atas menghasilkan objek komputer bernama "ExampleComputer“, `dsrm` perintah untuk menghapusnya adalah sebagai berikut:

```
dsrm "CN=ExampleComputer,OU=ExampleOU,DC=EXAMPLECO,DC=COM"
```

Anda dapat menghubungkan perintah ini bersama-sama dengan menggunakan operator pipe (`|`). Misalnya, untuk menghapus semua objek komputer WorkSpaces Aplikasi, meminta konfirmasi untuk masing-masing, gunakan format berikut. Tambahkan `-noprompt` parameter `dsrm` untuk menonaktifkan konfirmasi.

```
dsquery computer OU-distinguished-name -desc "WorkSpaces Applications*" –inactive number-of-weeks-since-last-log-in | dsrm
```

# Info Selengkapnya
<a name="active-directory-more-info"></a>

Untuk informasi selengkapnya terkait topik ini, lihat sumber daya berikut:
+ [Pemecahan Masalah Kode Pemberitahuan](troubleshooting-notification-codes.md)—Resolusi untuk kesalahan kode notifikasi.
+ [Pemecahan Masalah Active Directory](troubleshooting-active-directory.md)—Membantu dengan kesulitan umum.
+ [Microsoft Active Directory](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_microsoft_ad.html) —Informasi tentang penggunaan Directory Service.