WorkSpaces 集區 Active Directory 管理 - Amazon WorkSpaces
授予許可來建立及管理 Active Directory 電腦物件尋找組織單位辨別名稱在自訂映像上授予本機管理員權限在使用者閒置時鎖定串流工作階段設定 WorkSpaces 集區以使用網域信任

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

WorkSpaces 集區 Active Directory 管理

搭配 WorkSpaces 集區設定和使用 Active Directory 涉及下列管理任務。

授予許可來建立及管理 Active Directory 電腦物件

若要允許 WorkSpaces 集區執行 Active Directory 電腦物件操作,您需要具有足夠許可的帳戶。做為最佳實務,建議您使用僅具備所需最低權限的帳戶。最低的 Active Directory 組織單位 (OU) 許可如下所示:

  • 建立電腦物件

  • 變更密碼

  • 重設密碼

  • 撰寫描述

在設定許可前,您需要先執行以下作業:

  • 取得已加入您網域的電腦或 EC2 執行個體存取。

  • 安裝 Active Directory 使用者及電腦 MMC 嵌入式管理單元。如需詳細資訊,請參閱 Microsoft 文件中的 Installing or Removing Remote Server Administration Tools for Windows 7

  • 以具備適當許可,能夠修改 OU 安全設定的網域使用者登入。

  • 建立或識別要委派許可的使用者、服務帳戶或群組。

設定最低許可

  1. 在您的網域或網域控制站上開啟 Active Directory Users and Computers (Active Directory 使用者及電腦)

  2. 在左側導覽窗格中,選取要在其上提供網域加入權限的第一個 OU,開啟內容 (以滑鼠右鍵按一下) 選單,然後選擇 Delegate Control (委派控制)

  3. Delegation of Control Wizard (委派控制精靈) 頁面上,選擇 Next (下一步)Add (新增)

  4. 針對選取使用者、電腦或群組,選取預先建立的使用者、服務帳戶或群組,然後選擇確定

  5. Tasks to Delegate (要委派的任務) 頁面上,選擇 Create a custom task to delegate (建立要委派的自訂任務),然後選擇 Next (下一步)

  6. 選擇 Only the following objects in the folder (僅限資料夾中的下列物件)Computer objects (電腦物件)

  7. 選擇 Create selected objects in this folder (在此資料夾中建立選取的物件)Next (下一步)

  8. 針對 Permissions (許可),選擇 Read (讀取)Write (寫入)Change Password (變更密碼)Reset Password (重設密碼)Next (下一步)

  9. Completing the Delegation of Control Wizard (完成委派控制精靈) 頁面上,驗證資訊並選擇 Finish (完成)

  10. 針對任何其他需要這些許可的 OU 重複步驟 2 到 9。

若您將許可委派給群組,請使用強式密碼建立使用者或服務帳戶,並將該帳戶新增到該群組。然後,此帳戶將有足夠的權限將您的 WorkSpaces 連接到 目錄。建立 WorkSpaces 集區目錄組態時,請使用此帳戶。

尋找組織單位辨別名稱

當您向 WorkSpaces 集區註冊 Active Directory 網域時,您必須提供組織單位 (OU) 辨別名稱。請為此建立 OU。預設的電腦容器不是 OU,WorkSpaces 集區無法使用。以下程序示範如何取得此名稱。

注意

辨別名稱必須以 OU= 開頭,否則便無法用於電腦物件。

在您完成此程序前,您需要先執行以下作業:

尋找 OU 的辨別名稱

  1. 在您的網域或網域控制站上開啟 Active Directory Users and Computers (Active Directory 使用者及電腦)

  2. View (檢視) 下方,確認已啟用 Advanced Features (進階功能)

  3. 在左側導覽窗格中,選取要用於 WorkSpaces 電腦物件的第一個 OU,開啟內容 (按一下滑鼠右鍵) 選單,然後選擇屬性

  4. 選擇 Attribute Editor (屬性編輯器)

  5. Attributes (屬性) 下方,針對 distinguishedName,選擇 View (檢視)

  6. 針對 Value (值),選取辨別名稱、開啟內容選單,然後選擇 Copy (複製)

在自訂映像上授予本機管理員權限

根據預設,Active Directory 網域使用者在映像上沒有本機管理員權限。您可以在 目錄中使用群組政策偏好設定,或使用映像上的本機管理員帳戶手動授予這些權利。將本機管理員權限授予網域使用者,可讓該使用者在 WorkSpaces 集區中安裝應用程式和建立自訂映像。

使用群組政策喜好設定

您可以使用群組政策喜好設定,將本機管理員權限授予 Active Directory 使用者或群組,以及指定 OU 中所有的電腦物件。您希望授予本機管理員許可的 Active Directory 使用者或群組必須已存在。若要使用群組政策喜好設定,您需要先執行以下作業:

  • 取得已加入您網域的電腦或 EC2 執行個體存取。

  • 安裝群組政策管理主控台 (GPMC) MMC 嵌入式管理單元。如需詳細資訊,請參閱 Microsoft 文件中的 Installing or Removing Remote Server Administration Tools for Windows 7

  • 以具備建立群組政策物件 (GPO) 許可的網域使用者登入。將 GPO 連結到適當的 OU。

使用群組政策喜好設定授予本機管理員許可

  1. 在您的目錄或網域控制站上,以管理員身分開啟命令提示,輸入 gpmc.msc,然後按 ENTER。

  2. 在左側主控台樹狀目錄中,選取您將建立新 GPO 或使用現有 GPO 的 OU,然後執行下列其中一項作業:

    • 透過開啟內容 (以滑鼠右鍵按一下) 選單並選擇 Create a GPO in this domain, Link it here (在此網域建立 GPO 並連結到此處) 來建立新的 GPO。針對 Name (名稱),提供此 GPO 的描述名稱。

    • 選取現有的 GPO。

  3. 開啟 GPO 的內容選單,然後選擇 Edit (編輯)

  4. 在主控台樹狀目錄中,選擇 Computer Configuration (電腦組態)Preferences (喜好設定)Windows Settings (Windows 設定)Control Panel Settings (控制台設定),以及 Local Users and Groups (本機使用者及群組)

  5. 選取 Local Users and Groups (本機使用者及群組),開啟內容選單,然後選擇 New (新增)Local Group (本機群組)

  6. 針對 Action (動作),選擇 Update (更新)

  7. 針對 Group name (群組名稱),選擇 Administrators (built-in) (管理員 (內建))

  8. 成員下方,選擇新增...,然後指定要指派串流執行個體上本機管理員權限的 Active Directory 使用者或群組。針對 Action (動作),選擇 Add to this group (新增到此群組),然後選擇 OK (確定)

  9. 若要將此 GPO 套用到其他 OU,請選取其他 OU、開啟內容選單,然後選擇 Link an Existing GPO (連結現有的 GPO)

  10. 使用新的或您在步驟 2 中指定的現有 GPO 名稱,捲動並尋找該 GPO,然後選擇 OK (確定)

  11. 針對其他應擁有此喜好設定的 OU 重複步驟 9 和 10。

  12. 選擇 OK (確定) 來關閉 New Local Group Properties (新增本機群組屬性) 對話方塊。

  13. 再次選擇 OK (確定) 來關閉 GPMC。

若要將新的喜好設定套用到 GPO,您必須停止並重新啟動任何執行中的映像建置器或機群。您在步驟 8 指定的 Active Directory 使用者和群組會自動獲得 GPO 所連結 OU 中映像建置器及機群上的本機管理員權限。

使用 WorkSpace 上的本機管理員群組來建立映像

若要授予 Active Directory 使用者或群組映像上的本機管理員權限,您可以手動將這些使用者或群組新增至映像上的本機管理員群組。

要授予本機管理員權限的 Active Directory 使用者或群組必須已存在。

  1. 連線至您用來建置映像的 WorkSpace。WorkSpace 必須執行並加入網域。

  2. 選擇 Start (開始)Administrative Tools (管理工具),然後按兩下 Computer Management (電腦管理)

  3. 在左側的導覽窗格中,選擇 Local Users and Groups (本機使用者及群組),然後開啟 Groups (群組)

  4. 開啟 Administrators (管理員) 群組,然後選擇 Add... (新增...)

  5. 選取要指派本機管理員權限的所有 Active Directory 使用者或群組,然後選擇 OK (確定)。再次選擇 OK (確定) 來關閉 Administrator Properties (管理屬性) 對話方塊。

  6. 關閉電腦管理。

  7. 若要以 Active Directory 使用者身分登入,並測試該使用者是否具有 WorkSpaces 的本機管理員權限,請選擇 Admin Commands切換使用者,然後輸入相關使用者的登入資料。

在使用者閒置時鎖定串流工作階段

WorkSpaces 集區依賴您在 GPMC 中設定的設定,在使用者閒置一段時間後鎖定串流工作階段。若要使用 GPMC,您需要先執行以下作業:

在使用者閒置時自動鎖定串流執行個體

  1. 在您的目錄或網域控制站上,以管理員身分開啟命令提示,輸入 gpmc.msc,然後按 ENTER。

  2. 在左側主控台樹狀目錄中,選取您將建立新 GPO 或使用現有 GPO 的 OU,然後執行下列其中一項作業:

    • 透過開啟內容 (以滑鼠右鍵按一下) 選單並選擇 Create a GPO in this domain, Link it here (在此網域建立 GPO 並連結到此處) 來建立新的 GPO。針對 Name (名稱),提供此 GPO 的描述名稱。

    • 選取現有的 GPO。

  3. 開啟 GPO 的內容選單,然後選擇 Edit (編輯)

  4. User Configuration (使用者組態) 下方,展開 Policies (政策)Administrative Templates (管理範本)Control Panel (控制台),然後選擇 Personalization (個人化)

  5. 按兩下 Enable screen saver (啟用螢幕保護裝置)

  6. Enable screen saver (啟用螢幕保護裝置) 政策設定中,選擇 Enabled (啟用)

  7. 選擇 Apply (套用),然後選擇 OK (確定)

  8. 按兩下 Force specific screen saver (強制使用特定螢幕保護裝置)

  9. Force specific screen saver (強制使用特定螢幕保護裝置) 政策設定中,選擇 Enabled (啟用)

  10. Screen saver executable name (螢幕保護裝置可執行檔名稱) 下方,輸入 scrnsave.scr。啟用此設定時,系統會在使用者的桌面上顯示黑色的螢幕保護裝置。

  11. 選擇 Apply (套用),然後選擇 OK (確定)

  12. 按兩下 Password protect the screen saver (密碼保護螢幕保護裝置)

  13. Password protect the screen saver (密碼保護螢幕保護裝置) 政策設定中,選擇 Enabled (啟用)

  14. 選擇 Apply (套用),然後選擇 OK (確定)

  15. 按兩下 Screen saver timeout (螢幕保護裝置逾時)

  16. Screen saver timeout (螢幕保護裝置逾時) 政策設定中,選擇 Enabled (啟用)

  17. 針對 Seconds (秒數),指定套用螢幕保護裝置前,使用者必須閒置的時間長度。若要將閒置時間設為 10 分鐘,請指定 600 秒。

  18. 選擇 Apply (套用),然後選擇 OK (確定)

  19. 在主控台樹狀目錄中,於 User Configuration (使用者組態) 下方,展開 Policies (政策)Administrative Templates (管理範本)System (系統),然後選擇 Ctrl+Alt+Del Options (Ctrl+Alt+Del 選項)

  20. 按兩下 Remove Lock Computer (移除鎖定電腦)

  21. Remove Lock Computer (移除鎖定電腦) 政策設定,選擇 Disabled (停用)

  22. 選擇 Apply (套用),然後選擇 OK (確定)

設定 WorkSpaces 集區以使用網域信任

WorkSpaces 集區支援 Active Directory 網域環境,其中檔案伺服器、應用程式和電腦物件等網路資源位於一個網域中,而使用者物件位於另一個網域中。用於電腦物件操作的網域服務帳戶不需要與 WorkSpaces 集區電腦物件位於相同的網域中。

建立目錄組態時,指定具備適當許可的服務帳戶,來管理檔案伺服器、應用程式、電腦物件和其他網路資源所在 Active Directory 網域中的電腦物件。

您的最終使用者 Active Directory 帳戶必須針對以下項目擁有「允許進行身分驗證」的許可:

  • WorkSpaces 集區電腦物件

  • 網域的網域控制站

如需詳細資訊,請參閱授予許可來建立及管理 Active Directory 電腦物件