本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# WorkSpaces 应用程序活动目录管理
在 WorkSpaces 应用程序中设置和使用 Active Directory 涉及以下管理任务。
**Topics**
+ [授予创建和管理 Active Directory 计算机对象的权限](active-directory-permissions.md)
+ [查找组织单位的可分辨名称](active-directory-oudn.md)
+ [在映像生成器上授予本地管理员权限](active-directory-image-builder-local-admin.md)
+ [更新用于加入域的服务账户](active-directory-service-acct.md)
+ [在用户空闲时锁定流式传输会话](active-directory-session-lock.md)
+ [编辑目录配置](active-directory-config-edit.md)
+ [删除目录配置](active-directory-config-delete.md)
+ [将 WorkSpaces 应用程序配置为使用域信任](active-directory-domain-trusts.md)
+ [管理 WorkSpaces 应用程序活动目录中的计算机对象](active-directory-identify-objects.md)
# 授予创建和管理 Active Directory 计算机对象的权限
要允许 WorkSpaces 应用程序执行 Active Directory 计算机对象操作,您需要一个具有足够权限的帐户。最佳实践是使用仅具有所需最低权限的账户。最低的 Active Directory 组织单位 (OU) 权限如下所示:
+ 创建计算机对象
+ 更改密码
+ 重置密码
+ 编写描述
在设置权限之前,需要先完成以下任务:
+ 获取对已加入域的计算机或 EC2 实例的访问权限。
+ 安装 Active Directory 用户和计算机 MMC 管理单元。有关更多信息,请参阅 Microsoft 文档中的[安装或删除适用于 Windows 7 的远程服务器管理工具](https://technet.microsoft.com/en-us/library/ee449483.aspx)。
+ 以拥有适当权限的域用户身份登录并修改 OU 安全设置。
+ 创建或标识要向其委派权限的用户、服务账户或组。
**设置最低权限**
1. 在域中或域控制器上打开 **Active Directory Users and Computers** (Active Directory 用户和计算机)。
1. 在左侧导航窗格中,选择要在其中提供域加入权限的第一个 OU,打开上下文 (右键单击) 菜单,然后选择 **Delegate Control** (委派控制)。
1. 在**控制委派向导**页面上,依次选择**下一步**和**添加**。
1. 对于**选择用户、计算机或组**,选择先前创建的用户、服务账户或组,然后选择**确定**。
1. 在**要委派的任务**页面上,选择**创建要委派的自定义任务**,然后选择**下一步**。
1. 依次选择**只是在这个文件夹中的下列对象**和**计算机对象**。
1. 依次选择**在这个文件夹中创建所选对象**和**下一步**。
1. 对于**权限**,选择**读取**、**写入**、**更改密码**、**重置密码**,然后选择**下一步**。
1. 在**完成控制委派向导**页面上,验证信息并选择**完成**。
1. 对于其他需要这些权限的用户 OUs ,请重复步骤 2-9。
如果您将权限委派给组,则创建具有强密码的用户或服务账户,并将该账户添加到组中。这样该账户将拥有足够的权限将流实例连接到目录。创建 WorkSpaces 应用程序目录配置时使用此帐户。
# 查找组织单位的可分辨名称
向 WorkSpaces 应用程序注册 Active Directory 域时,必须提供组织单位 (OU) 的可分辨名称。为此目的创建一个 OU。默认 “计算机” 容器不是 OU,不能由 WorkSpaces 应用程序使用。以下步骤演示如何获得此名称。
**注意**
可分辨名称必须以 **OU=** 开头,否则不能用于计算机对象。
需要先执行以下操作,然后才能完成此过程:
+ 获取对已加入域的计算机或 EC2 实例的访问权限。
+ 安装 Active Directory 用户和计算机 MMC 管理单元。有关更多信息,请参阅 Microsoft 文档中的[安装或删除适用于 Windows 7 的远程服务器管理工具](https://technet.microsoft.com/en-us/library/ee449483.aspx)。
+ 以拥有适当权限的域用户身份登录并读取 OU 安全属性。
**查找 OU 的可分辨名称**
1. 在域中或域控制器上打开 **Active Directory Users and Computers** (Active Directory 用户和计算机)。
1. 在**查看**下,确保**高级功能**已启用。
1. 在左侧导航窗格中,选择用于 WorkSpaces 应用程序流媒体实例计算机对象的第一个 OU,打开上下文(右键单击)菜单,然后选择 “**属性**”。
1. 选择**属性编辑器**。
1. 在**属性**下,对于 **distinguishedName**,选择 **查看**。
1. 对于 **Value** (值),选择可分辨名称,打开上下文 (右键单击) 菜单,然后选择 **Copy** (复制)。
# 在映像生成器上授予本地管理员权限
默认情况下,Active Directory 域用户对于映像生成器实例不具有本地管理员权限。可以通过使用目录中的组策略首选项,或通过在映像生成器上使用本地管理员账户手动授予这些权限。向域用户授予本地管理员权限允许该用户在应用程序映像生成器上安装应用程序并在 WorkSpaces 应用程序映像生成器中创建映像。
**Topics**
+ [使用组策略首选项](group-policy.md)
+ [在映像生成器上使用本地管理员组](manual-procedure.md)
# 使用组策略首选项
可以使用组策略首选项为 Active Directory 用户或组以及指定 OU 中的所有计算机对象授予本地管理员权限。Active Directory 用户或组必须存在才能向其授予本地管理员权限。要使用组策略首选项,需要先执行以下操作:
+ 获取对已加入域的计算机或 EC2 实例的访问权限。
+ 安装组策略管理控制台(GPMC) MMC 管理单元。有关更多信息,请参阅 Microsoft 文档中的[安装或删除适用于 Windows 7 的远程服务器管理工具](https://technet.microsoft.com/en-us/library/ee449483.aspx)。
+ 以具有创建组策略对象权限的域用户身份登录 (GPOs)。链接 GPOs 到相应的 OUs。
**使用组策略首选项授予本地管理员权限**
1. 在您的目录中或域控制器上,以管理员身份打开命令提示符,键入 `gpmc.msc`,然后按 Enter。
1. 在左侧控制台树中,选择将在其中创建新 GPO 的 OU,或使用现有 GPO,然后执行以下任一操作:
+ 通过打开上下文 (右键单击) 菜单并选择**在此域中创建 GPO,在此处链接**来创建新的 GPO。对于 **Name**,为该 GPO 提供一个描述性名称。
+ 选择现有 GPO。
1. 打开 GPO 的上下文菜单并选择**编辑**。
1. 在控制台树中,依次选择 **Computer Configuration** (计算机配置)、**Preferences** (首选项)、**Windows Settings** (Windows 设置)、**Control Panel Settings** (控制面板设置) 和 **Local Users and Groups** (本地用户和组)。
1. 选择 **Local Users and Groups** (本地用户和组),打开上下文菜单,选择 **New** (新建)、**Local Group** (本地组)。
1. 对于 **Action**,选择 **Update**。
1. 对于 **Group name**,选择 **Administrators (built-in)**。
1. 在**成员**下,选择**添加…** 并指定 Active Directory 用户账户或组,以便为其分配流实例的本地管理员权限。对于 **Action**,选择 **Add to this group**,然后选择 **OK**。
1. 要将此 GPO 应用于其他 GPO OUs,请选择其他 OU,打开快捷菜单并选择 “**链接现有 GP** O”。
1. 使用在步骤 2 中指定的新的或现有的 GPO 名称,滚动查找 GPO,然后选择 **OK** (确定)。
1. 对于其他应具有此首选项的内容 OUs ,请重复步骤 9 和 10。
1. 选择 **OK** (确定) 以关闭 **New Local Group Properties** (新建本地组属性) 对话框。
1. 再次选择 **OK** (确定) 以关闭 GPMC。
要将新首选项应用于 GPO,必须停止并重新启动正在运行的任何映像生成器或实例集。对于在步骤 8 中指定的 Active Directory 用户和组,将自动为它们授予对 GPO 链接到的 OU 中的映像生成器和实例集的本地管理员权限。
# 在映像生成器上使用本地管理员组
要授予 Active Directory 用户或组对映像生成器的本地管理员权限,可以手动将这些用户或组添加到映像生成器上的本地管理员组中。通过具有这些权限的映像创建的映像生成器将保持相同的权限。
Active Directory 用户或组必须存在才能向其授予本地管理员权限。
**将 Active Directory 用户或组添加到映像生成器上的本地管理员组中**
1. 在 [https://console.aws.amazon.com/appst WorkSpaces ](https://console.aws.amazon.com/appstream2) ream2 上打开应用程序控制台。
1. 在管理员模式下连接到映像生成器。映像生成器必须运行且已加入域。有关更多信息,请参阅 [教程:设置 Active Directory](active-directory-directory-setup.md)。
1. 依次选择**开始**、**管理工具**,然后单击**计算机管理**。
1. 在左侧导航窗格中,选择**本地用户和组**并打开**组**文件夹。
1. 打开**管理员**组,选择**添加...**。
1. 选择要向其分配本地管理员权限的所有 Active Directory 用户或组,然后选择**确定**。再次选择**确定**以关闭**管理员属性**窗口。
1. 关闭“计算机管理”。
1. 要以 Active Directory 用户身份登录并测试该用户在映像生成器上是否具有本地管理员权限,请选择 **Admin Commands** (管理命令)、**Switch user** (切换用户),然后输入相关用户的凭证。
# 更新用于加入域的服务账户
要更新 WorkSpaces 应用程序用于加入域的服务帐户,我们建议使用两个不同的服务帐户将映像生成器和队列加入您的 Active Directory 域。使用两个不同的服务账户将确保当服务账户需要更新(例如,密码过期)时,服务不会中断。
**更新服务账户**
1. 创建 Active Directory 组并向该组委派正确的权限。
1. 将服务账户添加到新的 Active Directory 组中。
1. 需要时,通过输入新服务帐户的登录凭据来编辑您的 A WorkSpaces pplications Directory Config 对象。
在使用新服务账户设置 Active Directory 组后,任何新的流实例操作都将使用新的服务账户,而进行中的流实例操作将继续使用旧账户而不会中断。
新旧服务账户的重叠时间 (在此期间进行中的流实例操作完成) 非常短,不超过一天。重叠时间是必需的,因为在重叠期间不应删除或更改旧服务账户的密码,否则现有操作可能失败。
# 在用户空闲时锁定流式传输会话
WorkSpaces 应用程序依赖于您在 GPMC 中配置的设置,以便在用户闲置指定时间后锁定直播会话。要使用 GPMC,需要先执行以下操作:
+ 获取对已加入域的计算机或 EC2 实例的访问权限。
+ 安装 GPMC。有关更多信息,请参阅 Microsoft 文档中的[安装或删除适用于 Windows 7 的远程服务器管理工具](https://technet.microsoft.com/en-us/library/ee449483.aspx)。
+ 以具有创建权限的域用户身份登录 GPOs。链接 GPOs 到相应的 OUs。
**在用户空闲时自动锁定流实例**
1. 在您的目录中或域控制器上,以管理员身份打开命令提示符,键入 `gpmc.msc`,然后按 Enter。
1. 在左侧控制台树中,选择将在其中创建新 GPO 的 OU,或使用现有 GPO,然后执行以下任一操作:
+ 通过打开上下文 (右键单击) 菜单并选择**在此域中创建 GPO,在此处链接**来创建新的 GPO。对于 **Name**,为该 GPO 提供一个描述性名称。
+ 选择现有 GPO。
1. 打开 GPO 的上下文菜单并选择**编辑**。
1. 在**用户配置**下,依次展开**策略**、**管理模板**、**控制面板**,然后选择 **个性化**。
1. 双击**启用屏幕保护程序**。
1. 在**启用屏幕保护程序**策略设置中,选择**已启用**。
1. 选择**应用**,然后选择**确定**。
1. 双击**强制使用特定的屏幕保护程序**。
1. 在**强制使用特定的屏幕保护程序**策略设置中,选择**已启用**。
1. 在 **可执行的屏幕保护程序的名称**下,输入 **scrnsave.scr**。启用此设置后,系统将在用户桌面上显示黑屏保护程序。
1. 选择**应用**,然后选择**确定**。
1. 双击**密码保护屏幕保护程序**。
1. 在**密码保护屏幕保护程序**策略设置中,选择**已启用**。
1. 选择**应用**,然后选择**确定**。
1. 双击**屏幕保护程序超时**。
1. 在**屏幕保护程序超时**策略设置中,选择**已启用**。
1. 对于**秒**,请指定在应用屏幕保护程序之前,用户必须处于空闲状态的时间长度。要将空闲时间设置为 10 分钟,请指定 600 秒。
1. 选择**应用**,然后选择**确定**。
1. 在控制台树中的**用户配置**下,依次展开**策略**、**管理模板**、**系统**,然后选择 **Ctrl\$1Alt\$1Del 选项**。
1. 双击**删除“锁定计算机”**。
1. 在**删除“锁定计算机”**策略设置中,选择**已禁用**。
1. 选择**应用**,然后选择**确定**。
# 编辑目录配置
创建 WorkSpaces 应用程序目录配置后,您可以对其进行编辑以添加、删除或修改组织单位、更新服务帐户用户名或更新服务帐户密码。
**更新目录配置**
1. 在 [https://console.aws.amazon.com/appst WorkSpaces ](https://console.aws.amazon.com/appstream2) ream2 上打开应用程序控制台。
1. 在左侧导航窗格中,选择 **Directory Configs**,然后选择要编辑的目录配置。
1. 选择 **Actions**(操作)和 **Edit**(编辑)。
1. 更新要更改的字段。要添加其他 OUs,请选择最上面的 OU 字段旁边的加号 (**\$1**)。要删除 OU 字段,请选择该字段旁边的 **x**。
**注意**
至少需要一个 OU。 OUs 无法删除当前正在使用的内容。
1. 要保存更改,请选择 **Update Directory Config**。
1. **Details** 选项卡中的信息应立即更新以反映这些更改。
更改服务账户登录凭证不影响进行中的流实例操作。新的流实例操作将使用更新后的凭证。有关更多信息,请参阅 [更新用于加入域的服务账户](active-directory-service-acct.md)。
# 删除目录配置
您可以删除不再需要的 WorkSpaces 应用程序目录配置。不能删除与任何映像生成器或实例集关联的目录配置。
**删除目录配置**
1. 在 [https://console.aws.amazon.com/appst WorkSpaces ](https://console.aws.amazon.com/appstream2) ream2 上打开应用程序控制台。
1. 在左侧导航窗格中,选择 **Directory Configs**,然后选择要删除的目录配置。
1. 依次选择**操作**和**删除**。
1. 验证弹出消息中的名称,然后选择 **Delete**。
1. 选择 **Update Directory Config**。
# 将 WorkSpaces 应用程序配置为使用域信任
WorkSpaces 应用程序支持 Active Directory 域环境,在这种环境中,文件服务器、应用程序和计算机对象等网络资源位于一个域中,用户对象位于另一个域中。用于计算机对象操作的域服务帐户不必与 WorkSpaces 应用程序计算机对象位于同一个域中。
创建目录配置时,请指定在 Active Directory 域 (文件服务器、应用程序、计算机对象和其他网络资源驻留的位置) 中具有管理计算机对象的相应权限的服务账户。
对于以下项目,您的最终用户 Active Directory 账户必须拥有“允许身份验证”权限:
+ WorkSpaces 应用程序计算机对象
+ 域的域控制器
有关更多信息,请参阅 [授予创建和管理 Active Directory 计算机对象的权限](active-directory-permissions.md)。
# 管理 WorkSpaces 应用程序活动目录中的计算机对象
WorkSpaces 应用程序不会从 Active Directory 中删除计算机对象。这些计算机对象可以在您的目录中轻松识别。目录中创建的每个计算机对象都带有 `Description` 属性,此属性指定实例集或映像生成器实例和名称。
**计算机对象描述示例**
| Type | Name | 描述属性 |
| --- | --- | --- |
| Fleet | ExampleFleet | `WorkSpaces Applications - fleet:ExampleFleet` |
| 映像生成器 | ExampleImageBuilder | `WorkSpaces Applications - image-builder:ExampleImageBuilder` |
您可以使用以下`dsquery computer`命令和`dsrm`命令识别和删除由 WorkSpaces 应用程序创建的非活动计算机对象。有关更多信息,请参阅 Microsoft 文档中的 [Dsquery 计算机](https://technet.microsoft.com/en-us/library/cc730720.aspx)和 [Dsrm](https://technet.microsoft.com/en-us/library/cc731865.aspx)。
`dsquery` 命令标识不活动时间超过特定时间段的计算机对象并使用以下格式。还应使用参数运行该`dsquery`命令`-desc "WorkSpaces Applications*"`以仅显示 WorkSpaces 应用程序对象。
```
dsquery computer "OU-distinguished-name" -desc "WorkSpaces Applications*" -inactive number-of-weeks-since-last-login
```
+ `OU-distinguished-name` 是组织单位的可分辨名称。有关更多信息,请参阅 [查找组织单位的可分辨名称](active-directory-oudn.md)。如果您不提供*OU-distinguished-name*参数,则该命令将搜索整个目录。
+ `number-of-weeks-since-last-log-in` 是基于“不活动”的定义方式的所需值。
例如,以下命令显示 `OU=ExampleOU,DC=EXAMPLECO,DC=COM` 组织单位中过去两周未登录过的所有计算机对象。
```
dsquery computer OU=ExampleOU,DC=EXAMPLECO,DC=COM -desc "WorkSpaces Applications*" -inactive 2
```
如果找到匹配项,则结果为一个或多个对象名称。`dsrm` 命令会删除指定的对象并使用以下格式:
```
dsrm objectname
```
其中 `objectname` 是来自 `dsquery` 命令输出的完整对象名称。例如,如果上面的`dsquery`命令生成了一个名为 ExampleComputer “” 的计算机对象,则删除该对象的`dsrm`命令将如下所示:
```
dsrm "CN=ExampleComputer,OU=ExampleOU,DC=EXAMPLECO,DC=COM"
```
可以使用竖线 (`|`) 运算符将这些命令链接在一起。例如,要删除所有 WorkSpaces 应用程序计算机对象,并提示对每个对象进行确认,请使用以下格式。将 `-noprompt` 参数添加到 `dsrm` 可禁用确认。
```
dsquery computer OU-distinguished-name -desc "WorkSpaces Applications*" –inactive number-of-weeks-since-last-log-in | dsrm
```