本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# WorkSpaces 集區 Active Directory 管理
搭配 WorkSpaces 集區設定和使用 Active Directory 涉及下列管理任務。
**Topics**
+ [授予許可來建立及管理 Active Directory 電腦物件](#active-directory-permissions)
+ [尋找組織單位辨別名稱](#active-directory-oudn)
+ [在自訂映像上授予本機管理員權限](#active-directory-image-builder-local-admin)
+ [在使用者閒置時鎖定串流工作階段](#active-directory-session-lock)
+ [設定 WorkSpaces 集區以使用網域信任](#active-directory-domain-trusts)
## 授予許可來建立及管理 Active Directory 電腦物件
若要允許 WorkSpaces 集區執行 Active Directory 電腦物件操作,您需要具有足夠許可的帳戶。做為最佳實務,建議您使用僅具備所需最低權限的帳戶。最低的 Active Directory 組織單位 (OU) 許可如下所示:
+ 建立電腦物件
+ 變更密碼
+ 重設密碼
+ 撰寫描述
在設定許可前,您需要先執行以下作業:
+ 取得已加入您網域的電腦或 EC2 執行個體存取。
+ 安裝 Active Directory 使用者及電腦 MMC 嵌入式管理單元。如需詳細資訊,請參閱 Microsoft 文件中的 [Installing or Removing Remote Server Administration Tools for Windows 7](https://technet.microsoft.com/en-us/library/ee449483.aspx)。
+ 以具備適當許可,能夠修改 OU 安全設定的網域使用者登入。
+ 建立或識別要委派許可的使用者、服務帳戶或群組。
**設定最低許可**
1. 在您的網域或網域控制站上開啟 **Active Directory Users and Computers (Active Directory 使用者及電腦)**。
1. 在左側導覽窗格中,選取要在其上提供網域加入權限的第一個 OU,開啟內容 (以滑鼠右鍵按一下) 選單,然後選擇 **Delegate Control (委派控制)**。
1. 在 **Delegation of Control Wizard (委派控制精靈)** 頁面上,選擇 **Next (下一步)**、**Add (新增)**。
1. 針對**選取使用者、電腦或群組**,選取預先建立的使用者、服務帳戶或群組,然後選擇**確定**。
1. 在 **Tasks to Delegate (要委派的任務)** 頁面上,選擇 **Create a custom task to delegate (建立要委派的自訂任務)**,然後選擇 **Next (下一步)**。
1. 選擇 **Only the following objects in the folder (僅限資料夾中的下列物件)**、**Computer objects (電腦物件)**。
1. 選擇 **Create selected objects in this folder (在此資料夾中建立選取的物件)**、**Next (下一步)**。
1. 針對 **Permissions (許可)**,選擇 **Read (讀取)**、**Write (寫入)**、**Change Password (變更密碼)**、**Reset Password (重設密碼)**、**Next (下一步)**。
1. 在 **Completing the Delegation of Control Wizard (完成委派控制精靈)** 頁面上,驗證資訊並選擇 **Finish (完成)**。
1. 針對任何其他需要這些許可的 OU 重複步驟 2 到 9。
若您將許可委派給群組,請使用強式密碼建立使用者或服務帳戶,並將該帳戶新增到該群組。然後,此帳戶將有足夠的權限將您的 WorkSpaces 連接到 目錄。建立 WorkSpaces 集區目錄組態時,請使用此帳戶。
## 尋找組織單位辨別名稱
當您向 WorkSpaces 集區註冊 Active Directory 網域時,您必須提供組織單位 (OU) 辨別名稱。請為此建立 OU。預設電腦容器不是 OU,WorkSpaces 集區無法使用。以下程序示範如何取得此名稱。
**注意**
辨別名稱必須以 **OU=** 開頭,否則便無法用於電腦物件。
在您完成此程序前,您需要先執行以下作業:
+ 取得已加入您網域的電腦或 EC2 執行個體存取。
+ 安裝 Active Directory 使用者及電腦 MMC 嵌入式管理單元。如需詳細資訊,請參閱 Microsoft 文件中的 [Installing or Removing Remote Server Administration Tools for Windows 7](https://technet.microsoft.com/en-us/library/ee449483.aspx)。
+ 以具備適當許可,能夠讀取 OU 安全屬性的網域使用者登入。
**尋找 OU 的辨別名稱**
1. 在您的網域或網域控制站上開啟 **Active Directory Users and Computers (Active Directory 使用者及電腦)**。
1. 在 **View (檢視)** 下方,確認已啟用 **Advanced Features (進階功能)**。
1. 在左側導覽窗格中,選取要用於 WorkSpaces 電腦物件的第一個 OU,開啟內容 (按一下滑鼠右鍵) 選單,然後選擇**屬性**。
1. 選擇 **Attribute Editor (屬性編輯器)**。
1. 在 **Attributes (屬性)** 下方,針對 **distinguishedName**,選擇 **View (檢視)**。
1. 針對 **Value (值)**,選取辨別名稱、開啟內容選單,然後選擇 **Copy (複製)**。
## 在自訂映像上授予本機管理員權限
根據預設,Active Directory 網域使用者在映像上沒有本機管理員權限。您可以在 目錄中使用群組政策偏好設定,或使用映像上的本機管理員帳戶手動授予這些權利。將本機管理員權限授予網域使用者,可讓該使用者在 WorkSpaces 集區中安裝應用程式並建立自訂映像。
**Topics**
+ [使用群組政策喜好設定](#group-policy)
+ [使用 WorkSpace 上的本機管理員群組來建立映像](#manual-procedure)
### 使用群組政策喜好設定
您可以使用群組政策喜好設定,將本機管理員權限授予 Active Directory 使用者或群組,以及指定 OU 中所有的電腦物件。您希望授予本機管理員許可的 Active Directory 使用者或群組必須已存在。若要使用群組政策喜好設定,您需要先執行以下作業:
+ 取得已加入您網域的電腦或 EC2 執行個體存取。
+ 安裝群組政策管理主控台 (GPMC) MMC 嵌入式管理單元。如需詳細資訊,請參閱 Microsoft 文件中的 [Installing or Removing Remote Server Administration Tools for Windows 7](https://technet.microsoft.com/en-us/library/ee449483.aspx)。
+ 以具備建立群組政策物件 (GPO) 許可的網域使用者登入。將 GPO 連結到適當的 OU。
**使用群組政策喜好設定授予本機管理員許可**
1. 在您的目錄或網域控制站上,以管理員身分開啟命令提示,輸入 `gpmc.msc`,然後按 ENTER。
1. 在左側主控台樹狀目錄中,選取您將建立新 GPO 或使用現有 GPO 的 OU,然後執行下列其中一項作業:
+ 透過開啟內容 (以滑鼠右鍵按一下) 選單並選擇 **Create a GPO in this domain, Link it here (在此網域建立 GPO 並連結到此處)** 來建立新的 GPO。針對 **Name (名稱)**,提供此 GPO 的描述名稱。
+ 選取現有的 GPO。
1. 開啟 GPO 的內容選單,然後選擇 **Edit (編輯)**。
1. 在主控台樹狀目錄中,選擇 **Computer Configuration (電腦組態)**、**Preferences (喜好設定)**、**Windows Settings (Windows 設定)**、**Control Panel Settings (控制台設定)**,以及 **Local Users and Groups (本機使用者及群組)**。
1. 選取 **Local Users and Groups (本機使用者及群組)**,開啟內容選單,然後選擇 **New (新增)**、**Local Group (本機群組)**。
1. 針對 **Action (動作)**,選擇 **Update (更新)**。
1. 針對 **Group name (群組名稱)**,選擇 **Administrators (built-in) (管理員 (內建))**。
1. 在**成員**下方,選擇**新增...**,然後指定要指派串流執行個體上本機管理員權限的 Active Directory 使用者或群組。針對 **Action (動作)**,選擇 **Add to this group (新增到此群組)**,然後選擇 **OK (確定)**。
1. 若要將此 GPO 套用到其他 OU,請選取其他 OU、開啟內容選單,然後選擇 **Link an Existing GPO (連結現有的 GPO)**。
1. 使用新的或您在步驟 2 中指定的現有 GPO 名稱,捲動並尋找該 GPO,然後選擇 **OK (確定)**。
1. 針對其他應擁有此喜好設定的 OU 重複步驟 9 和 10。
1. 選擇 **OK (確定)** 來關閉 **New Local Group Properties (新增本機群組屬性)** 對話方塊。
1. 再次選擇 **OK (確定)** 來關閉 GPMC。
若要將新的喜好設定套用到 GPO,您必須停止並重新啟動任何執行中的映像建置器或機群。您在步驟 8 指定的 Active Directory 使用者和群組會自動獲得 GPO 所連結 OU 中映像建置器及機群上的本機管理員權限。
### 使用 WorkSpace 上的本機管理員群組來建立映像
若要授予 Active Directory 使用者或群組映像上的本機管理員權限,您可以手動將這些使用者或群組新增至映像上的本機管理員群組。
要授予本機管理員權限的 Active Directory 使用者或群組必須已存在。
1. 連線至您用來建置映像的 WorkSpace。WorkSpace 必須正在執行並加入網域。
1. 選擇 **Start (開始)**、**Administrative Tools (管理工具)**,然後按兩下 **Computer Management (電腦管理)**。
1. 在左側的導覽窗格中,選擇 **Local Users and Groups (本機使用者及群組)**,然後開啟 **Groups (群組)**。
1. 開啟 **Administrators (管理員)** 群組,然後選擇 **Add... (新增...)**。
1. 選取要指派本機管理員權限的所有 Active Directory 使用者或群組,然後選擇 **OK (確定)**。再次選擇 **OK (確定)** 來關閉 **Administrator Properties (管理屬性)** 對話方塊。
1. 關閉電腦管理。
1. 若要以 Active Directory 使用者身分登入,並測試該使用者是否具有 WorkSpaces 的本機管理員權限,請選擇 **Admin Commands**、**切換使用者**,然後輸入相關使用者的登入資料。
## 在使用者閒置時鎖定串流工作階段
WorkSpaces 集區依賴您在 GPMC 中設定的設定,在使用者閒置一段時間後鎖定串流工作階段。若要使用 GPMC,您需要先執行以下作業:
+ 取得已加入您網域的電腦或 EC2 執行個體存取。
+ 安裝 GPMC。如需詳細資訊,請參閱 Microsoft 文件中的 [Installing or Removing Remote Server Administration Tools for Windows 7](https://technet.microsoft.com/en-us/library/ee449483.aspx)。
+ 以具備建立 GPO 許可的網域使用者登入。將 GPO 連結到適當的 OU。
**在使用者閒置時自動鎖定串流執行個體**
1. 在您的目錄或網域控制站上,以管理員身分開啟命令提示,輸入 `gpmc.msc`,然後按 ENTER。
1. 在左側主控台樹狀目錄中,選取您將建立新 GPO 或使用現有 GPO 的 OU,然後執行下列其中一項作業:
+ 透過開啟內容 (以滑鼠右鍵按一下) 選單並選擇 **Create a GPO in this domain, Link it here (在此網域建立 GPO 並連結到此處)** 來建立新的 GPO。針對 **Name (名稱)**,提供此 GPO 的描述名稱。
+ 選取現有的 GPO。
1. 開啟 GPO 的內容選單,然後選擇 **Edit (編輯)**。
1. 在 **User Configuration (使用者組態)** 下方,展開 **Policies (政策)**、**Administrative Templates (管理範本)**、**Control Panel (控制台)**,然後選擇 **Personalization (個人化)**。
1. 按兩下 **Enable screen saver (啟用螢幕保護裝置)**。
1. 在 **Enable screen saver (啟用螢幕保護裝置)** 政策設定中,選擇 **Enabled (啟用)**。
1. 選擇 **Apply (套用)**,然後選擇 **OK (確定)**。
1. 按兩下 **Force specific screen saver (強制使用特定螢幕保護裝置)**。
1. 在 **Force specific screen saver (強制使用特定螢幕保護裝置)** 政策設定中,選擇 **Enabled (啟用)**。
1. 在 **Screen saver executable name (螢幕保護裝置可執行檔名稱)** 下方,輸入 **scrnsave.scr**。啟用此設定時,系統會在使用者的桌面上顯示黑色的螢幕保護裝置。
1. 選擇 **Apply (套用)**,然後選擇 **OK (確定)**。
1. 按兩下 **Password protect the screen saver (密碼保護螢幕保護裝置)**。
1. 在 **Password protect the screen saver (密碼保護螢幕保護裝置)** 政策設定中,選擇 **Enabled (啟用)**。
1. 選擇 **Apply (套用)**,然後選擇 **OK (確定)**。
1. 按兩下 **Screen saver timeout (螢幕保護裝置逾時)**。
1. 在 **Screen saver timeout (螢幕保護裝置逾時)** 政策設定中,選擇 **Enabled (啟用)**。
1. 針對 **Seconds (秒數)**,指定套用螢幕保護裝置前,使用者必須閒置的時間長度。若要將閒置時間設為 10 分鐘,請指定 600 秒。
1. 選擇 **Apply (套用)**,然後選擇 **OK (確定)**。
1. 在主控台樹狀目錄中,於 **User Configuration (使用者組態)** 下方,展開 **Policies (政策)**、**Administrative Templates (管理範本)**、**System (系統)**,然後選擇 **Ctrl\$1Alt\$1Del Options (Ctrl\$1Alt\$1Del 選項)**。
1. 按兩下 **Remove Lock Computer (移除鎖定電腦)**。
1. 在 **Remove Lock Computer (移除鎖定電腦)** 政策設定,選擇 **Disabled (停用)**。
1. 選擇 **Apply (套用)**,然後選擇 **OK (確定)**。
## 設定 WorkSpaces 集區以使用網域信任
WorkSpaces 集區支援 Active Directory 網域環境,其中檔案伺服器、應用程式和電腦物件等網路資源位於一個網域中,而使用者物件位於另一個網域中。用於電腦物件操作的網域服務帳戶不需要與 WorkSpaces 集區電腦物件位於相同的網域中。
建立目錄組態時,指定具備適當許可的服務帳戶,來管理檔案伺服器、應用程式、電腦物件和其他網路資源所在 Active Directory 網域中的電腦物件。
您的最終使用者 Active Directory 帳戶必須針對以下項目擁有「允許進行身分驗證」的許可:
+ WorkSpaces 集區電腦物件
+ 網域的網域控制站
如需詳細資訊,請參閱[授予許可來建立及管理 Active Directory 電腦物件](#active-directory-permissions)。