本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 搭配 WorkSpaces 應用程式使用 Active Directory
您可以將 Amazon WorkSpaces 應用程式 Always-On 和 On-Demand Windows 機群和映像建置器加入 Microsoft Active Directory 中的網域,並使用雲端或內部部署的現有 Active Directory 網域來啟動加入網域的串流執行個體。您也可以使用 AWS Directory Service for Microsoft Active Directory,也稱為 AWS Managed Microsoft AD,來建立 Active Directory 網域,並使用它來支援 WorkSpaces 應用程式資源。如需使用 AWS 受管 Microsoft AD 詳細資訊,請參閱《AWS Directory Service 管理指南》**中的 [Microsoft Active Directory](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_microsoft_ad.html)。
**注意**
Amazon Linux 2 機群、映像建置器、彈性機群和應用程式區塊建置器目前不支援網域加入。
透過將 WorkSpaces 應用程式加入 Active Directory 網域,您可以:
+ 讓您的使用者和應用程式存取 Active Directory 資源,例如印表機和從串流工作階段共享檔案。
+ 使用群組政策管理主控台 (GPMC) 中可用的群組政策設定,定義最終使用者體驗。
+ 串流需要使用者利用其 Active Directory 登入資料進行身分驗證的應用程式。
+ 將您的企業合規和安全性政策套用至 WorkSpaces 應用程式串流執行個體。
**Topics**
+ [Active Directory 網域概觀](active-directory-overview.md)
+ [開始搭配 Amazon WorkSpaces 應用程式使用 Active Directory 之前](active-directory-prerequisites.md)
+ [教學:設定 Active Directory](active-directory-directory-setup.md)
+ [憑證型身分驗證](certificate-based-authentication.md)
+ [WorkSpaces 應用程式 Active Directory 管理](active-directory-admin.md)
+ [詳細資訊](active-directory-more-info.md)
# Active Directory 網域概觀
將 Active Directory 網域與 WorkSpaces 應用程式搭配使用需要了解它們的運作方式,以及您需要完成的組態任務。您將需要完成以下任務:
1. 視需要設定群組政策設定,來定義最終使用者體驗和應用程式的安全需求。
1. 在 WorkSpaces 應用程式中建立加入網域的應用程式堆疊。
1. 在 SAML 2.0 身分提供者中建立 WorkSpaces 應用程式,並將其直接或透過 Active Directory 群組指派給最終使用者。
若要讓您的使用者對網域進行身分驗證,這些使用者啟動 WorkSpaces 應用程式串流工作階段時,必須執行幾個步驟。下圖說明從初始瀏覽器請求透過 SAML 及 Active Directory 身分驗證進行的端對端使用者身分驗證流程。
![\[Authentication flow diagram showing steps from user login to AWSWorkSpaces Applications session start.\]](http://docs.aws.amazon.com/zh_tw/appstream2/latest/developerguide/images/domain-join-UPDATED.png)
**使用者身分驗證流程**
1. 使用者瀏覽到 `https://applications.exampleco.com`。登入頁面會要求使用者的身分驗證。
1. 聯合服務要求組織的身分存放區提供身分驗證。
1. 身分存放區驗證該名使用者,並向聯合服務傳回驗證回應。
1. 身分驗證成功時,聯合服務會將 SAML 聲明發佈到使用者的瀏覽器。
1. 使用者的瀏覽器會將 SAML 聲明發佈至 AWS 登入 SAML 端點 (`https://signin.aws.amazon.com/saml`)。 AWS 登入會接收 SAML 請求、處理請求、驗證使用者,並將身分驗證字符轉送至 WorkSpaces 應用程式服務。
1. 使用來自 的身分驗證字符 AWS,WorkSpaces 應用程式會授權使用者並將應用程式呈現給瀏覽器。
1. 使用者選擇應用程式,並根據 WorkSpaces 應用程式堆疊上啟用的 Windows 登入身分驗證方法,系統會提示他們輸入 Active Directory 網域密碼或選擇智慧卡。如果兩種驗證方法同時啟用,使用者可以選擇要輸入其網域密碼或使用智慧卡。憑證型身分驗證也可以用來驗證使用者,不過不會出現提示。
1. 接著會聯絡網域控制站進行使用者身分驗證。
1. 在向網域進行身分驗證後,使用者工作階段便會啟動,並帶有網域連線能力。
從使用者的觀點來看,此程序簡單明瞭。使用者從導覽至組織的內部入口網站開始,並重新導向至 WorkSpaces 應用程式應用程式入口網站,而不必輸入 AWS 登入資料。只需要 Active Directory 網域密碼或智慧卡憑證。
您必須先使用必要的權利和群組政策設定來設定 Active Directory,並建立加入網域的應用程式堆疊,使用者才能初始化此程序。
# 開始搭配 Amazon WorkSpaces 應用程式使用 Active Directory 之前
將 Microsoft Active Directory 網域與 WorkSpaces 應用程式搭配使用之前,請注意下列需求和考量事項。
**Topics**
+ [Active Directory 網域環境](active-directory-prerequisites-domain-environment.md)
+ [加入網域的 WorkSpaces 應用程式串流執行個體](active-directory-prerequisites-streaming-instances.md)
+ [群組政策設定](active-directory-prerequisites-group-policy-settings.md)
+ [智慧卡身分驗證](active-directory-prerequisites-smart-card-authentication.md)
# Active Directory 網域環境
您的 Active Directory 網域環境必須符合下列要求。
+ 您需要串流執行個體加入目標的 Microsoft Active Directory 網域。如果您沒有 Active Directory 網域或想要使用內部部署 Active Directory 環境,請參閱[AWS 合作夥伴解決方案部署指南上的 Active Directory 網域服務](https://aws-solutions-library-samples.github.io/cfn-ps-microsoft-activedirectory/)。
+ 您必須擁有網域服務帳戶,其具有在您打算與 WorkSpaces 應用程式搭配使用的網域中建立和管理電腦物件的許可。如需資訊,請參閱 Microsoft 文件中的 [How to Create a Domain Account in Active Directory](https://msdn.microsoft.com/en-us/library/aa545262(v=cs.70).aspx)。
當您將此 Active Directory 網域與 WorkSpaces 應用程式建立關聯時,請提供服務帳戶名稱和密碼。WorkSpaces 應用程式使用此帳戶在 目錄中建立和管理電腦物件。如需詳細資訊,請參閱[授予許可來建立及管理 Active Directory 電腦物件](active-directory-permissions.md)。
+ 當您向 WorkSpaces 應用程式註冊 Active Directory 網域時,您必須提供組織單位 (OU) 辨別名稱。請為此建立 OU。預設電腦容器不是 OU,WorkSpaces 應用程式無法使用。如需詳細資訊,請參閱[尋找組織單位辨別名稱](active-directory-oudn.md)。
+ 您計劃與 WorkSpaces 應用程式搭配使用的目錄必須透過啟動串流執行個體的虛擬私有雲端 (FQDNs) 存取。如需詳細資訊,請參閱 Microsoft 文件中的 [Active Directory and Active Directory Domain Services Port Requirements](https://technet.microsoft.com/en-us/library/dd772723.aspx)。
+ 網域控制站存取也可以透過 IPv6 支援,並且需要 [DHCP 選項集更新](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_DHCP_Options.html)。
# 加入網域的 WorkSpaces 應用程式串流執行個體
SAML 2.0 型使用者聯合是從加入網域的 Always-On 和 On-Demand 機群串流應用程式時所需。您無法使用 [CreateStreamingURL](https://docs.aws.amazon.com/appstream2/latest/APIReference/API_CreateStreamingURL.html) 或 WorkSpaces 應用程式使用者集區,將工作階段啟動至加入網域的執行個體。
此外,您必須使用支援將映像建置器和機群加入 Active Directory 網域的映像。所有在 2017 年 7 月 24 日及其之後發佈的公有映像都支援加入 Active Directory 網域。如需詳細資訊,請參閱[WorkSpaces 應用程式基礎映像和受管映像更新版本備註](base-image-version-history.md)及[教學:設定 Active Directory](active-directory-directory-setup.md)。
**注意**
您可以將 Always-On 和隨需機群串流執行個體加入 Active Directory 網域。支援的作業系統包括 Windows、Red Hat Enterprise Linux 和 Rocky Linux。
# 群組政策設定
請確認下列群組原則設定的組態。如有需要,請更新本節所述的設定,使其不會阻止 WorkSpaces 應用程式驗證和登入您的網域使用者。否則,當您的使用者嘗試登入 WorkSpaces 應用程式時,登入可能不會成功。而是會顯示訊息,通知使用者「發生未知的錯誤。」
+ **電腦組態 > 管理範本 > Windows 元件 > Windows 登入選項 > 停用或啟用軟體 Secure Attention Sequence**:針對**服務**將此項設為**啟用**。
+ **電腦組態 > 管理範本 > 系統 > 登入 > 排除登入資料提供者** — 確保*未*列出下列 CLSID: `e7c1bab5-4b49-4e64-a966-8d99686f8c7c` 和 `f148bAed-5f7f-40c9-8D48-51e24e571825`
+ **電腦組態 > 政策 > Windows 設定 > 安全設定 > 本機政策 > 安全選項 > 互動式登入 > 互動式登入:給嘗試登入的使用者的訊息文字**:將此項設為**未定義**。
+ **電腦組態 > 政策 > Windows 設定 > 安全設定 > 本機政策 > 安全選項 > 互動式登入 > 互動式登入:給嘗試登入的使用者的訊息標題**:將此項設為**未定義**。
+ **電腦組態 > 政策 > Windows 設定 > 安全設定 > 本機政策 > 使用者權限指派 > 允許本機登入** — 將此設定為**未定義**或將網域使用者/群組新增至此清單。
+ **電腦組態 > 政策 > Windows 設定 > 安全設定 > 本機政策 > 使用者權限指派 > 拒絕本機登入** — 將此設定為**未定義**,或確定網域使用者/群組未包含在清單中。
如果您使用的是多工作階段機群,除了上述指定的設定之外,還需要下列群組政策設定。
+ **電腦組態 > 政策 > Windows 設定 > 安全設定 > 本機政策 > 使用者權限指派 > 允許透過遠端桌面服務登入** — 將此設定為**未定義**或將網域使用者/群組新增至此清單。
+ **電腦組態 > 政策 > Windows 設定 > 安全設定 > 本機政策 > 使用者權利指派 > 透過遠端桌面服務拒絕登入** — 將此設定為**未定義**,或確定網域使用者/群組未包含在清單中。
# 智慧卡身分驗證
WorkSpaces 應用程式支援使用 Active Directory 網域密碼或智慧卡,例如[通用存取卡 (CAC)](https://www.cac.mil/Common-Access-Card) 和[個人身分驗證 (PIV)](https://piv.idmanagement.gov/) 智慧卡,以便 Windows 登入 WorkSpaces 應用程式串流執行個體。如需如何設定 Active Directory 環境以使用第三方憑證授權單位 (CA) 啟用智慧卡登入的相關資訊,請參閱 Microsoft 文件中的[使用第三方憑證授權單位啟用智慧卡登入的指引](https://docs.microsoft.com/en-us/troubleshoot/windows-server/windows-security/enabling-smart-card-logon-third-party-certification-authorities)。
**注意**
WorkSpaces 應用程式也支援在使用者登入串流執行個體後,使用智慧卡進行工作階段內身分驗證。只有已安裝適用於 Windows 1.1.257 版或更新版本的 WorkSpaces 應用程式用戶端的使用者,才支援此功能。如需其他需求的相關資訊,請參閱 [智慧卡](feature-support-USB-devices-qualified.md#feature-support-USB-devices-qualified-smart-cards)。
# 教學:設定 Active Directory
若要搭配 WorkSpaces 應用程式使用 Active Directory,您必須先在 WorkSpaces 應用程式中建立 Directory Config 物件來註冊目錄組態。此物件包含將串流執行個體加入 Active Directory 網域的必要資訊。您可以使用 WorkSpaces 應用程式管理主控台、 AWS SDK 或 來建立 Directory Config 物件 AWS CLI。然後您就可以使用您的目錄組態來啟動加入網域的 Always-On 和 On-Demand 機群和映像建置器。
**注意**
您只能將 Always-On 和 On-Demand 機群串流執行個體加入 Active Directory 網域。
**Topics**
+ [步驟 1:建立目錄組態物件](#active-directory-setup-config)
+ [步驟 2:使用加入網域的映像建置器建立映像](#active-directory-setup-image-builder)
+ [步驟 3:建立加入網域的機群](#active-directory-setup-fleet)
+ [步驟 4:設定 SAML 2.0](#active-directory-setup-saml)
## 步驟 1:建立目錄組態物件
您在 WorkSpaces 應用程式中建立的 Directory Config 物件將用於後續步驟。
如果您使用 AWS SDK,則可以使用 [CreateDirectoryConfig](https://docs.aws.amazon.com/appstream2/latest/APIReference/API_CreateDirectoryConfig.html) 操作。如果您使用的是 AWS CLI,則可以使用 [create-directory-config](https://docs.aws.amazon.com/cli/latest/reference/appstream/create-directory-config.html) 命令。
**使用 WorkSpaces 應用程式主控台建立 Directory Config 物件**
1. 在 https://[https://console.aws.amazon.com/appstream2](https://console.aws.amazon.com/appstream2) 開啟 WorkSpaces 應用程式主控台。
1. 在導覽窗格中,選擇 **Directory Configs (目錄組態)**、**Create Directory Config (建立目錄組態)**。
1. 針對 **Directory Name (目錄名稱)**,請提供 Active Directory 網域的完整網域名稱 (FQDN) (例如 `corp.example.com`)。每個區域只能有一個具備特定目錄名稱的 **Directory Config (目錄組態)** 值。
1. 針對 **Service Account Name (服務帳戶名稱)**,輸入可建立電腦物件並擁有加入網域許可的帳戶名稱。如需詳細資訊,請參閱[授予許可來建立及管理 Active Directory 電腦物件](active-directory-permissions.md)。帳戶名稱的格式必須是 `DOMAIN\username`。
1. 針對 **Password (密碼)** 及 **Confirm Password (確認密碼)**,輸入指定帳戶的目錄密碼。
1. 針對 **Organizational Unit (OU) (組織單位 (OU))**,輸入至少一個用於串流執行個體電腦物件的辨別名稱。
**注意**
OU 名稱不可包含有空格。如果您指定包含空格的 OU 名稱,當機群或映像建置器嘗試重新加入 Active Directory 網域時,WorkSpaces 應用程式無法正確循環電腦物件,而且網域重新加入不會成功。如需如何對此問題進行故障診斷的詳細資訊,請參閱 [Active Directory 加入網域](troubleshooting-notification-codes.md#troubleshooting-notification-codes-ad) 中「帳戶已存在」訊息的 *DOMAIN\$1JOIN\$1INTERNAL\$1SERVICE\$1ERROR* 主題。
此外,預設電腦容器不是 OU,WorkSpaces 應用程式無法使用。如需詳細資訊,請參閱[尋找組織單位辨別名稱](active-directory-oudn.md)。
1. 若要新增多個 OU,請選取**組織單位 (OU)** 旁邊的加號 (**\$1**)。若要移除 OU,請選擇 **x** 圖示。
1. 選擇**下一步**。
1. 檢閱組態資訊,然後選擇 **Create (建立)**。
## 步驟 2:使用加入網域的映像建置器建立映像
接著,使用 WorkSpaces 應用程式映像建置器,使用 Active Directory 加入網域功能建立新的映像。請注意,機群和映像可以是不同網域的成員。您會將映像建置器加入網域來啟用加入網域,並安裝應用程式。機群加入網域會在下一節討論。
**建立用來啟動加入網域機群的映像**
1. 請遵循[教學課程:使用 WorkSpaces 應用程式主控台建立自訂 WorkSpaces 應用程式映像](tutorial-image-builder.md)中的程序。
1. 針對基礎映像選取步驟,請使用 2017 年 7 月 24 日當天或之後發行 AWS 的基礎映像。如需目前發佈的 AWS 映像清單,請參閱 [WorkSpaces 應用程式基礎映像和受管映像更新版本備註](base-image-version-history.md)。
1. 針對 **Step 3: Configure Network (步驟 3:設定網路)**,選取 VPC 及具備連線到您 Active Directory 環境網路連線能力的子網路。選取已進行設定,允許透過 VPC 子網路存取您目錄的安全群組。
1. 同時,在 **Step 3: Configure Network (步驟 3:設定網路)** 中,展開 **Active Directory Domain (Optional) (Active Directory 網域 (選用))** 區段,然後選取 **Directory Name (目錄名稱)** 及要加入映像建置器的 **Directory OU (目錄 OU)** 值。
1. 檢閱映像建置器組態,然後選擇 **Create (建立)**。
1. 等待新的映像建置器到達 **Running (執行中)** 狀態,然後選擇 **Connect (連線)**。
1. 以管理員模式或具備本機管理員許可的目錄使用者登入映像建置器。如需詳細資訊,請參閱[在映像建置器上授予本機管理員權限](active-directory-image-builder-local-admin.md)。
1. 完成[教學課程:使用 WorkSpaces 應用程式主控台建立自訂 WorkSpaces 應用程式映像](tutorial-image-builder.md)中的步驟來安裝應用程式,並建立新映像。
## 步驟 3:建立加入網域的機群
使用在先前步驟中建立的私有映像,建立加入 Active Directory 網域的 Always-On 或 On-Demand 機群以用於串流應用程式。網域可以和您用來透過映像建置器建立映像的網域不同。
**建立加入網域的 Always-On 或 On-Demand 機群**
1. 請遵循[在 Amazon WorkSpaces 應用程式中建立機群](set-up-stacks-fleets-create.md)中的程序。
1. 針對映像選取步驟,請使用在先前步驟 ([步驟 2:使用加入網域的映像建置器建立映像](#active-directory-setup-image-builder)) 中建立的映像。
1. 針對 **Step 4: Configure Network (步驟 4:設定網路)**,選取 VPC 及具備連線到您 Active Directory 環境網路連線能力的子網路。選取已進行設定,允許和您網域進行通訊的安全群組。
1. 同時,在 **Step 4: Configure Network (步驟 4:設定網路)** 中,展開 **Active Directory Domain (Optional) (Active Directory 網域 (選用))** 區段,然後選取 **Directory Name (目錄名稱)** 及要加入機群的 **Directory OU (目錄 OU)** 值。
1. 檢閱機群組態,然後選擇 **Create (建立)**。
1. 完成[建立 Amazon WorkSpaces 應用程式機群和堆疊](set-up-stacks-fleets.md)中剩餘的步驟,將您的機群與堆疊建立關聯並執行。
## 步驟 4:設定 SAML 2.0
您的使用者必須使用您的 SAML 2.0 型聯合身分環境,來從您的加入網域機群啟動串流工作階段。
**為單一登入存取設定 SAML 2.0**
1. 請遵循[正在設定 SAML](external-identity-providers-setting-up-saml.md)中的程序。
1. WorkSpaces 應用程式要求以下列其中一種格式提供登入使用者的 SAML\$1Subject `NameID`值:
+ `domain\username`,使用 sAMAccountName
+ `username@domain.com`,使用 userPrincipalName
若您使用 sAMAccountName 格式,您可以透過使用 NetBIOS 名稱或完整網域名稱 (FQDN) 來指定 `domain`。
1. 提供 Active Directory 使用者或群組的存取權,以便從您的身分提供者應用程式入口網站存取 WorkSpaces 應用程式堆疊。
1. 完成[正在設定 SAML](external-identity-providers-setting-up-saml.md) 中剩餘的步驟。
**使用 SAML 2.0 登入使用者**
1. 登入 SAML 2.0 供應商的應用程式目錄,並開啟您在先前程序中建立的 WorkSpaces 應用程式 SAML 應用程式。
1. 顯示 WorkSpaces 應用程式目錄時,選取要啟動的應用程式。
1. 在顯示載入中的圖示時,您會收到提示,要求您提供密碼。您 SAML 2.0 身分提供者提供的網域使用者名稱會顯示在密碼欄位的上方。輸入您的密碼,然後選擇 **log in (登入)**。
串流執行個體會執行 Windows 登入程序,並開啟所選取的應用程式。
# 憑證型身分驗證
您可以將憑證型身分驗證與加入 Microsoft Active Directory 的 WorkSpaces 應用程式機群搭配使用。若使用這種方式,就不會在使用者登入時提示使用者輸入 Active Directory 網域密碼。使用憑證型身分驗證搭配 Active Directory 網域,您可以:
+ 依賴 SAML 2.0 身分提供者來驗證使用者,並提供 SAML 聲明以比對 Active Directory 中的使用者。
+ 建立較少使用者提示的單一登入體驗。
+ 使用 SAML 2.0 身分提供者啟用無密碼身分驗證流程。
憑證型身分驗證會在您的 中使用 AWS 私有憑證授權機構 (AWS Private CA) 資源 AWS 帳戶。使用 AWS 私有 CA,您可以建立私有憑證授權機構 (CA) 階層,包括根 CA 和次級 CAs。您也可以建立自己的 CA 階層並從中發行憑證,以驗證內部使用者。如需詳細資訊,請參閱[什麼是 AWS 私有 CA](https://docs.aws.amazon.com/privateca/latest/userguide/PcaWelcome.html) 。
當您使用 AWS 私有 CA 進行憑證型身分驗證時,WorkSpaces 應用程式會在工作階段保留時,為每個 WorkSpaces 應用程式機群執行個體自動為您的使用者請求憑證。它會使用隨憑證佈建的虛擬智慧卡,對 Active Directory 進行使用者身分驗證。
執行 Windows 執行個體的 WorkSpaces 應用程式加入網域的機群 (單一工作階段和多工作階段機群) 都支援憑證型身分驗證 (CBA)。若要在多工作階段機群上啟用 CBA,您必須使用 WorkSpaces 應用程式映像,該映像使用 02-07-2025 當天或之後發行的 WorkSpaces 應用程式代理程式。或者,您的映像必須使用 02-11-2025 當天或之後發行的受管 WorkSpaces 應用程式映像更新。
**Topics**
+ [先決條件](certificate-based-authentication-prereq.md)
+ [啟用憑證型身分驗證](certificate-based-authentication-enable.md)
+ [管理憑證型身分驗證](certificate-based-authentication-manage.md)
+ [啟用跨帳戶 PCA 共用](pca-sharing.md)
# 先決條件
使用憑證型身分驗證之前,請先完成下列步驟。
1. 設定加入網域的機群並設定 SAML 2.0。確認針對 SAML\$1Subject `NameID` 使用 `username@domain.com` `userPrincipalName` 格式。如需詳細資訊,請參閱[步驟 5:建立 SAML 身分驗證回應聲明](external-identity-providers-setting-up-saml.md#external-identity-providers-create-assertions)。
**注意**
如果您想要使用憑證型身分驗證,則不要在堆疊中啟用 **Active Directory 的智慧卡登入**。如需詳細資訊,請參閱[智慧卡](feature-support-USB-devices-qualified.md#feature-support-USB-devices-qualified-smart-cards)。
1. 搭配映像使用 WorkSpaces 應用程式代理程式 10-13-2022 版或更新版本。如需詳細資訊,請參閱[讓您的 Amazon WorkSpaces 應用程式映像保持在Up-to-Date狀態](keep-image-updated.md)。
1. 在您的 SAML 聲明中設定 `ObjectSid` 屬性。您可以使用此屬性執行與 Active Directory 使用者的強式映射。如果 `ObjectSid` 屬性不符合 SAML\$1Subject `NameID` 中指定之使用者的 Active Directory 安全識別碼 (SID),則憑證型身分驗證會失敗。如需詳細資訊,請參閱[步驟 5:建立 SAML 身分驗證回應聲明](external-identity-providers-setting-up-saml.md#external-identity-providers-create-assertions)。2025 年 9 月 10 日之後,憑證型身分驗證`ObjectSid`必須使用 。如需詳細資訊,請參閱 [KB5014754:Windows 網域控制站上的憑證型身分驗證變更](https://support.microsoft.com/en-us/topic/kb5014754-certificate-based-authentication-changes-on-windows-domain-controllers-ad2c23b0-15d8-4340-a468-4d4f3b188f16)。
1. 將 `sts:TagSession` 許可新增至您搭配 SAML 2.0 組態使用的 IAM 角色信任政策。如需詳細資訊,請參閱[在 AWS STS中傳入工作階段標籤](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html.html)。需有此許可才能使用憑證型身分驗證。如需詳細資訊,請參閱[步驟 2:建立 SAML 2.0 聯合 IAM 角色](external-identity-providers-setting-up-saml.md#external-identity-providers-grantperms)。
1. 如果您沒有使用 Active Directory 設定私有憑證授權機構 (CA),請使用 AWS 私有憑證授權機構。 AWS 私有憑證授權機構需要使用憑證型身分驗證。如需詳細資訊,請參閱[規劃您的 AWS 私有 CA 部署](https://docs.aws.amazon.com/privateca/latest/userguide/PcaPlanning.html)。下列 AWS 私有 CA 設定在許多憑證型身分驗證使用案例中很常見:
+ **CA 類型選項**
+ **短期憑證 CA 使用模式**:如果 CA 僅發行最終使用者憑證以進行憑證型身分驗證,則建議此選項。
+ **具有根 CA 的單一層級階層**:選擇從屬 CA,以將它與現有 CA 階層整合。
+ **金鑰演算法選項**:RSA 2048
+ **主體辨別名稱選項**:使用最適合的選項來識別 Active Directory 受信任的根憑證授權單位存放區中的此 CA。
+ **憑證撤銷選項**:CRL 散發
**注意**
憑證型身分驗證需要可從 WorkSpaces 應用程式機群執行個體和網域控制器存取的線上 CRL 分佈點。這需要未經驗證存取針對 AWS 私有 CA CRL 項目設定的 Amazon S3 儲存貯體,或者在封鎖公開存取的情況下,則需要可存取 S3 儲存貯體的 CloudFront 散發。如需這些選項的詳細資訊,請參閱[規劃憑證撤銷清單 (CRL)](https://docs.aws.amazon.com/privateca/latest/userguide/crl-planning.html)。
1. 使用有權指定 CA `euc-private-ca` 以搭配 WorkSpaces 應用程式憑證型身分驗證使用的金鑰來標記您的私有 CA。此金鑰不需要值。如需詳細資訊,請參閱[管理私有 CA 的標籤](https://docs.aws.amazon.com/privateca/latest/userguide/PcaCaTagging.html)。如需與 WorkSpaces 應用程式搭配使用的 AWS 受管政策的詳細資訊,以授予 中 資源的許可 AWS 帳戶,請參閱 [AWS 存取 WorkSpaces 應用程式資源所需的受管政策](managed-policies-required-to-access-appstream-resources.md)。
1. 憑證型身分驗證會使用虛擬智慧卡進行登入。如需詳細資訊,請參閱[使用第三方憑證授權單位啟用智慧卡登入的指引](https://learn.microsoft.com/en-us/troubleshoot/windows-server/windows-security/enabling-smart-card-logon-third-party-certification-authorities)。請遵循下列步驟:
1. 使用網域控制站憑證設定網域控制站,以驗證智慧卡使用者。如果您在 Active Directory 中設定了 Active Directory Certificate Services 企業 CA,它會自動使用啟用智慧卡登入的憑證註冊網域控制站。如果您沒有 Active Directory Certificate Services,請參閱[要求來自第三方 CA 的網域控制站憑證](https://learn.microsoft.com/en-US/troubleshoot/windows-server/windows-security/requirements-domain-controller)。 AWS 建議 Active Directory 企業憑證授權單位自動管理網域控制站憑證的註冊。
**注意**
如果您使用 AWS Managed Microsoft AD,您可以在滿足網域控制站憑證需求的 Amazon EC2 執行個體上設定 Certificate Services。如需使用 [Active Directory Certificate Services 設定的 Managed Microsoft AD 部署範例,請參閱將 Active Directory 部署至新的 Amazon Virtual Private Cloud](https://docs.aws.amazon.com/launchwizard/latest/userguide/launch-wizard-ad-deploying-new-vpc.html)。 AWS
使用 AWS Managed Microsoft AD 和 Active Directory Certificate Services,您還必須建立從控制器的 VPC 安全群組到執行 Certificate Services 的 Amazon EC2 執行個體的傳出規則。您必須提供安全群組對 TCP 連接埠 135 和連接埠 49152 到 65535 的存取權,才能啟用憑證自動註冊。Amazon EC2 執行個體也必須在這些連接埠上允許來自網域執行個體 (包括網域控制站) 的傳入存取。如需尋找 AWS Managed Microsoft AD 安全群組的詳細資訊,請參閱[設定 VPC 子網路和安全群組](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_tutorial_setup_trust_prepare_mad.html#tutorial_setup_trust_open_vpc)。
1. 在 AWS 私有 CA 主控台上,或使用 SDK 或 CLI 匯出私有 CA 憑證。如需詳細資訊,請參閱[匯出私有憑證](https://docs.aws.amazon.com/acm/latest/userguide/export-private.html)。
1. 將私有 CA 發佈至 Active Directory。登入網域控制站或加入網域的電腦。將私有 CA 憑證複製到任何 `\`,並以網域管理員的身分執行下列命令。您也可以使用群組政策和 Microsoft PKI Health 工具 (PKIView) 來發佈 CA。如需詳細資訊,請參閱[組態指示](https://learn.microsoft.com/en-us/troubleshoot/windows-server/windows-security/enabling-smart-card-logon-third-party-certification-authorities#configuration-instructions)。
```
certutil -dspublish -f \ RootCA
```
```
certutil -dspublish -f \ NTAuthCA
```
確定命令已順利完成,然後移除私有 CA 憑證檔案。根據您的 Active Directory 複寫設定,CA 可能需要幾分鐘的時間才能發佈到您的網域控制器和 WorkSpaces 應用程式機群執行個體。
**注意**
Active Directory 在加入網域時,必須將 CA 自動分發到 WorkSpaces 應用程式機群執行個體的信任根憑證授權機構和企業 NTAuth 存放區。
對於 Windows 作業系統,CA (憑證授權單位) 的分佈會自動發生。不過,對於 Rocky Linux 和 Red Hat Enterprise Linux (Rocky Linux),您必須從 WorkSpaces 應用程式目錄組態所使用的 CA 下載根 CA 憑證。如果您的 KDC 根 CA 憑證 (KDC root CA) 不同,您也必須下載這些憑證。在使用憑證型身分驗證之前,必須將這些憑證匯入映像或快照。
在影像上,應該有一個名為 / 的檔案`etc/sssd/pki/sssd_auth_ca_db.pem`。它看起來應該如下所示:
```
-----BEGIN CERTIFICATE-----
Base64-encoded certificate chain from ACM Private CA
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Base64-encoded certificate body from ACM private CA
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Base64-encoded root CA KDC certificate chain
-----END CERTIFICATE-----
```
**注意**
跨區域或帳戶複製映像,或重新建立映像與新 Active Directory 的關聯時,將需要使用映像建置器上的相關憑證重新設定此檔案,並在使用前再次快照。
以下是下載根 CA 憑證的指示:
1. 在映像建置器上,建立名為 的檔案`/etc/sssd/pki/sssd_auth_ca_db.pem`。
1. 開啟 [AWS Private CA 主控台](https://console.aws.amazon.com/acm-pca/)。
1. 選擇與 WorkSpaces 應用程式目錄組態搭配使用的私有憑證。
1. 選擇 **CA 憑證**索引標籤。
1. 在映像建置器上將憑證鏈和憑證內文複製到 `/etc/sssd/pki/sssd_auth_ca_db.pem` 。
如果 KDCs 使用的根 CA 憑證與 WorkSpaces 應用程式目錄組態使用的根 CA 憑證不同,請依照這些範例步驟下載它們:
1. 連線至與映像建置器加入相同網域的 Windows 執行個體。
1. 打開 `certlm.msc`。
1. 在左側窗格中,選擇**信任的根憑證授權機構**,然後選擇**憑證**。
1. 對於每個根 CA 憑證,開啟內容 (按一下滑鼠右鍵) 選單。
1. 選擇**所有任務**,選擇**匯出**以開啟憑證匯出精靈,然後選擇**下一步**。
1. 選擇 **Base64-encoded的 X.509 (.CER)**,然後選擇**下一步**。
1. 選擇**瀏覽**、輸入檔案名稱,然後選擇**下一步**。
1. 選擇**完成**。
1. 在文字編輯器中開啟匯出的憑證。
1. 將檔案的內容複製到映像建置器`/etc/sssd/pki/sssd_auth_ca_db.pem`上的 。
# 啟用憑證型身分驗證
完成下列步驟,以啟用憑證型身分驗證。
**啟用憑證型身分驗證**
1. 在 https://[https://console.aws.amazon.com/appstream2](https://console.aws.amazon.com/appstream2) 開啟 WorkSpaces 應用程式主控台。
1. 在導覽窗格中,選擇**目錄組態**。選取您要設定的目錄組態,然後選擇**編輯**。
1. 選擇**啟用憑證型身分驗證**。
1. 確認清單中已關聯您的私有 CA ARN。若要顯示在清單中,您應該將私有 CA 存放在相同的 AWS 帳戶 和 中 AWS 區域。您也必須使用名為 `euc-private-ca` 的金鑰標記私有 CA。
1. 設定目錄登入後援。若使用後援,使用者就可在憑證型身分驗證失敗時,使用自己的 AD 網域密碼登入。只有在使用者知道自己的網域密碼的情況下,才建議使用此方式。當後援關閉時,如果發生鎖定畫面或 Windows 登出,工作階段可能會中斷使用者的連線。如果開啟後援,工作階段會提示使用者輸入其 AD 網域密碼。
1. 選擇 **Save Changes** (儲存變更)。
1. 憑證型身分驗證現已啟用。當使用者從 WorkSpaces 應用程式 Web 用戶端或 Windows 用戶端 (1.1.1099 版及更新版本) 使用加入網域的機群向 WorkSpaces 應用程式堆疊進行 SAML 2.0 驗證時,他們將不再收到網域密碼的提示。使用者連線至已啟用憑證型身分驗證的工作階段時,將會看到「正在使用憑證型身分驗證連線...」的訊息。
# 管理憑證型身分驗證
啟用憑證型身分驗證後,請檢閱下列任務。
**Topics**
+ [私有 CA 憑證](certificate-based-authentication-manage-CA.md)
+ [最終使用者憑證](certificate-based-authentication-manage-certs.md)
+ [稽核報告](certificate-based-authentication-manage-audit.md)
+ [記錄和監控](certificate-based-authentication-manage-logging.md)
# 私有 CA 憑證
在一般組態中,私有 CA 憑證的有效期為 10 年。如需有關取代憑證已過期的私有 CA,或重新簽發具有新有效期的私有 CA 的詳細資訊,請參閱[管理私有 CA 生命週期](https://docs.aws.amazon.com/privateca/latest/userguide/ca-lifecycle.html)。
# 最終使用者憑證
Private AWS CA for WorkSpaces 應用程式憑證型身分驗證發行的最終使用者憑證不需要續約或撤銷。這些憑證都短期的。WorkSpaces 應用程式會自動為每個新工作階段發行新憑證,或為持續時間較長的工作階段每 24 小時發行一次新憑證。WorkSpaces 應用程式工作階段會管理這些最終使用者憑證的使用。如果您結束工作階段,WorkSpaces 應用程式會停止使用該憑證。這些最終使用者憑證的有效期比一般 AWS Private CA CRL 分佈短。因此,最終使用者憑證不需要撤銷,也不會出現在 CRL 中。
# 稽核報告
您可以建立稽核報告,以列出私有 CA 已發行或撤銷的所有憑證。如需詳細資訊,請參閱[使用包含您私有 CA 的稽核報告](https://docs.aws.amazon.com/privateca/latest/userguide/PcaAuditReport.html)。
# 記錄和監控
您可以使用 CloudTrail 記錄 WorkSpaces 應用程式對私有 CA 的 API 呼叫。如需詳細資訊,請參閱[什麼是 AWS CloudTrail?](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)和[使用 CloudTrail](https://docs.aws.amazon.com/privateca/latest/userguide/PcaCtIntro.html)。在 CloudTrail 事件歷史記錄中,您可以從 WorkSpaces **EcmAssumeRoleSession**使用者名稱製作的 **acm-pca.amazonaws.com** 事件來源檢視 **GetCertificate** 和 **IssueCertificate** 事件名稱。系統會為每個 WorkSpaces 應用程式憑證型身分驗證請求記錄這些事件。如需詳細資訊,請參閱[「使用 CloudTrail 事件歷史記錄檢視事件」](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html)。
# 啟用跨帳戶 PCA 共用
私有 CA (PCA) 跨帳戶共用可讓其他帳戶授予使用集中式 CA 的許可。CA 可以使用 [AWS Resource Access Manager](https://aws.amazon.com/ram/) (RAM) 來產生和發行憑證,以管理許可。這消除了每個帳戶中私有 CA 的需求。私有 CA 跨帳戶共用可與 WorkSpaces 應用程式憑證型身分驗證 (CBA) 搭配使用 AWS 區域。
若要搭配 WorkSpaces 應用程式 CBA 使用共用私有 CA 資源,請完成下列步驟:
1. 在集中式 中設定 CBA 的私有 CA AWS 帳戶。如需詳細資訊,請參閱[憑證型身分驗證](certificate-based-authentication.md)。
1. 與 WorkSpaces 應用程式資源利用 CBA AWS 帳戶 的資源共用私有 CA。若要這樣做,請遵循[如何使用 AWS RAM 來共用 ACM Private CA 跨帳戶](https://aws.amazon.com/blogs/security/how-to-use-aws-ram-to-share-your-acm-private-ca-cross-account/)中的步驟。您不需要完成步驟 3 即可建立憑證。您可以與個人共用私有 CA AWS 帳戶,或透過 共用 AWS Organizations。如果您與個別帳戶共用,則需要使用 AWS Resource Access Manager 主控台或 APIs 接受資源帳戶中的共用私有 CA。
設定共用時,請確認 AWS Resource Access Manager 資源帳戶中私有 CA 的資源共用正在使用 `AWSRAMBlankEndEntityCertificateAPICSRPassthroughIssuanceCertificateAuthority`受管許可範本。此範本與發行 CBA 憑證時 WorkSpaces 應用程式服務角色所使用的 PCA 範本一致。
1. 共用成功後,請使用資源帳戶中的 Private CA 主控台來檢視共用的 Private CA。
1. 使用 API 或 CLI 將私有 CA ARN 與 WorkSpaces 應用程式目錄組態中的 CBA 建立關聯。目前,WorkSpaces 應用程式主控台不支援選取共用的私有 CA ARNs。以下是 CLI 命令範例:
`aws appstream update-directory-config --directory-name --certificate-based-auth-properties Status=,CertificateAuthorityArn=`
# WorkSpaces 應用程式 Active Directory 管理
搭配 WorkSpaces 應用程式設定和使用 Active Directory 涉及下列管理任務。
**Topics**
+ [授予許可來建立及管理 Active Directory 電腦物件](active-directory-permissions.md)
+ [尋找組織單位辨別名稱](active-directory-oudn.md)
+ [在映像建置器上授予本機管理員權限](active-directory-image-builder-local-admin.md)
+ [更新用於加入網域的服務帳戶](active-directory-service-acct.md)
+ [在使用者閒置時鎖定串流工作階段](active-directory-session-lock.md)
+ [編輯目錄組態](active-directory-config-edit.md)
+ [刪除目錄組態](active-directory-config-delete.md)
+ [設定 WorkSpaces 應用程式以使用網域信任](active-directory-domain-trusts.md)
+ [在 Active Directory 中管理 WorkSpaces 應用程式電腦物件](active-directory-identify-objects.md)
# 授予許可來建立及管理 Active Directory 電腦物件
若要允許 WorkSpaces 應用程式執行 Active Directory 電腦物件操作,您需要具有足夠許可的帳戶。做為最佳實務,建議您使用僅具備所需最低權限的帳戶。最低的 Active Directory 組織單位 (OU) 許可如下所示:
+ 建立電腦物件
+ 變更密碼
+ 重設密碼
+ 撰寫描述
在設定許可前,您需要先執行以下作業:
+ 取得已加入您網域的電腦或 EC2 執行個體存取。
+ 安裝 Active Directory 使用者及電腦 MMC 嵌入式管理單元。如需詳細資訊,請參閱 Microsoft 文件中的 [Installing or Removing Remote Server Administration Tools for Windows 7](https://technet.microsoft.com/en-us/library/ee449483.aspx)。
+ 以具備適當許可,能夠修改 OU 安全設定的網域使用者登入。
+ 建立或識別要委派許可的使用者、服務帳戶或群組。
**設定最低許可**
1. 在您的網域或網域控制站上開啟 **Active Directory Users and Computers (Active Directory 使用者及電腦)**。
1. 在左側導覽窗格中,選取要在其上提供網域加入權限的第一個 OU,開啟內容 (以滑鼠右鍵按一下) 選單,然後選擇 **Delegate Control (委派控制)**。
1. 在 **Delegation of Control Wizard (委派控制精靈)** 頁面上,選擇 **Next (下一步)**、**Add (新增)**。
1. 針對**選取使用者、電腦或群組**,選取預先建立的使用者、服務帳戶或群組,然後選擇**確定**。
1. 在 **Tasks to Delegate (要委派的任務)** 頁面上,選擇 **Create a custom task to delegate (建立要委派的自訂任務)**,然後選擇 **Next (下一步)**。
1. 選擇 **Only the following objects in the folder (僅限資料夾中的下列物件)**、**Computer objects (電腦物件)**。
1. 選擇 **Create selected objects in this folder (在此資料夾中建立選取的物件)**、**Next (下一步)**。
1. 針對 **Permissions (許可)**,選擇 **Read (讀取)**、**Write (寫入)**、**Change Password (變更密碼)**、**Reset Password (重設密碼)**、**Next (下一步)**。
1. 在 **Completing the Delegation of Control Wizard (完成委派控制精靈)** 頁面上,驗證資訊並選擇 **Finish (完成)**。
1. 針對任何其他需要這些許可的 OU 重複步驟 2 到 9。
若您將許可委派給群組,請使用強式密碼建立使用者或服務帳戶,並將該帳戶新增到該群組。此帳戶便會有足夠的權限,將您的串流執行個體連線到目錄。建立 WorkSpaces 應用程式目錄組態時,請使用此帳戶。
# 尋找組織單位辨別名稱
當您向 WorkSpaces 應用程式註冊 Active Directory 網域時,您必須提供組織單位 (OU) 辨別名稱。請為此建立 OU。預設電腦容器不是 OU,WorkSpaces 應用程式無法使用。以下程序示範如何取得此名稱。
**注意**
辨別名稱必須以 **OU=** 開頭,否則便無法用於電腦物件。
在您完成此程序前,您需要先執行以下作業:
+ 取得已加入您網域的電腦或 EC2 執行個體存取。
+ 安裝 Active Directory 使用者及電腦 MMC 嵌入式管理單元。如需詳細資訊,請參閱 Microsoft 文件中的 [Installing or Removing Remote Server Administration Tools for Windows 7](https://technet.microsoft.com/en-us/library/ee449483.aspx)。
+ 以具備適當許可,能夠讀取 OU 安全屬性的網域使用者登入。
**尋找 OU 的辨別名稱**
1. 在您的網域或網域控制站上開啟 **Active Directory Users and Computers (Active Directory 使用者及電腦)**。
1. 在 **View (檢視)** 下方,確認已啟用 **Advanced Features (進階功能)**。
1. 在左側導覽窗格中,選取要用於 WorkSpaces 應用程式串流執行個體電腦物件的第一個 OU,開啟內容 (按一下滑鼠右鍵) 選單,然後選擇**屬性**。
1. 選擇 **Attribute Editor (屬性編輯器)**。
1. 在 **Attributes (屬性)** 下方,針對 **distinguishedName**,選擇 **View (檢視)**。
1. 針對 **Value (值)**,選取辨別名稱、開啟內容選單,然後選擇 **Copy (複製)**。
# 在映像建置器上授予本機管理員權限
根據預設,Active Directory 網域使用者在映像建置器執行個體上沒有本機管理員權限。您可以透過在您的目錄中使用群組政策喜好設定,或是在映像建置器上使用本機管理員帳戶來授予這些權限。將本機管理員權限授予網域使用者,可讓該使用者在 WorkSpaces 應用程式映像建置器上安裝應用程式,並在其中建立映像。
**Topics**
+ [使用群組政策喜好設定](group-policy.md)
+ [在映像建置器上使用本機管理員群組](manual-procedure.md)
# 使用群組政策喜好設定
您可以使用群組政策喜好設定,將本機管理員權限授予 Active Directory 使用者或群組,以及指定 OU 中所有的電腦物件。您希望授予本機管理員許可的 Active Directory 使用者或群組必須已存在。若要使用群組政策喜好設定,您需要先執行以下作業:
+ 取得已加入您網域的電腦或 EC2 執行個體存取。
+ 安裝群組政策管理主控台 (GPMC) MMC 嵌入式管理單元。如需詳細資訊,請參閱 Microsoft 文件中的 [Installing or Removing Remote Server Administration Tools for Windows 7](https://technet.microsoft.com/en-us/library/ee449483.aspx)。
+ 以具備建立群組政策物件 (GPO) 許可的網域使用者登入。將 GPO 連結到適當的 OU。
**使用群組政策喜好設定授予本機管理員許可**
1. 在您的目錄或網域控制站上,以管理員身分開啟命令提示,輸入 `gpmc.msc`,然後按 ENTER。
1. 在左側主控台樹狀目錄中,選取您將建立新 GPO 或使用現有 GPO 的 OU,然後執行下列其中一項作業:
+ 透過開啟內容 (以滑鼠右鍵按一下) 選單並選擇 **Create a GPO in this domain, Link it here (在此網域建立 GPO 並連結到此處)** 來建立新的 GPO。針對 **Name (名稱)**,提供此 GPO 的描述名稱。
+ 選取現有的 GPO。
1. 開啟 GPO 的內容選單,然後選擇 **Edit (編輯)**。
1. 在主控台樹狀目錄中,選擇 **Computer Configuration (電腦組態)**、**Preferences (喜好設定)**、**Windows Settings (Windows 設定)**、**Control Panel Settings (控制台設定)**,以及 **Local Users and Groups (本機使用者及群組)**。
1. 選取 **Local Users and Groups (本機使用者及群組)**,開啟內容選單,然後選擇 **New (新增)**、**Local Group (本機群組)**。
1. 針對 **Action (動作)**,選擇 **Update (更新)**。
1. 針對 **Group name (群組名稱)**,選擇 **Administrators (built-in) (管理員 (內建))**。
1. 在**成員**下方,選擇**新增...**,然後指定要指派串流執行個體上本機管理員權限的 Active Directory 使用者或群組。針對 **Action (動作)**,選擇 **Add to this group (新增到此群組)**,然後選擇 **OK (確定)**。
1. 若要將此 GPO 套用到其他 OU,請選取其他 OU、開啟內容選單,然後選擇 **Link an Existing GPO (連結現有的 GPO)**。
1. 使用新的或您在步驟 2 中指定的現有 GPO 名稱,捲動並尋找該 GPO,然後選擇 **OK (確定)**。
1. 針對其他應擁有此喜好設定的 OU 重複步驟 9 和 10。
1. 選擇 **OK (確定)** 來關閉 **New Local Group Properties (新增本機群組屬性)** 對話方塊。
1. 再次選擇 **OK (確定)** 來關閉 GPMC。
若要將新的喜好設定套用到 GPO,您必須停止並重新啟動任何執行中的映像建置器或機群。您在步驟 8 指定的 Active Directory 使用者和群組會自動獲得 GPO 所連結 OU 中映像建置器及機群上的本機管理員權限。
# 在映像建置器上使用本機管理員群組
若要在您的映像建置器上授予 Active Directory 使用者或群組本機管理員權限,您可以在映像建置器上手動將這些使用者或群組新增到本機管理員群組。使用具備這些權限映像所建立的映像建置器會維持相同的權限。
要授予本機管理員權限的 Active Directory 使用者或群組必須已存在。
**在映像建置器上將 Active Directory 使用者或群組新增到本機管理員群組**
1. 在 https://[https://console.aws.amazon.com/appstream2](https://console.aws.amazon.com/appstream2) 開啟 WorkSpaces 應用程式主控台。
1. 在管理員模式中連線到映像建置器。映像建置器必須已在執行中且已加入網域。如需詳細資訊,請參閱[教學:設定 Active Directory](active-directory-directory-setup.md)。
1. 選擇 **Start (開始)**、**Administrative Tools (管理工具)**,然後按兩下 **Computer Management (電腦管理)**。
1. 在左側的導覽窗格中,選擇 **Local Users and Groups (本機使用者及群組)**,然後開啟 **Groups (群組)**。
1. 開啟 **Administrators (管理員)** 群組,然後選擇 **Add... (新增...)**。
1. 選取要指派本機管理員權限的所有 Active Directory 使用者或群組,然後選擇 **OK (確定)**。再次選擇 **OK (確定)** 來關閉 **Administrator Properties (管理屬性)** 對話方塊。
1. 關閉電腦管理。
1. 若要以 Active Directory 使用者登入並測試該使用者是否具備映像建置器上的本機管理員權限,請選擇 **Admin Commands (管理員命令)**、**Switch user (切換使用者)**,然後輸入相關使用者的登入資料。
# 更新用於加入網域的服務帳戶
若要更新 WorkSpaces 應用程式用來加入網域的服務帳戶,我們建議您使用兩個不同的服務帳戶,將映像建置器和機群加入您的 Active Directory 網域。使用兩個不同的服務帳戶,可確保當服務帳戶需要更新時 (例如密碼過期),服務也不會中斷。
**更新服務帳戶**
1. 建立 Active Directory 群組,並將正確的許可委派給該群組。
1. 將您的服務帳戶新增到新的 Active Directory 群組。
1. 視需要輸入新服務帳戶的登入憑證,以編輯 WorkSpaces 應用程式目錄 Config 物件。
在您使用新的服務帳戶 Active Directory 群組後,任何新的串流執行個體操作都會使用新的服務帳戶,而處理中的串流執行個體操作則會繼續使用舊的帳戶,不會發生中斷。
完成處理中串流執行個體操作期間的服務帳戶重疊時間相當短暫,不會超過一天。重疊時間是必要的,因為您不應在重疊期間刪除或變更舊服務帳戶的密碼,否則現有的操作會失敗。
# 在使用者閒置時鎖定串流工作階段
WorkSpaces 應用程式倚賴您在 GPMC 中設定的設定,在使用者閒置一段時間後鎖定串流工作階段。若要使用 GPMC,您需要先執行以下作業:
+ 取得已加入您網域的電腦或 EC2 執行個體存取。
+ 安裝 GPMC。如需詳細資訊,請參閱 Microsoft 文件中的 [Installing or Removing Remote Server Administration Tools for Windows 7](https://technet.microsoft.com/en-us/library/ee449483.aspx)。
+ 以具備建立 GPO 許可的網域使用者登入。將 GPO 連結到適當的 OU。
**在使用者閒置時自動鎖定串流執行個體**
1. 在您的目錄或網域控制站上,以管理員身分開啟命令提示,輸入 `gpmc.msc`,然後按 ENTER。
1. 在左側主控台樹狀目錄中,選取您將建立新 GPO 或使用現有 GPO 的 OU,然後執行下列其中一項作業:
+ 透過開啟內容 (以滑鼠右鍵按一下) 選單並選擇 **Create a GPO in this domain, Link it here (在此網域建立 GPO 並連結到此處)** 來建立新的 GPO。針對 **Name (名稱)**,提供此 GPO 的描述名稱。
+ 選取現有的 GPO。
1. 開啟 GPO 的內容選單,然後選擇 **Edit (編輯)**。
1. 在 **User Configuration (使用者組態)** 下方,展開 **Policies (政策)**、**Administrative Templates (管理範本)**、**Control Panel (控制台)**,然後選擇 **Personalization (個人化)**。
1. 按兩下 **Enable screen saver (啟用螢幕保護裝置)**。
1. 在 **Enable screen saver (啟用螢幕保護裝置)** 政策設定中,選擇 **Enabled (啟用)**。
1. 選擇 **Apply (套用)**,然後選擇 **OK (確定)**。
1. 按兩下 **Force specific screen saver (強制使用特定螢幕保護裝置)**。
1. 在 **Force specific screen saver (強制使用特定螢幕保護裝置)** 政策設定中,選擇 **Enabled (啟用)**。
1. 在 **Screen saver executable name (螢幕保護裝置可執行檔名稱)** 下方,輸入 **scrnsave.scr**。啟用此設定時,系統會在使用者的桌面上顯示黑色的螢幕保護裝置。
1. 選擇 **Apply (套用)**,然後選擇 **OK (確定)**。
1. 按兩下 **Password protect the screen saver (密碼保護螢幕保護裝置)**。
1. 在 **Password protect the screen saver (密碼保護螢幕保護裝置)** 政策設定中,選擇 **Enabled (啟用)**。
1. 選擇 **Apply (套用)**,然後選擇 **OK (確定)**。
1. 按兩下 **Screen saver timeout (螢幕保護裝置逾時)**。
1. 在 **Screen saver timeout (螢幕保護裝置逾時)** 政策設定中,選擇 **Enabled (啟用)**。
1. 針對 **Seconds (秒數)**,指定套用螢幕保護裝置前,使用者必須閒置的時間長度。若要將閒置時間設為 10 分鐘,請指定 600 秒。
1. 選擇 **Apply (套用)**,然後選擇 **OK (確定)**。
1. 在主控台樹狀目錄中,於 **User Configuration (使用者組態)** 下方,展開 **Policies (政策)**、**Administrative Templates (管理範本)**、**System (系統)**,然後選擇 **Ctrl\$1Alt\$1Del Options (Ctrl\$1Alt\$1Del 選項)**。
1. 按兩下 **Remove Lock Computer (移除鎖定電腦)**。
1. 在 **Remove Lock Computer (移除鎖定電腦)** 政策設定,選擇 **Disabled (停用)**。
1. 選擇 **Apply (套用)**,然後選擇 **OK (確定)**。
# 編輯目錄組態
建立 WorkSpaces 應用程式目錄組態之後,您可以對其進行編輯,以新增、移除或修改組織單位、更新服務帳戶使用者名稱,或更新服務帳戶密碼。
**更新目錄組態**
1. 在 https://[https://console.aws.amazon.com/appstream2](https://console.aws.amazon.com/appstream2) 開啟 WorkSpaces 應用程式主控台。
1. 在左側導覽窗格中,選擇 **Directory Configs (目錄組態)**,然後選取要編輯的目錄組態。
1. 選擇 **Actions** (動作)、**Edit** (編輯)。
1. 更新要變更的欄位。若要新增其他 OU,請選取最上方 OU 欄位旁邊的加號 (**\$1**)。若要移除 OU 欄位,請選取欄位旁邊的 **x**。
**注意**
至少需要一個 OU。您無法移除目前正在使用中的 OU。
1. 若要儲存變更,請選擇 **Update Directory Config (更新目錄組態)**。
1. **Details (詳細資訊)** 標籤中的資訊現在應該會更新並反映變更。
變更服務帳戶登入憑證並不會影響處理中的串流執行個體操作。新的串流執行個體操作會使用更新後的登入資料。如需詳細資訊,請參閱[更新用於加入網域的服務帳戶](active-directory-service-acct.md)。
# 刪除目錄組態
您可以刪除不再需要的 WorkSpaces 應用程式目錄組態。您無法刪除與任何映像建置器或機群相關聯的目錄組態。
**刪除目錄組態**
1. 在 https://[https://console.aws.amazon.com/appstream2](https://console.aws.amazon.com/appstream2) 開啟 WorkSpaces 應用程式主控台。
1. 在左側導覽窗格中,選擇 **Directory Configs (目錄組態)**,然後選取要刪除的目錄組態。
1. 選擇 **動作**、**刪除**。
1. 驗證快顯訊息中的名稱,然後選擇 **Delete (刪除)**。
1. 選擇 **Update Directory Config (更新目錄組態)**。
# 設定 WorkSpaces 應用程式以使用網域信任
WorkSpaces 應用程式支援 Active Directory 網域環境,其中檔案伺服器、應用程式和電腦物件等網路資源位於一個網域中,而使用者物件位於另一個網域中。用於電腦物件操作的網域服務帳戶不需要與 WorkSpaces 應用程式電腦物件位於相同的網域中。
建立目錄組態時,指定具備適當許可的服務帳戶,來管理檔案伺服器、應用程式、電腦物件和其他網路資源所在 Active Directory 網域中的電腦物件。
您的最終使用者 Active Directory 帳戶必須針對以下項目擁有「允許進行身分驗證」的許可:
+ WorkSpaces 應用程式電腦物件
+ 網域的網域控制站
如需詳細資訊,請參閱[授予許可來建立及管理 Active Directory 電腦物件](active-directory-permissions.md)。
# 在 Active Directory 中管理 WorkSpaces 應用程式電腦物件
WorkSpaces 應用程式不會從 Active Directory 刪除電腦物件。您可以在您的目錄中輕鬆識別這些電腦物件。每個目錄中的電腦物件建立時都帶有 `Description` 屬性,該屬性會指定機群或映像建置器執行個體及名稱。
**電腦物件描述範例**
| Type | 名稱 | 描述屬性 |
| --- | --- | --- |
| 機群 | ExampleFleet | `WorkSpaces Applications - fleet:ExampleFleet` |
| 映像建置器 | ExampleImageBuilder | `WorkSpaces Applications - image-builder:ExampleImageBuilder` |
您可以使用下列 和 `dsrm`命令來識別`dsquery computer`和刪除 WorkSpaces 應用程式建立的非作用中電腦物件。如需詳細資訊,請參閱 Microsoft 文件中的 [Dsquery computer](https://technet.microsoft.com/en-us/library/cc730720.aspx) 和 [Dsrm](https://technet.microsoft.com/en-us/library/cc731865.aspx)。
`dsquery` 命令會識別特定時間期間內非作用中的電腦物件,並使用以下格式。`dsquery` 命令也應搭配 參數執行`-desc "WorkSpaces Applications*"`,以僅顯示 WorkSpaces 應用程式物件。
```
dsquery computer "OU-distinguished-name" -desc "WorkSpaces Applications*" -inactive number-of-weeks-since-last-login
```
+ `OU-distinguished-name` 是組織單位的辨別名稱。如需詳細資訊,請參閱[尋找組織單位辨別名稱](active-directory-oudn.md)。若您沒有提供 *OU-distinguished-name* 參數,命令會搜尋整個目錄。
+ `number-of-weeks-since-last-log-in` 是以您定義「非作用」方式為基礎的所需值。
例如,以下命令會顯示所有位於 `OU=ExampleOU,DC=EXAMPLECO,DC=COM` 組織單位,在過去兩週內沒有登入的電腦物件。
```
dsquery computer OU=ExampleOU,DC=EXAMPLECO,DC=COM -desc "WorkSpaces Applications*" -inactive 2
```
若有找到任何相符項目,結果便會顯示一或多個物件名稱。`dsrm` 命令會刪除指定物件,並使用以下格式:
```
dsrm objectname
```
其中,`objectname` 是來自 `dsquery` 命令輸出的完整物件名稱。例如,若上述的 `dsquery` 命令顯示名為 "ExampleComputer" 的電腦物件,則刪除它的 `dsrm` 命令會如下所示:
```
dsrm "CN=ExampleComputer,OU=ExampleOU,DC=EXAMPLECO,DC=COM"
```
您可以使用直立線符號 (`|`) 運算子來將這些命令鏈結在一起。例如,若要刪除所有 WorkSpaces 應用程式電腦物件,並針對每個物件提示確認,請使用下列格式。將 `-noprompt` 參數新增到 `dsrm` 來停用確認。
```
dsquery computer OU-distinguished-name -desc "WorkSpaces Applications*" –inactive number-of-weeks-since-last-log-in | dsrm
```
# 詳細資訊
如需與本主題相關的詳細資訊,請參閱下列資源:
+ [故障診斷通知代碼](troubleshooting-notification-codes.md):通知代碼錯誤的解決方案。
+ [故障診斷 Active Directory](troubleshooting-active-directory.md):協助解決常見困難。
+ [Microsoft Active Directory](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_microsoft_ad.html):使用 的相關資訊 Directory Service。