翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# WorkSpaces アプリケーションの Active Directory 管理
WorkSpaces アプリケーションで Active Directory をセットアップして使用するには、以下の管理タスクが必要です。
**Topics**
+ [アクティブディレクトリコンピュータオブジェクトを作成および管理するための許可の付与](active-directory-permissions.md)
+ [組織単位の識別子名を検索する](active-directory-oudn.md)
+ [Image Builder のローカル管理者権限を付与する](active-directory-image-builder-local-admin.md)
+ [ドメインの参加に使用するサービスアカウントの更新](active-directory-service-acct.md)
+ [ユーザーがアイドル状態の場合にストリーミングセッションをロックする](active-directory-session-lock.md)
+ [ディレクトリ設定を編集する](active-directory-config-edit.md)
+ [ディレクトリ設定を削除する](active-directory-config-delete.md)
+ [ドメイン信頼を使用するように WorkSpaces アプリケーションを設定する](active-directory-domain-trusts.md)
+ [Active Directory での WorkSpaces アプリケーションのコンピュータオブジェクトの管理](active-directory-identify-objects.md)
# アクティブディレクトリコンピュータオブジェクトを作成および管理するための許可の付与
WorkSpaces アプリケーションが Active Directory コンピュータオブジェクトオペレーションを実行できるようにするには、十分なアクセス許可を持つアカウントが必要です。ベストプラクティスとして、必要最小限のアクセス許可のみを持つアカウントを使用します。最小限のアクティブディレクトリ組織単位 (OU) 許可は以下のとおりです。
+ コンピュータオブジェクトの作成
+ パスワードの変更
+ [Reset Password] (パスワードのリセット)
+ 説明の書き込み
アクセス許可をセットアップする前に、まず以下の操作を行う必要があります。
+ ドメインに参加済みのコンピュータまたは EC2 インスタンスにアクセスします。
+ Active Directory User and Computers MMC スナップインをインストールします。詳細については、Microsoft ドキュメントの「[Installing or Removing Remote Server Administration Tools for Windows 7](https://technet.microsoft.com/en-us/library/ee449483.aspx)」を参照してください。
+ 適切なアクセス権限を持つドメインユーザーとしてログインし、OU のセキュリティ設定を変更します。
+ アクセス権限を委任するユーザーアカウント、サービスアカウント、またはグループを作成または指定します。
**最小限のアクセス権限をセットアップするには**
1. ドメインまたはドメインコントローラーで [**Active Directory Users and Computers**] (アクティブディレクトリユーザーとコンピュータ) を開きます。
1. 左のナビゲーションペインで、ドメイン参加権限を提供する最初の OU を選択して、コンテキスト (右クリック) メニューを開き、[**制御の委任**] を選択します。
1. [**Delegation of Control Wizard**] ページで、[**Next**]、[**Add**] の順に選択します。
1. **[ユーザー、コンピュータ、グループの選択]** で、事前に作成したユーザーアカウント、サービスアカウント、またはグループを選択し、**[OK]** を選択します。
1. **[Tasks to Delegate]** (委任するタスク) ページで、**[Create a custom task to delegate]** (委任するカスタムタスクの作成) を選択し、**[Next** (次へ) を選択します。
1. [**Only the following objects in the folder**]、[**Computer objects**] を選択します。
1. [**Create selected objects in this folder**]、[**Next**] を選択します。
1. [**Permissions**] で、[**Read**]、[**Write**]、[**Change Password**]、[**Reset Password**]、[**Next**] の順に選択します。
1. [**Completing the Delegation of Control Wizard**] ページで情報を確認し、[**Finish**] を選択します。
1. これらのアクセス権限を必要とする追加の OU に対して、ステップ 2 ~ 9 を繰り返します。
グループにアクセス権限を委任した場合は、強力なパスワードを持つユーザーアカウントまたはサービスアカウントを作成し、そのアカウントをグループに追加します。こうすることで、ディレクトリにストリーミングインスタンスを接続するための十分な権限がこのアカウントに与えられます。WorkSpaces Applications ディレクトリ設定を作成するときに、このアカウントを使用します。
# 組織単位の識別子名を検索する
Active Directory ドメインを WorkSpaces アプリケーションに登録するときは、組織単位 (OU) 識別名を指定する必要があります。この目的のために OU を作成します。デフォルトのコンピュータコンテナは OU ではなく、WorkSpaces アプリケーションでは使用できません。以下に、この名前を取得する手順を示します。
**注記**
識別子名は、**OU=** で始まる必要があります。また、その名前をコンピュータオブジェクトに使用することはできません。
この手順を完了するには、まず以下の操作を行う必要があります。
+ ドメインに参加済みのコンピュータまたは EC2 インスタンスにアクセスします。
+ Active Directory User and Computers MMC スナップインをインストールします。詳細については、Microsoft ドキュメントの「[Installing or Removing Remote Server Administration Tools for Windows 7](https://technet.microsoft.com/en-us/library/ee449483.aspx)」を参照してください。
+ 適切なアクセス権限を持つドメインユーザーとしてログインし、OU のセキュリティプロパティを読み取ります。
**OU 識別子名を確認するには**
1. ドメインまたはドメインコントローラーで [**Active Directory Users and Computers**] (アクティブディレクトリユーザーとコンピュータ) を開きます。
1. [**View**] で、[**Advanced Features**] が有効になっていることを確認します。
1. 左側のナビゲーションペインで、WorkSpaces Applications ストリーミングインスタンスコンピュータオブジェクトに使用する最初の OU を選択し、コンテキスト (右クリック) メニューを開き、**プロパティ**を選択します。
1. [**Attribute Editor**] を選択します。
1. [**Attributes**] の下の [**distinguishedName**] で、[**View**] を選択します。
1. [**値**] で識別子名を選択し、コンテキストメニューを開き、[**コピー**] を選択します。
# Image Builder のローカル管理者権限を付与する
デフォルトで、アクティブディレクトリドメインユーザーに Image Builder インスタンスのローカル管理者権限はありません。このアクセス権限を付与するには、ディレクトリのグループポリシーの設定を使用するか、手動で Image Builder のローカル管理者アカウントを使用します。ドメインユーザーにローカル管理者権限を付与すると、そのユーザーは WorkSpaces Applications Image Builder にアプリケーションをインストールし、イメージを作成できます。
**Topics**
+ [グループポリシー設定を使用する](group-policy.md)
+ [Image Builder でローカル管理者グループを使用する](manual-procedure.md)
# グループポリシー設定を使用する
ローカル管理者権限をアクティブディレクトリのユーザーやグループに付与したり、または指定された OU のすべてのコンピュータオブジェクトに付与したりするには、グループポリシー設定を使用します。ローカル管理者のアクセス許可を付与するアクティブディレクトリユーザーまたはグループが既に存在している必要があります。グループポリシー設定を使用するには、まず、以下の操作を行う必要があります。
+ ドメインに参加済みのコンピュータまたは EC2 インスタンスにアクセスします。
+ グループポリシーマネジメントコンソール (GPMC) の MMC スナップインをインストールします。詳細については、Microsoft ドキュメントの「[Installing or Removing Remote Server Administration Tools for Windows 7](https://technet.microsoft.com/en-us/library/ee449483.aspx)」を参照してください。
+ アクセス許可を持つドメインユーザーとしてログインし、グループポリシーオブジェクト (GPO) を作成します。GPO を適切な OU にリンクします。
**グループポリシー設定を使用して、ローカル管理者のアクセス許可を付与するには**
1. ディレクトリまたはドメインコントローラーで、管理者としてコマンドプロンプトを開き、`gpmc.msc` と入力し、ENTER キーを押します。
1. 左のコンソールツリーで、新しい GPO を作成する OU、または既存の GPO を使用する OU を選択して、以下のいずれかの操作を行います。
+ コンテキスト (右クリック) メニューを開き、[**Create a GPO in this domain, Link it here**] を選択して、新しい GPO を作成します。[**Name**] に、この GPO のわかりやすい名前を入力します。
+ 既存の GPO を選択します。
1. GPO のコンテキストメニューを開き、[**編集**] を選択します。
1. コンソールツリーで、[**Computer Configuration**] (コンピュータの構成)、[**設定**]、[**Windows Settings**] (Windows 設定)、[**Control Panel Settings**] (コントロールパネル設定)、[**Local Users and Groups**] (ローカルユーザーおよびグループ) の順に選択します。
1. [**Local Users and Groups**] (ローカルユーザーおよびグループ) を選択して、コンテキストメニューを開き、[**新規**]、[**Local Group**] (ローカルグループ) の順に選択します。
1. [**Action**] で、[**Update**] を選択します。
1. [**Group name**] で、[**Administrators(built-in)**] を選択します。
1. **[メンバー]** で、**[追加]** を選択して、ストリーミングインスタンスに対するローカル管理者権限を割り当てるアクティブディレクトリユーザーアカウントまたはグループを指定します。[**Action**] で、[**Add to this group**] を選択し、[**OK**] を選択します。
1. この GPO を他の OU に適用するには、追加の OU を選択して、コンテキストメニューを開き、[**Link an Existing GPO**] (既存の GPO のリンク) を選択します。
1. ステップ 2 で指定した新規または既存の GPO 名を使用して、GPO までスクロールし、[**OK**] を選択します。
1. この設定が必要な追加の OU に対して、ステップ 9 および 10 を繰り返します。
1. 再度 [**OK**] を選択して、[**New Local Group Properties**] (新規のローカルグループプロパティ) ダイアログボックスを閉じます。
1. 再度 [**OK**] を選択し、GPMC を閉じます。
新しい設定を GPO に適用するには、実行中の Image Builder またはフロートを停止して再起動する必要があります。GPO がリンクされている OU の Image Builder およびフリートのローカル管理者権限が、ステップ 8 で指定したアクティブディレクトリユーザーおよびグループに自動的に付与されます。
# Image Builder でローカル管理者グループを使用する
Image Builder でアクティブディレクトリユーザーまたはグループのローカル管理者権限を付与するには、これらのユーザーまたはグループを Image Builder のローカル管理者グループに手動で追加します。これらの権限を使用してイメージから作成された Image Builder で、同様の権限を管理します。
ローカル管理者権限を付与するアクティブディレクトリユーザーまたはグループが既に存在している必要があります。
**アクティブディレクトリユーザーまたはグループを Image Builder のローカル管理者グループに追加するには**
1. [https://console.aws.amazon.com/appstream2](https://console.aws.amazon.com/appstream2) で WorkSpaces アプリケーションコンソールを開きます。
1. 管理者モードで Image Builder に接続します。Image Builder は実行中でありドメイン参加済みである必要があります。詳細については、「[チュートリアル: アクティブディレクトリのセットアップ](active-directory-directory-setup.md)」を参照してください。
1. [**開始**]、[**管理ツール**] の順に選択し、[**コンピュータの管理**] をダブルクリックします。
1. 左のナビゲーションペインで、[**Local Users and Groups**] を選択して [**Groups**] フォルダを開きます。
1. [**Administrators**] グループを開いて [**Add...**] を選択します。
1. ローカル管理者権限を割り当てるアクティブディレクトリユーザーまたはグループをすべて選択して、[**OK**] を選択します。再度 [**OK**] を選択して、[**管理者プロパティ**] ダイアログボックスを閉じます。
1. コンピュータの管理を閉じます。
1. アクティブディレクトリユーザーとしてログインし、テストユーザーに Image Builder のローカル管理者権限があることを確認するには、[**Admin Commands**] (管理者コマンド)、[**Switch user**] (ユーザーの切り替え) の順に選択し、該当するユーザーの認証情報を入力します。
# ドメインの参加に使用するサービスアカウントの更新
WorkSpaces Applications がドメインの結合に使用するサービスアカウントを更新するには、Image Builder とフリートを Active Directory ドメインに結合するために 2 つの個別のサービスアカウントを使用することをお勧めします。2 つの異なるサービスアカウントを使用することで、サービスアカウントを更新する必要がある場合 (例: パスワードの失効時) にサービスを中断しなくてすみます。
**サービスアカウントを更新するには**
1. アクティブディレクトリグループを作成し、グループに適切な許可を委任します。
1. サービスアカウントを新しいアクティブディレクトリグループに追加します。
1. 必要に応じて、新しいサービスアカウントのサインイン認証情報を入力して WorkSpaces Applications Directory Config オブジェクトを編集します。
新しいサービスアカウントを使用してアクティブディレクトリグループをセットアップすると、新しいストリーミングインスタンス操作では新しいサービスアカウントが使用されるのに対し、処理中のストリーミングインスタンス操作では、中断されることなく古いアカウントが引き続き使用されます。
処理中のストリーミングインスタンスオペレーションが完了するまでのサービスアカウントの重複時間は短時間 (1 日以内) です。重複期間が必要なのは、重複期間中に古いサービスアカウントのパスワードを削除または変更できないためです。これを行うと既存のオペレーションが失敗することがあります。
# ユーザーがアイドル状態の場合にストリーミングセッションをロックする
WorkSpaces Applications は、ユーザーが指定した時間アイドル状態になった後にストリーミングセッションをロックするように GPMC で設定した設定に依存します。GPMC を使用するには、まず、以下の操作を行う必要があります。
+ ドメインに参加済みのコンピュータまたは EC2 インスタンスにアクセスします。
+ GPMC をインストールします。詳細については、Microsoft ドキュメントの「[Installing or Removing Remote Server Administration Tools for Windows 7](https://technet.microsoft.com/en-us/library/ee449483.aspx)」を参照してください。
+ アクセス許可を持つドメインとしてログインし、GPO を作成します。GPO を適切な OU にリンクします。
**ユーザーがアイドル状態のときに自動的にストリーミングインスタンスをロックするには**
1. ディレクトリまたはドメインコントローラーで、管理者としてコマンドプロンプトを開き、`gpmc.msc` と入力し、ENTER キーを押します。
1. 左のコンソールツリーで、新しい GPO を作成する OU、または既存の GPO を使用する OU を選択して、以下のいずれかの操作を行います。
+ コンテキスト (右クリック) メニューを開き、[**Create a GPO in this domain, Link it here**] を選択して、新しい GPO を作成します。[**Name**] に、この GPO のわかりやすい名前を入力します。
+ 既存の GPO を選択します。
1. GPO のコンテキストメニューを開き、[**編集**] を選択します。
1. [**User Configuration**] (ユーザーの構成) を [**ポリシー**]、[**Administrative Templates**] (管理用テンプレート)、[**コントロールパネル**] の順に展開し、[**Personalization**] (パーソナライズ) を選択します。
1. [**スクリーンセーバーの有効化**] をダブルクリックします。
1. [**Enable screen saver**] (スクリーンセーバーの有効化) ポリシー設定で、[**有効**] を選択します。
1. [**適用**]、[**OK**] の順に選択します。
1. [**スクリーンセーバーの指定**] をダブルクリックします。
1. [**Force specific screen saver**] (スクリーンセーバーの指定) ポリシー設定で、[**有効**] を選択します。
1. [**Screen saver executable name (スクリーンセーバーの実行ファイル名)**] に **scrnsave.scr** と入力します。この設定が有効になると、システムによってユーザーのデスクトップに黒いスクリーンセーバーが表示されます。
1. [**適用**]、[**OK**] の順に選択します。
1. [**スクリーンセーバーのパスワード保護**] をダブルクリックします。
1. [**Password protect the screen saver**] (スクリーンセーバーのパスワード保護) ポリシー設定で、[**有効**] を選択します。
1. [**適用**]、[**OK**] の順に選択します。
1. [**スクリーンセーバーのタイムアウト**] をダブルクリックします。
1. [**Screen saver timeout**] (スクリーンセーバーのタイムアウト) ポリシー設定で、[**有効**] を選択します。
1. [**Seconds**] (秒) に、スクリーンセーバーが適用されるまでのユーザーのアイドル時間の長さを指定します。アイドル時間を 10 分に設定するには、600 秒を指定します。
1. [**適用**]、[**OK**] の順に選択します。
1. コンソールツリーの [**User Configuration**] (ユーザーの構成) を、[**ポリシー**]、[**Administrative Templates**] (管理用テンプレート)、[**システム**] の順に展開し、[**Ctrl\$1Alt\$1Del Options**] を選択します。
1. [**コンピュータのロック解除**] をダブルクリックします。
1. [**Remove Lock Computer**] (コンピュータのロック解除) ポリシー設定で、[**無効**] を選択します。
1. [**適用**]、[**OK**] の順に選択します。
# ディレクトリ設定を編集する
WorkSpaces Applications ディレクトリ設定を作成したら、編集して組織単位の追加、削除、変更、サービスアカウントのユーザー名の更新、またはサービスアカウントのパスワードの更新を行うことができます。
**ディレクトリ設定を更新するには**
1. [https://console.aws.amazon.com/appstream2](https://console.aws.amazon.com/appstream2) で WorkSpaces アプリケーションコンソールを開きます。
1. 左のナビゲーションペインで、[**Directory Configs**] を選択し編集するディレクトリ設定を選択します。
1. **[Actions]**、**[Edit]** の順に選択します。
1. 変更するフィールドを更新します。追加の OU を追加するには、最上位の OU フィールドの横にあるプラス記号 (**\$1**) を選択します。OU フィールドを削除するには、フィールドの横にある [**x**] を選択します。
**注記**
少なくとも 1 つの OU が必要です。現在使用されている OU を削除することはできません。
1. 変更を保存するには、[**Update Directory Config**] を選択します。
1. [**Details**] タブの情報を、変更が反映されるように更新する必要があります。
サービスアカウントのサインイン認証情報の変更は、処理中のストリーミングインスタンスオペレーションに影響しません。新しいストリーミングインスタンスオペレーションでは更新された認証情報が使用されます。詳細については、「[ドメインの参加に使用するサービスアカウントの更新](active-directory-service-acct.md)」を参照してください。
# ディレクトリ設定を削除する
不要になった WorkSpaces Applications ディレクトリ設定を削除できます。Image Builder またはフリートに関連付けられているディレクトリ設定は削除できません。
**ディレクトリ設定を削除するには**
1. [https://console.aws.amazon.com/appstream2](https://console.aws.amazon.com/appstream2) で WorkSpaces アプリケーションコンソールを開きます。
1. 左のナビゲーションペインで、[**Directory Configs**] を選択し削除するディレクトリ設定を選択します。
1. **[アクション]**、**[削除]** の順に選択します。
1. ポップアップメッセージの名前を確認し、[**Delete**] を選択します。
1. [**Update Directory Config**] を選択します。
# ドメイン信頼を使用するように WorkSpaces アプリケーションを設定する
WorkSpaces アプリケーションは、ファイルサーバー、アプリケーション、コンピュータオブジェクトなどのネットワークリソースが 1 つのドメインに存在し、ユーザーオブジェクトが別のドメインに存在する Active Directory ドメイン環境をサポートします。コンピュータオブジェクトオペレーションに使用されるドメインサービスアカウントは、WorkSpaces アプリケーションコンピュータオブジェクトと同じドメインに存在する必要はありません。
ディレクトリ設定を作成する際、適切なアクセス許可を持つサービスアカウントを指定して、サーバー、アプリケーション、コンピュータオブジェクト、その他のネットワークリソースが存在するアクティブディレクトリドメインのコンピュータオブジェクトを管理します。
エンドユーザーアクティブディレクトリアカウントには、以下に対して「Allowed to Authenticate」許可が必要です。
+ WorkSpaces アプリケーションコンピュータオブジェクト
+ ドメインのドメインコントローラー
詳細については、「[アクティブディレクトリコンピュータオブジェクトを作成および管理するための許可の付与](active-directory-permissions.md)」を参照してください。
# Active Directory での WorkSpaces アプリケーションのコンピュータオブジェクトの管理
WorkSpaces Applications は、Active Directory からコンピュータオブジェクトを削除しません。これらのコンピュータオブジェクトはディレクトリで簡単に特定できます。ディレクトリ内の各コンピュータオブジェクトは、`Description` 属性で作成されます。この属性では、フリートまたは Image Builder インスタンスとその名前を指定します。
**コンピュータオブジェクトの Description 例**
| タイプ | 名前 | Description 属性 |
| --- | --- | --- |
| Fleet | ExampleFleet | `WorkSpaces Applications - fleet:ExampleFleet` |
| Image Builder | ExampleImageBuilder | `WorkSpaces Applications - image-builder:ExampleImageBuilder` |
WorkSpaces アプリケーションによって作成された非アクティブなコンピュータオブジェクトは、次の `dsquery computer` および `dsrm` コマンドを使用して識別および削除できます。詳細については、Microsoft ドキュメントの [Dsquery computer](https://technet.microsoft.com/en-us/library/cc730720.aspx) と [Dsrm](https://technet.microsoft.com/en-us/library/cc731865.aspx) を参照してください。
`dsquery` コマンドは、一定期間非アクティブなコンピュータオブジェクトを識別します。また、次の形式が使用されます。`dsquery` コマンドは、WorkSpaces Applications オブジェクトのみ`-desc "WorkSpaces Applications*"`を表示するには、 パラメータを使用して実行する必要があります。
```
dsquery computer "OU-distinguished-name" -desc "WorkSpaces Applications*" -inactive number-of-weeks-since-last-login
```
+ `OU-distinguished-name` は組織単位の識別名です。詳細については、「[組織単位の識別子名を検索する](active-directory-oudn.md)」を参照してください。*OU-distinguished-name* パラメータを指定しない場合、ディレクトリ全体が検索されます。
+ `number-of-weeks-since-last-log-in` は、アイドル状態の定義方法に基づく任意の値です。
たとえば、次のコマンドでは、過去 2 週間以内にログインされていない `OU=ExampleOU,DC=EXAMPLECO,DC=COM` 組織単位内のすべてのコンピュータオブジェクトが表示されます。
```
dsquery computer OU=ExampleOU,DC=EXAMPLECO,DC=COM -desc "WorkSpaces Applications*" -inactive 2
```
一致が検出された場合、結果は 1 つまたは複数のオブジェクト名です。`dsrm` コマンドは指定したオブジェクトを削除し、次の形式を使用します。
```
dsrm objectname
```
ここで、`objectname` は `dsquery` コマンドの出力で取得された完全なオブジェクト名です。たとえば、上記の `dsquery` コマンドの結果が「ExampleComputer」という名前のコンピュータオブジェクトであるとすると、これを削除する `dsrm` コマンドは次のようになります。
```
dsrm "CN=ExampleComputer,OU=ExampleOU,DC=EXAMPLECO,DC=COM"
```
これらのコマンドは、パイプ (`|`) 演算子を使用してチェーン処理することができます。たとえば、すべての WorkSpaces Applications コンピュータオブジェクトを削除し、それぞれの確認を求めるには、次の形式を使用します。確認を無効にするには、`dsrm` に `-noprompt` パラメータを追加します。
```
dsquery computer OU-distinguished-name -desc "WorkSpaces Applications*" –inactive number-of-weeks-since-last-log-in | dsrm
```