本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# WorkSpaces 應用程式 Active Directory 管理
搭配 WorkSpaces 應用程式設定和使用 Active Directory 涉及下列管理任務。
**Topics**
+ [授予許可來建立及管理 Active Directory 電腦物件](active-directory-permissions.md)
+ [尋找組織單位辨別名稱](active-directory-oudn.md)
+ [在映像建置器上授予本機管理員權限](active-directory-image-builder-local-admin.md)
+ [更新用於加入網域的服務帳戶](active-directory-service-acct.md)
+ [在使用者閒置時鎖定串流工作階段](active-directory-session-lock.md)
+ [編輯目錄組態](active-directory-config-edit.md)
+ [刪除目錄組態](active-directory-config-delete.md)
+ [設定 WorkSpaces 應用程式以使用網域信任](active-directory-domain-trusts.md)
+ [在 Active Directory 中管理 WorkSpaces 應用程式電腦物件](active-directory-identify-objects.md)
# 授予許可來建立及管理 Active Directory 電腦物件
若要允許 WorkSpaces 應用程式執行 Active Directory 電腦物件操作,您需要具有足夠許可的帳戶。做為最佳實務,建議您使用僅具備所需最低權限的帳戶。最低的 Active Directory 組織單位 (OU) 許可如下所示:
+ 建立電腦物件
+ 變更密碼
+ 重設密碼
+ 撰寫描述
在設定許可前,您需要先執行以下作業:
+ 取得已加入您網域的電腦或 EC2 執行個體存取。
+ 安裝 Active Directory 使用者及電腦 MMC 嵌入式管理單元。如需詳細資訊,請參閱 Microsoft 文件中的 [Installing or Removing Remote Server Administration Tools for Windows 7](https://technet.microsoft.com/en-us/library/ee449483.aspx)。
+ 以具備適當許可,能夠修改 OU 安全設定的網域使用者登入。
+ 建立或識別要委派許可的使用者、服務帳戶或群組。
**設定最低許可**
1. 在您的網域或網域控制站上開啟 **Active Directory Users and Computers (Active Directory 使用者及電腦)**。
1. 在左側導覽窗格中,選取要在其上提供網域加入權限的第一個 OU,開啟內容 (以滑鼠右鍵按一下) 選單,然後選擇 **Delegate Control (委派控制)**。
1. 在 **Delegation of Control Wizard (委派控制精靈)** 頁面上,選擇 **Next (下一步)**、**Add (新增)**。
1. 針對**選取使用者、電腦或群組**,選取預先建立的使用者、服務帳戶或群組,然後選擇**確定**。
1. 在 **Tasks to Delegate (要委派的任務)** 頁面上,選擇 **Create a custom task to delegate (建立要委派的自訂任務)**,然後選擇 **Next (下一步)**。
1. 選擇 **Only the following objects in the folder (僅限資料夾中的下列物件)**、**Computer objects (電腦物件)**。
1. 選擇 **Create selected objects in this folder (在此資料夾中建立選取的物件)**、**Next (下一步)**。
1. 針對 **Permissions (許可)**,選擇 **Read (讀取)**、**Write (寫入)**、**Change Password (變更密碼)**、**Reset Password (重設密碼)**、**Next (下一步)**。
1. 在 **Completing the Delegation of Control Wizard (完成委派控制精靈)** 頁面上,驗證資訊並選擇 **Finish (完成)**。
1. 針對任何其他需要這些許可的 OU 重複步驟 2 到 9。
若您將許可委派給群組,請使用強式密碼建立使用者或服務帳戶,並將該帳戶新增到該群組。此帳戶便會有足夠的權限,將您的串流執行個體連線到目錄。建立 WorkSpaces 應用程式目錄組態時,請使用此帳戶。
# 尋找組織單位辨別名稱
當您向 WorkSpaces 應用程式註冊 Active Directory 網域時,您必須提供組織單位 (OU) 辨別名稱。請為此建立 OU。預設電腦容器不是 OU,WorkSpaces 應用程式無法使用。以下程序示範如何取得此名稱。
**注意**
辨別名稱必須以 **OU=** 開頭,否則便無法用於電腦物件。
在您完成此程序前,您需要先執行以下作業:
+ 取得已加入您網域的電腦或 EC2 執行個體存取。
+ 安裝 Active Directory 使用者及電腦 MMC 嵌入式管理單元。如需詳細資訊,請參閱 Microsoft 文件中的 [Installing or Removing Remote Server Administration Tools for Windows 7](https://technet.microsoft.com/en-us/library/ee449483.aspx)。
+ 以具備適當許可,能夠讀取 OU 安全屬性的網域使用者登入。
**尋找 OU 的辨別名稱**
1. 在您的網域或網域控制站上開啟 **Active Directory Users and Computers (Active Directory 使用者及電腦)**。
1. 在 **View (檢視)** 下方,確認已啟用 **Advanced Features (進階功能)**。
1. 在左側導覽窗格中,選取要用於 WorkSpaces 應用程式串流執行個體電腦物件的第一個 OU,開啟內容 (按一下滑鼠右鍵) 選單,然後選擇**屬性**。
1. 選擇 **Attribute Editor (屬性編輯器)**。
1. 在 **Attributes (屬性)** 下方,針對 **distinguishedName**,選擇 **View (檢視)**。
1. 針對 **Value (值)**,選取辨別名稱、開啟內容選單,然後選擇 **Copy (複製)**。
# 在映像建置器上授予本機管理員權限
根據預設,Active Directory 網域使用者在映像建置器執行個體上沒有本機管理員權限。您可以透過在您的目錄中使用群組政策喜好設定,或是在映像建置器上使用本機管理員帳戶來授予這些權限。將本機管理員權限授予網域使用者,可讓該使用者在 WorkSpaces 應用程式映像建置器上安裝應用程式,並在其中建立映像。
**Topics**
+ [使用群組政策喜好設定](group-policy.md)
+ [在映像建置器上使用本機管理員群組](manual-procedure.md)
# 使用群組政策喜好設定
您可以使用群組政策喜好設定,將本機管理員權限授予 Active Directory 使用者或群組,以及指定 OU 中所有的電腦物件。您希望授予本機管理員許可的 Active Directory 使用者或群組必須已存在。若要使用群組政策喜好設定,您需要先執行以下作業:
+ 取得已加入您網域的電腦或 EC2 執行個體存取。
+ 安裝群組政策管理主控台 (GPMC) MMC 嵌入式管理單元。如需詳細資訊,請參閱 Microsoft 文件中的 [Installing or Removing Remote Server Administration Tools for Windows 7](https://technet.microsoft.com/en-us/library/ee449483.aspx)。
+ 以具備建立群組政策物件 (GPO) 許可的網域使用者登入。將 GPO 連結到適當的 OU。
**使用群組政策喜好設定授予本機管理員許可**
1. 在您的目錄或網域控制站上,以管理員身分開啟命令提示,輸入 `gpmc.msc`,然後按 ENTER。
1. 在左側主控台樹狀目錄中,選取您將建立新 GPO 或使用現有 GPO 的 OU,然後執行下列其中一項作業:
+ 透過開啟內容 (以滑鼠右鍵按一下) 選單並選擇 **Create a GPO in this domain, Link it here (在此網域建立 GPO 並連結到此處)** 來建立新的 GPO。針對 **Name (名稱)**,提供此 GPO 的描述名稱。
+ 選取現有的 GPO。
1. 開啟 GPO 的內容選單,然後選擇 **Edit (編輯)**。
1. 在主控台樹狀目錄中,選擇 **Computer Configuration (電腦組態)**、**Preferences (喜好設定)**、**Windows Settings (Windows 設定)**、**Control Panel Settings (控制台設定)**,以及 **Local Users and Groups (本機使用者及群組)**。
1. 選取 **Local Users and Groups (本機使用者及群組)**,開啟內容選單,然後選擇 **New (新增)**、**Local Group (本機群組)**。
1. 針對 **Action (動作)**,選擇 **Update (更新)**。
1. 針對 **Group name (群組名稱)**,選擇 **Administrators (built-in) (管理員 (內建))**。
1. 在**成員**下方,選擇**新增...**,然後指定要指派串流執行個體上本機管理員權限的 Active Directory 使用者或群組。針對 **Action (動作)**,選擇 **Add to this group (新增到此群組)**,然後選擇 **OK (確定)**。
1. 若要將此 GPO 套用到其他 OU,請選取其他 OU、開啟內容選單,然後選擇 **Link an Existing GPO (連結現有的 GPO)**。
1. 使用新的或您在步驟 2 中指定的現有 GPO 名稱,捲動並尋找該 GPO,然後選擇 **OK (確定)**。
1. 針對其他應擁有此喜好設定的 OU 重複步驟 9 和 10。
1. 選擇 **OK (確定)** 來關閉 **New Local Group Properties (新增本機群組屬性)** 對話方塊。
1. 再次選擇 **OK (確定)** 來關閉 GPMC。
若要將新的喜好設定套用到 GPO,您必須停止並重新啟動任何執行中的映像建置器或機群。您在步驟 8 指定的 Active Directory 使用者和群組會自動獲得 GPO 所連結 OU 中映像建置器及機群上的本機管理員權限。
# 在映像建置器上使用本機管理員群組
若要在您的映像建置器上授予 Active Directory 使用者或群組本機管理員權限,您可以在映像建置器上手動將這些使用者或群組新增到本機管理員群組。使用具備這些權限映像所建立的映像建置器會維持相同的權限。
要授予本機管理員權限的 Active Directory 使用者或群組必須已存在。
**在映像建置器上將 Active Directory 使用者或群組新增到本機管理員群組**
1. 在 https://[https://console.aws.amazon.com/appstream2](https://console.aws.amazon.com/appstream2) 開啟 WorkSpaces 應用程式主控台。
1. 在管理員模式中連線到映像建置器。映像建置器必須已在執行中且已加入網域。如需詳細資訊,請參閱[教學:設定 Active Directory](active-directory-directory-setup.md)。
1. 選擇 **Start (開始)**、**Administrative Tools (管理工具)**,然後按兩下 **Computer Management (電腦管理)**。
1. 在左側的導覽窗格中,選擇 **Local Users and Groups (本機使用者及群組)**,然後開啟 **Groups (群組)**。
1. 開啟 **Administrators (管理員)** 群組,然後選擇 **Add... (新增...)**。
1. 選取要指派本機管理員權限的所有 Active Directory 使用者或群組,然後選擇 **OK (確定)**。再次選擇 **OK (確定)** 來關閉 **Administrator Properties (管理屬性)** 對話方塊。
1. 關閉電腦管理。
1. 若要以 Active Directory 使用者登入並測試該使用者是否具備映像建置器上的本機管理員權限,請選擇 **Admin Commands (管理員命令)**、**Switch user (切換使用者)**,然後輸入相關使用者的登入資料。
# 更新用於加入網域的服務帳戶
若要更新 WorkSpaces 應用程式用來加入網域的服務帳戶,我們建議您使用兩個不同的服務帳戶,將映像建置器和機群加入您的 Active Directory 網域。使用兩個不同的服務帳戶,可確保當服務帳戶需要更新時 (例如密碼過期),服務也不會中斷。
**更新服務帳戶**
1. 建立 Active Directory 群組,並將正確的許可委派給該群組。
1. 將您的服務帳戶新增到新的 Active Directory 群組。
1. 視需要輸入新服務帳戶的登入憑證,以編輯 WorkSpaces 應用程式目錄 Config 物件。
在您使用新的服務帳戶 Active Directory 群組後,任何新的串流執行個體操作都會使用新的服務帳戶,而處理中的串流執行個體操作則會繼續使用舊的帳戶,不會發生中斷。
完成處理中串流執行個體操作期間的服務帳戶重疊時間相當短暫,不會超過一天。重疊時間是必要的,因為您不應在重疊期間刪除或變更舊服務帳戶的密碼,否則現有的操作會失敗。
# 在使用者閒置時鎖定串流工作階段
WorkSpaces 應用程式倚賴您在 GPMC 中設定的設定,在使用者閒置一段時間後鎖定串流工作階段。若要使用 GPMC,您需要先執行以下作業:
+ 取得已加入您網域的電腦或 EC2 執行個體存取。
+ 安裝 GPMC。如需詳細資訊,請參閱 Microsoft 文件中的 [Installing or Removing Remote Server Administration Tools for Windows 7](https://technet.microsoft.com/en-us/library/ee449483.aspx)。
+ 以具備建立 GPO 許可的網域使用者登入。將 GPO 連結到適當的 OU。
**在使用者閒置時自動鎖定串流執行個體**
1. 在您的目錄或網域控制站上,以管理員身分開啟命令提示,輸入 `gpmc.msc`,然後按 ENTER。
1. 在左側主控台樹狀目錄中,選取您將建立新 GPO 或使用現有 GPO 的 OU,然後執行下列其中一項作業:
+ 透過開啟內容 (以滑鼠右鍵按一下) 選單並選擇 **Create a GPO in this domain, Link it here (在此網域建立 GPO 並連結到此處)** 來建立新的 GPO。針對 **Name (名稱)**,提供此 GPO 的描述名稱。
+ 選取現有的 GPO。
1. 開啟 GPO 的內容選單,然後選擇 **Edit (編輯)**。
1. 在 **User Configuration (使用者組態)** 下方,展開 **Policies (政策)**、**Administrative Templates (管理範本)**、**Control Panel (控制台)**,然後選擇 **Personalization (個人化)**。
1. 按兩下 **Enable screen saver (啟用螢幕保護裝置)**。
1. 在 **Enable screen saver (啟用螢幕保護裝置)** 政策設定中,選擇 **Enabled (啟用)**。
1. 選擇 **Apply (套用)**,然後選擇 **OK (確定)**。
1. 按兩下 **Force specific screen saver (強制使用特定螢幕保護裝置)**。
1. 在 **Force specific screen saver (強制使用特定螢幕保護裝置)** 政策設定中,選擇 **Enabled (啟用)**。
1. 在 **Screen saver executable name (螢幕保護裝置可執行檔名稱)** 下方,輸入 **scrnsave.scr**。啟用此設定時,系統會在使用者的桌面上顯示黑色的螢幕保護裝置。
1. 選擇 **Apply (套用)**,然後選擇 **OK (確定)**。
1. 按兩下 **Password protect the screen saver (密碼保護螢幕保護裝置)**。
1. 在 **Password protect the screen saver (密碼保護螢幕保護裝置)** 政策設定中,選擇 **Enabled (啟用)**。
1. 選擇 **Apply (套用)**,然後選擇 **OK (確定)**。
1. 按兩下 **Screen saver timeout (螢幕保護裝置逾時)**。
1. 在 **Screen saver timeout (螢幕保護裝置逾時)** 政策設定中,選擇 **Enabled (啟用)**。
1. 針對 **Seconds (秒數)**,指定套用螢幕保護裝置前,使用者必須閒置的時間長度。若要將閒置時間設為 10 分鐘,請指定 600 秒。
1. 選擇 **Apply (套用)**,然後選擇 **OK (確定)**。
1. 在主控台樹狀目錄中,於 **User Configuration (使用者組態)** 下方,展開 **Policies (政策)**、**Administrative Templates (管理範本)**、**System (系統)**,然後選擇 **Ctrl\$1Alt\$1Del Options (Ctrl\$1Alt\$1Del 選項)**。
1. 按兩下 **Remove Lock Computer (移除鎖定電腦)**。
1. 在 **Remove Lock Computer (移除鎖定電腦)** 政策設定,選擇 **Disabled (停用)**。
1. 選擇 **Apply (套用)**,然後選擇 **OK (確定)**。
# 編輯目錄組態
建立 WorkSpaces 應用程式目錄組態之後,您可以對其進行編輯,以新增、移除或修改組織單位、更新服務帳戶使用者名稱,或更新服務帳戶密碼。
**更新目錄組態**
1. 在 https://[https://console.aws.amazon.com/appstream2](https://console.aws.amazon.com/appstream2) 開啟 WorkSpaces 應用程式主控台。
1. 在左側導覽窗格中,選擇 **Directory Configs (目錄組態)**,然後選取要編輯的目錄組態。
1. 選擇 **Actions** (動作)、**Edit** (編輯)。
1. 更新要變更的欄位。若要新增其他 OU,請選取最上方 OU 欄位旁邊的加號 (**\$1**)。若要移除 OU 欄位,請選取欄位旁邊的 **x**。
**注意**
至少需要一個 OU。您無法移除目前正在使用中的 OU。
1. 若要儲存變更,請選擇 **Update Directory Config (更新目錄組態)**。
1. **Details (詳細資訊)** 標籤中的資訊現在應該會更新並反映變更。
變更服務帳戶登入憑證並不會影響處理中的串流執行個體操作。新的串流執行個體操作會使用更新後的登入資料。如需詳細資訊,請參閱[更新用於加入網域的服務帳戶](active-directory-service-acct.md)。
# 刪除目錄組態
您可以刪除不再需要的 WorkSpaces 應用程式目錄組態。您無法刪除與任何映像建置器或機群相關聯的目錄組態。
**刪除目錄組態**
1. 在 https://[https://console.aws.amazon.com/appstream2](https://console.aws.amazon.com/appstream2) 開啟 WorkSpaces 應用程式主控台。
1. 在左側導覽窗格中,選擇 **Directory Configs (目錄組態)**,然後選取要刪除的目錄組態。
1. 選擇 **動作**、**刪除**。
1. 驗證快顯訊息中的名稱,然後選擇 **Delete (刪除)**。
1. 選擇 **Update Directory Config (更新目錄組態)**。
# 設定 WorkSpaces 應用程式以使用網域信任
WorkSpaces 應用程式支援 Active Directory 網域環境,其中檔案伺服器、應用程式和電腦物件等網路資源位於一個網域中,而使用者物件位於另一個網域中。用於電腦物件操作的網域服務帳戶不需要與 WorkSpaces 應用程式電腦物件位於相同的網域中。
建立目錄組態時,指定具備適當許可的服務帳戶,來管理檔案伺服器、應用程式、電腦物件和其他網路資源所在 Active Directory 網域中的電腦物件。
您的最終使用者 Active Directory 帳戶必須針對以下項目擁有「允許進行身分驗證」的許可:
+ WorkSpaces 應用程式電腦物件
+ 網域的網域控制站
如需詳細資訊,請參閱[授予許可來建立及管理 Active Directory 電腦物件](active-directory-permissions.md)。
# 在 Active Directory 中管理 WorkSpaces 應用程式電腦物件
WorkSpaces 應用程式不會從 Active Directory 刪除電腦物件。您可以在您的目錄中輕鬆識別這些電腦物件。每個目錄中的電腦物件建立時都帶有 `Description` 屬性,該屬性會指定機群或映像建置器執行個體及名稱。
**電腦物件描述範例**
| Type | 名稱 | 描述屬性 |
| --- | --- | --- |
| 機群 | ExampleFleet | `WorkSpaces Applications - fleet:ExampleFleet` |
| 映像建置器 | ExampleImageBuilder | `WorkSpaces Applications - image-builder:ExampleImageBuilder` |
您可以使用下列 和 `dsrm`命令來識別`dsquery computer`和刪除 WorkSpaces 應用程式建立的非作用中電腦物件。如需詳細資訊,請參閱 Microsoft 文件中的 [Dsquery computer](https://technet.microsoft.com/en-us/library/cc730720.aspx) 和 [Dsrm](https://technet.microsoft.com/en-us/library/cc731865.aspx)。
`dsquery` 命令會識別特定時間期間內非作用中的電腦物件,並使用以下格式。`dsquery` 命令也應搭配 參數執行`-desc "WorkSpaces Applications*"`,以僅顯示 WorkSpaces 應用程式物件。
```
dsquery computer "OU-distinguished-name" -desc "WorkSpaces Applications*" -inactive number-of-weeks-since-last-login
```
+ `OU-distinguished-name` 是組織單位的辨別名稱。如需詳細資訊,請參閱[尋找組織單位辨別名稱](active-directory-oudn.md)。若您沒有提供 *OU-distinguished-name* 參數,命令會搜尋整個目錄。
+ `number-of-weeks-since-last-log-in` 是以您定義「非作用」方式為基礎的所需值。
例如,以下命令會顯示所有位於 `OU=ExampleOU,DC=EXAMPLECO,DC=COM` 組織單位,在過去兩週內沒有登入的電腦物件。
```
dsquery computer OU=ExampleOU,DC=EXAMPLECO,DC=COM -desc "WorkSpaces Applications*" -inactive 2
```
若有找到任何相符項目,結果便會顯示一或多個物件名稱。`dsrm` 命令會刪除指定物件,並使用以下格式:
```
dsrm objectname
```
其中,`objectname` 是來自 `dsquery` 命令輸出的完整物件名稱。例如,若上述的 `dsquery` 命令顯示名為 "ExampleComputer" 的電腦物件,則刪除它的 `dsrm` 命令會如下所示:
```
dsrm "CN=ExampleComputer,OU=ExampleOU,DC=EXAMPLECO,DC=COM"
```
您可以使用直立線符號 (`|`) 運算子來將這些命令鏈結在一起。例如,若要刪除所有 WorkSpaces 應用程式電腦物件,並針對每個物件提示確認,請使用下列格式。將 `-noprompt` 參數新增到 `dsrm` 來停用確認。
```
dsquery computer OU-distinguished-name -desc "WorkSpaces Applications*" –inactive number-of-weeks-since-last-log-in | dsrm
```