As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# WorkSpaces Aplicativos: Administração do Active Directory
Configurar e usar o Active Directory com WorkSpaces aplicativos envolve as seguintes tarefas administrativas.
**Topics**
+ [Conceder permissões para criar e gerenciar objetos de computador do Active Directory](active-directory-permissions.md)
+ [Localizar o nome distinto da unidade organizacional](active-directory-oudn.md)
+ [Concessão de direitos de administrador local em construtores de imagens](active-directory-image-builder-local-admin.md)
+ [Atualizar a conta de serviço usada para ingresso no domínio](active-directory-service-acct.md)
+ [Bloquear a sessão de streaming quando o usuário está ocioso](active-directory-session-lock.md)
+ [Editar a configuração do diretório](active-directory-config-edit.md)
+ [Excluir uma configuração de diretório](active-directory-config-delete.md)
+ [Configurando WorkSpaces aplicativos para usar relações de confiança de domínio](active-directory-domain-trusts.md)
+ [Gerenciando WorkSpaces aplicativos e objetos de computador no Active Directory](active-directory-identify-objects.md)
# Conceder permissões para criar e gerenciar objetos de computador do Active Directory
Para permitir que WorkSpaces os aplicativos executem operações de objetos de computador do Active Directory, você precisa de uma conta com permissões suficientes. Como uma melhor prática, use uma conta que tenha apenas os privilégios mínimos necessários. As permissões mínimas da unidade organizacional (UO) do Active Directory são as seguintes:
+ Criar objetos de computador
+ Alterar senha
+ Redefinir senha
+ Gravar descrição
Antes de configurar as permissões, é necessário fazer o seguinte:
+ Obter acesso a um computador ou a uma instância do EC2 ingressada no domínio.
+ Instale o usuário do Active Directory e o snap-in do MMC de Computadores. Para obter mais informações, consulte [Instalar ou remover ferramentas de administração de servidores remotos para Windows 7](https://technet.microsoft.com/en-us/library/ee449483.aspx) na documentação da Microsoft.
+ Faça login como um usuário do domínio com as permissões apropriadas para modificar as configurações de segurança da UO.
+ Crie ou identifique o usuário, a conta de serviço ou o grupo ao qual delegar permissões.
**Para configurar permissões mínimas**
1. Abra **Active Directory Users and Computers** (Usuários e computadores do Active Directory) em seu domínio ou no controlador de domínio.
1. No painel de navegação à esquerda, selecione a primeira UO para a qual fornecer privilégios de ingresso no domínio, abra o menu de contexto (clique com o botão direito do mouse) e selecione **Delegate Control** (Delegar controle).
1. Na página **Delegation of Control Wizard**, selecione **Next**, **Add**.
1. Em **Select Users, Computers, or Groups**, selecione o usuário, a conta do serviço ou o grupo pré-criado e escolha **OK**.
1. Na página **Tasks to Delegate** (Tarefas para delegar), selecione **Create a custom task to delegate** (Criar uma tarefa personalizada para delegar) e, em seguida, selecione **Next** (Avançar).
1. Selecione **Only the following objects in the folder**, **Computer objects**.
1. Selecione **Create selected objects in this folder**, **Next**.
1. Em **Permissions**, selecione **Read**, **Write**, **Change Password**, **Reset Password**, **Next**.
1. Na página **Completing the Delegation of Control Wizard**, verifique as informações e selecione **Finish**.
1. Repita as etapas de 2 a 9 para qualquer outra OUs que exija essas permissões.
Se você delegou permissões a um grupo, crie um usuário ou conta de serviço com uma senha forte e adicione essa conta ao grupo. Esta conta, portanto, deverá ter privilégios suficientes para conectar o streaming de instâncias ao diretório. Use essa conta ao criar sua configuração de diretório de WorkSpaces aplicativos.
# Localizar o nome distinto da unidade organizacional
Ao registrar seu domínio do Active Directory com WorkSpaces Aplicativos, você deve fornecer um nome distinto de unidade organizacional (OU). Crie uma UO para essa finalidade. O contêiner Computers padrão não é uma UO e não pode ser usado por WorkSpaces aplicativos. O procedimento a seguir mostra como obter esse nome.
**nota**
O nome distinto deve começar com **OU=** ou não poderá ser usado para objetos de computador.
Para concluir esse procedimento, primeiro, é necessário fazer o seguinte:
+ Obter acesso a um computador ou a uma instância do EC2 ingressada no domínio.
+ Instale o usuário do Active Directory e o snap-in do MMC de Computadores. Para obter mais informações, consulte [Instalar ou remover ferramentas de administração de servidores remotos para Windows 7](https://technet.microsoft.com/en-us/library/ee449483.aspx) na documentação da Microsoft.
+ Faça login como um usuário do domínio com as permissões apropriadas para ler as propriedades de segurança da UO.
**Para localizar o nome distinto de uma UO**
1. Abra **Active Directory Users and Computers** (Usuários e computadores do Active Directory) em seu domínio ou no controlador de domínio.
1. Em **View**, verifique se a opção **Advanced Features** está habilitada.
1. **No painel de navegação esquerdo, selecione a primeira UO a ser usada para objetos de computador da instância de streaming de WorkSpaces aplicativos, abra o menu de contexto (clique com o botão direito do mouse) e escolha Propriedades.**
1. Selecione **Atribuir Editor**.
1. Em **Attributes**, em **distinguishedName**, selecione **View**.
1. Em **Value** (Valor), selecione o nome distinto, abra o menu de contexto e selecione **Copy** (Copiar).
# Concessão de direitos de administrador local em construtores de imagens
Por padrão, os usuários do domínio do Active Directory não têm direitos de administrador local nas instâncias de construtor de imagens. É possível conceder esses direitos usando as preferências da Política de grupo no diretório ou, manualmente, usando a conta do administrador local em um construtor de imagens. Conceder direitos de administrador local a um usuário do domínio permite que esse usuário instale aplicativos e crie imagens em um construtor de imagens de WorkSpaces aplicativos.
**Topics**
+ [Uso de preferências da Política de grupo](group-policy.md)
+ [Uso do grupo de administradores locais no construtor de imagens](manual-procedure.md)
# Uso de preferências da Política de grupo
As preferências da Política de grupo podem ser usadas para conceder direitos de administrador local a usuários ou grupos do Active Directory e a todos os objetos de computador na UO especificada. Os usuários ou grupos do Active Directory aos quais você deseja conceder permissões de administrador local já devem existir. Para usar as preferências da Política do grupo, você precisa fazer o seguinte primeiro:
+ Obter acesso a um computador ou a uma instância do EC2 ingressada no domínio.
+ Instalar o snap-in do MMC do Console de Gerenciamento de Diretiva de Grupo (GPMC). Para obter mais informações, consulte [Instalar ou remover ferramentas de administração de servidores remotos para Windows 7](https://technet.microsoft.com/en-us/library/ee449483.aspx) na documentação da Microsoft.
+ Faça login como um usuário do domínio com permissões para criar objetos de Política de Grupo (GPOs). Link GPOs para o apropriado OUs.
**Para usar as preferências da Política de grupo para conceder permissões de administrador local**
1. Em seu diretório ou em um controlador de domínio, abra o prompt de comando como um administrador, digite `gpmc.msc` e pressione ENTER.
1. Na árvore do console à esquerda, selecione a UO onde criará um novo GPO ou use um GPO existente e, em seguida, execute uma das seguintes ações:
+ Crie um novo GPO abrindo o menu de contexto (clique com o botão direito do mouse) e selecionando **Create a GPO in this domain, Link it here** (Criar um GPO neste domínio e vinculá-lo aqui). Em **Name**, forneça um nome descritivo para esse GPO.
+ Selecione um GPO existente.
1. Abra o menu de contexto do GPO e selecione **Edit** (Editar).
1. Na árvore do console, selecione **Computer Configuration** (Configuração do computador), **Preferences** (Preferências), **Windows Settings** (Configurações do Windows), **Control Panel Settings** (Configurações do Painel de controle) e **Local Users and Groups** (Usuários e grupos locais).
1. Selecione os **Local Users and Groups** (Usuários e grupos locais) marcados, abra o menu de contexto e selecione **New** (Novo), **Local group** (Grupo local).
1. Em **Action**, selecione **Update**.
1. Em **Group name**, selecione **Administrators (built-in)**.
1. Em **Members**, selecione **Add...** e especifique os usuários ou grupos do Active Directory aos quais atribuir direitos de administrador local na instância de streaming. Em **Action**, selecione **Add to this group** e selecione **OK**.
1. Para aplicar esse GPO a outro OUs, selecione a OU adicional, abra o menu de contexto e escolha **Vincular um GPO existente**.
1. Usando o nome do GPO novo ou existente especificado na etapa 2, role até encontrar o GPO e, em seguida, clique em **OK**.
1. Repita as etapas 9 e 10 para obter outras OUs que devem ter essa preferência.
1. Clique em **OK** para fechar a caixa de diálogo **New Local Group Properties** (Propriedades do novo grupo local).
1. Clique em **OK** novamente para fechar o GPMC.
Para aplicar a nova preferência ao GPO, interrompa e reinicie todos os construtores de imagens ou frotas em execução. Os usuários e grupos do Active Directory especificados na etapa 8 recebem automaticamente os direitos de administrador local nas frotas e nos construtores de imagens na UO à qual o GPO está vinculado.
# Uso do grupo de administradores locais no construtor de imagens
Para conceder direitos de administrador local aos usuários ou grupos do Active Directory no construtor de imagens, você pode adicionar esses usuários ou grupos ao grupo de administradores locais no construtor de imagens. Os construtores de imagem criados a partir de imagens com esses direitos mantêm os mesmos direitos.
Os usuários ou grupos do Active Directory aos quais conceder direitos de administrador local já devem existir.
**Para adicionar usuários ou grupos do Active Directory ao grupo administradores locais no construtor de imagens**
1. Abra o console de WorkSpaces aplicativos em [https://console.aws.amazon.com/appstream2](https://console.aws.amazon.com/appstream2).
1. Conecte-se ao construtor de imagens em modo de administrador. O criador de imagens deve estar em execução e associado a um domínio. Para obter mais informações, consulte [Tutorial: Configuração do Active Directory](active-directory-directory-setup.md).
1. Selecione **Start** (Iniciar), **Administrative Tools** (Ferramentas administrativas) e, em seguida, clique duas vezes em **Computer Management** (Gerenciamento de computador).
1. No painel de navegação à esquerda, selecione **Local Users and Groups** e abra a pasta **Groups**.
1. Abra o grupo **Administrators** e selecione **Add...**.
1. Selecione todos os usuários ou grupos do Active Directory aos quais atribuir direitos de administrador local e selecione **OK**. Clique em **OK** novamente para fechar a caixa de diálogo **Administrator Properties** (Propriedades de administrador).
1. Feche o Computer Management (Gerenciamento de computador).
1. Para fazer login como um usuário do Active Directory e testar se esse usuário tem direitos de administrador local no construtor de imagens, selecione **Admin Commands** (Comandos de administrador), **Switch user** (Alternar usuário) e, em seguida, insira as credenciais do usuário relevante.
# Atualizar a conta de serviço usada para ingresso no domínio
Para atualizar a conta de serviço que o WorkSpaces Applications usa para ingressar no domínio, recomendamos o uso de duas contas de serviço separadas para unir construtores de imagens e frotas ao seu domínio do Active Directory. O uso de duas contas de serviço separadas garante que não ocorra nenhuma interrupção no serviço quando uma conta de serviço precisar ser atualizada (por exemplo, quando uma senha expirar).
**Para atualizar uma conta de serviço**
1. Crie um grupo do Active Directory e delegue as permissões corretas ao grupo.
1. Adicione suas contas de serviço ao novo grupo do Active Directory.
1. Quando necessário, edite seu objeto do WorkSpaces Applications Directory Config inserindo as credenciais de login da nova conta de serviço.
Depois de configurar o grupo do Active Directory com a nova conta de serviço, todas as novas operações da instância de streaming usarão a nova conta de serviço enquanto as operações em andamento da instância de streaming continuam a usar a conta antiga sem interrupção.
O tempo de sobreposição da conta de serviço enquanto as operações de instância de streaming são concluídas é bastante curto, não mais que um dia. O tempo de sobreposição é necessário porque você não deve excluir ou alterar a senha da conta de serviço antiga durante o período de sobreposição, do contrário, as operações existentes podem falhar.
# Bloquear a sessão de streaming quando o usuário está ocioso
WorkSpaces Os aplicativos dependem de uma configuração que você define no GPMC para bloquear a sessão de streaming depois que o usuário estiver ocioso por um determinado período de tempo. Para usar o GPMC, primeiro, você precisa fazer o seguinte:
+ Obter acesso a um computador ou a uma instância do EC2 ingressada no domínio.
+ Instalar o GPMC. Para obter mais informações, consulte [Instalar ou remover ferramentas de administração de servidores remotos para Windows 7](https://technet.microsoft.com/en-us/library/ee449483.aspx) na documentação da Microsoft.
+ Faça login como usuário do domínio com permissões para criar GPOs. Link GPOs para o apropriado OUs.
**Para bloquear automaticamente a instância de streaming quando o usuário está ocioso**
1. Em seu diretório ou em um controlador de domínio, abra o prompt de comando como um administrador, digite `gpmc.msc` e pressione ENTER.
1. Na árvore do console à esquerda, selecione a UO onde criará um novo GPO ou use um GPO existente e, em seguida, execute uma das seguintes ações:
+ Crie um novo GPO abrindo o menu de contexto (clique com o botão direito do mouse) e selecionando **Create a GPO in this domain, Link it here** (Criar um GPO neste domínio e vinculá-lo aqui). Em **Name**, forneça um nome descritivo para esse GPO.
+ Selecione um GPO existente.
1. Abra o menu de contexto do GPO e selecione **Edit** (Editar).
1. Em **User Configuration** (Configuração do usuário), expanda **Policies** (Políticas), **Administrative Templates** (Modelos administrativos), **Control Panel** (Painel de controle) e, em seguida, selecione **Personalization** (Personalização).
1. Clique duas vezes em **Enable screen saver** (Habilitar proteção de tela).
1. Na configuração **Enable screen saver** (Habilitar proteção de tela) da política, escolha **Enabled** (Ativado).
1. Escolha **Apply** e, em seguida, escolha **OK**.
1. Clique duas vezes em **Force specific screen saver** (Forçar proteção de tela específica).
1. Na configuração **Force specific screen saver** (Forçar proteção de tela específica) da política, escolha **Enabled** (Ativado).
1. Em **Screen saver executable name (Nome do arquivo executável da proteção de tela)**, digite **scrnsave.scr**. Quando essa configuração é habilitada, o sistema exibirá uma proteção de tela preta na área de trabalho do usuário.
1. Escolha **Apply** e, em seguida, escolha **OK**.
1. Clique duas vezes em **Password protect the screen saver** (Proteger a proteção de tela com senha).
1. Na configuração **Password protect the screen saver** (Proteger a proteção de tela com senha) da política, escolha **Enabled** (Ativado).
1. Escolha **Apply** e, em seguida, escolha **OK**.
1. Clique duas vezes em **Screen saver timeout** (Tempo limite da proteção de tela).
1. Na configuração **Screen saver timeout** (Tempo limite da proteção de tela) da política, escolha **Enabled** (Ativado).
1. Em **Seconds** (Segundos), especifique o período em que os usuários devem estar ociosos para que a proteção de tela seja aplicada. Para definir o tempo de inatividade como 10 minutos, especifique 600 segundos.
1. Escolha **Apply** e, em seguida, escolha **OK**.
1. Na árvore do console, em **User Configuration** (Configuração do usuário), expanda **Policies** (Políticas), **Administrative Templates** (Modelos administrativos), **System** (Sistema) e, em seguida, clique em **Ctrl\$1Alt\$1Del Options** (Opções de Ctrl\$1Alt\$1Del).
1. Clique duas vezes em **Remove Lock Computer** (Remover bloquear computador).
1. Na configuração de **Remove Lock Computer** (Remover bloquear computador) da política, selecione **Disabled** (Desabilitado).
1. Escolha **Apply** e, em seguida, escolha **OK**.
# Editar a configuração do diretório
Depois que uma configuração do diretório de WorkSpaces aplicativos for criada, você poderá editá-la para adicionar, remover ou modificar unidades organizacionais, atualizar o nome de usuário da conta de serviço ou atualizar a senha da conta de serviço.
**Para criar uma configuração de diretório**
1. Abra o console de WorkSpaces aplicativos em [https://console.aws.amazon.com/appstream2](https://console.aws.amazon.com/appstream2).
1. No painel de navegação à esquerda, selecione **Directory Configs** e selecione a configuração do diretório a ser editada.
1. Selecione **Ações**, **Editar**.
1. Atualize os campos a serem alterados. Para adicionar mais OUs, selecione o sinal de adição (**\$1**) ao lado do campo OU mais alto. Para remover um campo de UO, selecione **x** ao lado do campo.
**nota**
É necessária pelo menos uma OU. OUs que estão atualmente em uso não podem ser removidos.
1. Para salvar as alterações, selecione **Update Directory Config**.
1. As informações da guia **Details** agora devem estar atualizadas para refletir as alterações.
As alterações nas credenciais de login da conta de serviço não afetam as operações da instância de streaming em andamento. As novas operações da instância de streaming usam as credenciais atualizadas. Para obter mais informações, consulte [Atualizar a conta de serviço usada para ingresso no domínio](active-directory-service-acct.md).
# Excluir uma configuração de diretório
Você pode excluir uma configuração de diretório de WorkSpaces aplicativos que não seja mais necessária. As configurações do diretório associadas a todos os criadores de imagens ou frotas não podem ser excluídas.
**Para excluir uma configuração de diretório**
1. Abra o console de WorkSpaces aplicativos em [https://console.aws.amazon.com/appstream2](https://console.aws.amazon.com/appstream2).
1. No painel de navegação à esquerda, selecione **Directory Configs** e selecione a configuração do diretório a ser excluída.
1. Selecione **Ações**, **Excluir**.
1. Verifique o nome na mensagem pop-up e selecione **Delete**.
1. Selecione **Update Directory Config**.
# Configurando WorkSpaces aplicativos para usar relações de confiança de domínio
WorkSpaces Os aplicativos oferecem suporte a ambientes de domínio do Active Directory em que recursos de rede, como servidores de arquivos, aplicativos e objetos de computador, residem em um domínio e os objetos de usuário residem em outro. A conta de serviço de domínio usada para operações de objetos de computador não precisa estar no mesmo domínio dos objetos de computador dos WorkSpaces Aplicativos.
Ao criar a configuração do diretório, especifique uma conta de serviço que tenha as permissões adequadas para gerenciar objetos de computador no domínio do Active Directory onde residem os servidores de arquivos, aplicativos, objetos de computador e outros recursos de rede.
Suas contas de usuário final do Active Directory devem ter as permissões “Allowed to Authenticate” (Permissão para Autenticar) referentes ao seguinte:
+ WorkSpaces Aplicativos: objetos de computador
+ Controladores de domínio do domínio
Para obter mais informações, consulte [Conceder permissões para criar e gerenciar objetos de computador do Active Directory](active-directory-permissions.md).
# Gerenciando WorkSpaces aplicativos e objetos de computador no Active Directory
WorkSpaces Os aplicativos não excluem objetos de computador do Active Directory. Esses objetos de computador podem ser identificados facilmente em seu diretório. Cada objeto de computador no diretório é criado com o atributo `Description` que especifica uma frota ou uma instância de construtor de imagens e o nome.
**Exemplos de descrição de objeto de computador**
| Tipo | Nome | Atributo da descrição |
| --- | --- | --- |
| Frota | ExampleFleet | `WorkSpaces Applications - fleet:ExampleFleet` |
| Construtor de imagens | ExampleImageBuilder | `WorkSpaces Applications - image-builder:ExampleImageBuilder` |
Você pode identificar e excluir objetos de computador inativos criados por WorkSpaces aplicativos usando os `dsrm` comandos `dsquery computer` a seguir. Para obter mais informações, consulte [Dsquery computer](https://technet.microsoft.com/en-us/library/cc730720.aspx) e [Dsrm](https://technet.microsoft.com/en-us/library/cc731865.aspx) na documentação da Microsoft.
O comando `dsquery` identifica objetos de computador inativos durante um determinado período e usa o seguinte formato. O `dsquery` comando também deve ser executado com o parâmetro `-desc "WorkSpaces Applications*"` para exibir somente objetos WorkSpaces Applications.
```
dsquery computer "OU-distinguished-name" -desc "WorkSpaces Applications*" -inactive number-of-weeks-since-last-login
```
+ `OU-distinguished-name` é o nome distinto da unidade organizacional. Para obter mais informações, consulte [Localizar o nome distinto da unidade organizacional](active-directory-oudn.md). Se você não fornecer o *OU-distinguished-name* parâmetro, o comando pesquisará o diretório inteiro.
+ `number-of-weeks-since-last-log-in` é o valor desejado com base em como você deseja definir inatividade.
Por exemplo, o seguinte comando exibe todos os objetos de computador na unidade organizacional `OU=ExampleOU,DC=EXAMPLECO,DC=COM` que não fizeram login nas últimas duas semanas.
```
dsquery computer OU=ExampleOU,DC=EXAMPLECO,DC=COM -desc "WorkSpaces Applications*" -inactive 2
```
Se nenhuma correspondência for encontrada, o resultado será um ou mais nomes de objetos. O comando `dsrm` exclui o objeto especificado e usa o seguinte formato:
```
dsrm objectname
```
Em que `objectname` é o nome completo do objeto na saída do comando `dsquery`. Por exemplo, se o `dsquery` comando acima resultar em um objeto de computador chamado "ExampleComputer“, o `dsrm` comando para excluí-lo seria o seguinte:
```
dsrm "CN=ExampleComputer,OU=ExampleOU,DC=EXAMPLECO,DC=COM"
```
Você pode encadear esses comandos em conjunto usando o operador pipe (`|`). Por exemplo, para excluir todos os objetos de computador dos WorkSpaces Aplicativos, solicitando a confirmação de cada um, use o formato a seguir. Adicione o parâmetro `-noprompt` ao `dsrm` para desabilitar a confirmação.
```
dsquery computer OU-distinguished-name -desc "WorkSpaces Applications*" –inactive number-of-weeks-since-last-log-in | dsrm
```