Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Verwenden von Active Directory mit WorkSpaces Pools
<a name="active-directory"></a>

Sie können Ihre Windows WorkSpaces in WorkSpaces Pools mit Domänen in Microsoft Active Directory verbinden und Ihre vorhandenen Active Directory-Domänen, entweder cloudbasiert oder lokal, verwenden, um domänengebundene Streaming-Instances zu starten. Sie können auch AWS Directory Service for Microsoft Active Directory, auch bekannt als AWS Managed Microsoft AD, eine Active Directory-Domäne erstellen und diese zur Unterstützung Ihrer WorkSpaces Pools-Ressourcen verwenden. Weitere Informationen zur Verwendung AWS Managed Microsoft AD finden Sie unter [Microsoft Active Directory](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_microsoft_ad.html) im *AWS Directory Service Administratorhandbuch*.

Indem Sie WorkSpaces Pools zu Ihrer Active Directory-Domäne hinzufügen, können Sie:
+ Sie können Ihren Benutzern und Anwendungen den Zugriff auf Ihre Active Directory-Ressourcen, wie beispielsweise Drucker und Dateifreigaben, von Streaming-Sitzungen aus erlauben.
+ Sie können Gruppenrichtlinieneinstellungen verwenden, die in der Group Policy Management Console (GPMC) verfügbar sind, um die Endbenutzererfahrung zu definieren.
+ Streamen Sie Anwendungen, für die Benutzer mit ihren Active Directory-Anmeldeinformationen authentifiziert werden müssen.
+ Wenden Sie Ihre unternehmensinternen Compliance- und Sicherheitsrichtlinien auf Ihre WorkSpaces internen WorkSpaces Pools an.

**Topics**
+ [Active Directory-Domänen – Übersicht](active-directory-overview.md)
+ [Bevor Sie beginnen, Active Directory mit WorkSpaces Pools zu verwenden](active-directory-prerequisites.md)
+ [Zertifikatbasierte Authentifizierung](pools-certificate-based-authentication.md)
+ [WorkSpaces Pools Active Directory-Verwaltung](active-directory-admin.md)
+ [Weitere Infos](active-directory-more-info.md)

# Active Directory-Domänen – Übersicht
<a name="active-directory-overview"></a>

Die Verwendung von Active Directory-Domänen mit WorkSpaces Pools setzt voraus, dass Sie wissen, wie sie zusammenarbeiten und welche Konfigurationsaufgaben Sie ausführen müssen. Sie müssen die folgenden Aufgaben ausführen:

1. Konfigurieren Sie Gruppenrichtlinieneinstellungen nach Bedarf, um die Endbenutzererfahrung und Sicherheitsanforderungen für Anwendungen zu definieren.

1. Erstellen Sie das in die Domäne eingebundene Verzeichnis in WorkSpaces Pools.

1. Erstellen Sie die WorkSpaces Pools-Anwendung im SAML 2.0-Identitätsanbieter und weisen Sie sie Endbenutzern entweder direkt oder über Active Directory-Gruppen zu.

**Benutzer-Authentifizierungsfluss**

1. Der Benutzer ruft `https://applications.exampleco.com` auf. Die Anmeldeseite fordert die Authentifizierung für den Benutzer an.

1. Der Verbundservice fordert die Authentifizierung vom Identitätsspeicher der Organisation an.

1. Der Identitätsspeicher authentifiziert den Benutzer und gibt die Authentifizierungsantwort an den Verbundservice zurück.

1. Bei einer erfolgreichen Authentifizierung sendet der Verbundservice die SAML-Zusicherung an den Browser des Benutzers.

1. Der Browser des Benutzers sendet die SAML-Assertion an den SAML-Endpunkt für die AWS Anmeldung (). `https://signin.aws.amazon.com/saml` AWS Sign-In empfängt die SAML-Anfrage, verarbeitet die Anfrage, authentifiziert den Benutzer und leitet das Authentifizierungstoken an den Pools-Service weiter. WorkSpaces 

1. Mithilfe des Authentifizierungstokens von AWS autorisiert WorkSpaces Pools den Benutzer und präsentiert Anwendungen dem Browser.

1. Der Benutzer wählt eine Anwendung aus und wird, abhängig von der Windows-Anmeldeauthentifizierungsmethode, die im WorkSpaces Pools-Verzeichnis aktiviert ist, aufgefordert, sein Active Directory-Domänenkennwort einzugeben oder eine Smartcard auszuwählen. Wenn beide Authentifizierungsmethoden aktiviert sind, kann der Benutzer wählen, ob er sein Domainkennwort eingeben oder seine Smartcard verwenden möchte. Es kann auch die zertifikatbasierte Authentifizierung für die Benutzerauthentifizierung verwendet werden.

1. Der Domänencontroller für die Benutzerauthentifizierung wird kontaktiert.

1. Nach der Authentifizierung bei der Domäne beginnt die Sitzung des Benutzers mit Domänen-Konnektivität.

Für den Benutzer ist dieser Vorgang transparent. Der Benutzer navigiert zunächst zum internen Portal Ihrer Organisation und wird zu einem WorkSpaces Pools-Portal weitergeleitet, ohne dass er AWS Anmeldeinformationen eingeben muss. Es sind nur ein Active-Directory-Domainkennwort oder Smartcard-Anmeldeinformationen erforderlich.

Bevor ein Benutzer diesen Vorgang einleiten kann, müssen Sie Active Directory mit den erforderlichen Berechtigungen und Gruppenrichtlinieneinstellungen konfigurieren und ein Pools-Verzeichnis erstellen, das der Domäne angehört WorkSpaces .

# Bevor Sie beginnen, Active Directory mit WorkSpaces Pools zu verwenden
<a name="active-directory-prerequisites"></a>

Bevor Sie Microsoft Active Directory-Domänen mit WorkSpaces Pools verwenden, sollten Sie die folgenden Anforderungen und Überlegungen beachten.

**Topics**
+ [Active-Directory-Domainumgebung](#active-directory-prerequisites-domain-environment)
+ [Zu Pools gehörende Domänen WorkSpaces WorkSpaces](#active-directory-prerequisites-streaming-instances)
+ [Einstellungen für Gruppenrichtlinien](#active-directory-prerequisites-group-policy-settings)
+ [Smartcard-Authentifizierung](#active-directory-prerequisites-smart-card-authentication)

## Active-Directory-Domainumgebung
<a name="active-directory-prerequisites-domain-environment"></a>
+ Sie müssen über eine Microsoft Active Directory-Domäne verfügen, der Sie beitreten möchten WorkSpaces. Wenn Sie keine Active Directory-Domäne haben oder Ihre lokale Active Directory-Umgebung verwenden möchten, finden Sie weitere Informationen unter [Active Directory-Domänendienste in der AWS Cloud: Quick Start Reference Deployment.](https://docs.aws.amazon.com/quickstart/latest/active-directory-ds/)
+ Sie benötigen ein Domänendienstkonto mit Berechtigungen zum Erstellen und Verwalten von Computerobjekten in der Domäne, die Sie mit WorkSpaces Pools verwenden möchten. Weitere Informationen finden Sie im Thema zum [Erstellen eines Domänenkontos in Active Directory](https://msdn.microsoft.com/en-us/library/aa545262(v=cs.70).aspx) in der Microsoft-Dokumentation.

  Wenn Sie diese Active Directory-Domäne WorkSpaces Pools zuordnen, geben Sie den Namen und das Kennwort für das Dienstkonto an. WorkSpaces Pools verwendet dieses Konto, um Computerobjekte im Verzeichnis zu erstellen und zu verwalten. Weitere Informationen finden Sie unter [Gewähren von Berechtigungen zum Erstellen und Verwalten von Active Directory-Computerobjekten](active-directory-admin.md#active-directory-permissions).
+ Wenn Sie Ihre Active Directory-Domäne bei WorkSpaces Pools registrieren, müssen Sie einen eindeutigen Namen für die Organisationseinheit (OU) angeben. Erstellen Sie eine OU für diesen Zweck. Der Standardcontainer für Computer ist keine Organisationseinheit und kann nicht von WorkSpaces Pools verwendet werden. Weitere Informationen finden Sie unter [Den spezifischen Namen der Organisationseinheit finden](active-directory-admin.md#active-directory-oudn).
+ Die Verzeichnisse, die Sie mit WorkSpaces Pools verwenden möchten, müssen über ihre vollqualifizierten Domainnamen (FQDNs) über die Virtual Private Cloud (VPC), in der Sie gestartet WorkSpaces werden, zugänglich sein. Weitere Informationen finden Sie unter [Service-Port-Anforderungen von Active Directory und Active Directory Domain](https://technet.microsoft.com/en-us/library/dd772723.aspx) in der Microsoft-Dokumentation.

## Zu Pools gehörende Domänen WorkSpaces WorkSpaces
<a name="active-directory-prerequisites-streaming-instances"></a>

Ein auf SAML 2.0 basierender Benutzerverbund ist für das Streaming von Anwendungen aus einer Domäne erforderlich. WorkSpaces Außerdem müssen Sie ein Windows-Image verwenden, das den Beitritt zu einer Active Directory-Domäne unterstützt. Alle öffentlichen Abbilder, die am oder nach dem 24. Juli 2017 veröffentlicht wurden, unterstützen die Verbindung mit einer Active Directory-Domain.

## Einstellungen für Gruppenrichtlinien
<a name="active-directory-prerequisites-group-policy-settings"></a>

Überprüfen Sie Ihre Konfiguration für die folgenden Gruppenrichtlinieneinstellungen. Falls erforderlich, aktualisieren Sie die Einstellungen wie in diesem Abschnitt beschrieben, sodass sie WorkSpaces Pools nicht daran hindern, Ihre Domänenbenutzer zu authentifizieren und anzumelden. Andernfalls kann es sein, dass die Anmeldung fehlschlägt, WorkSpaces wenn Ihre Benutzer versuchen, sich anzumelden. Stattdessen wird die Meldung „Ein unbekannter Fehler ist aufgetreten.“ angezeigt.
+ **Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > Windows-Anmeldeoptionen > Software-Sicherheitssequenz** – Diese Richtlinie sollte auf **Aktiviert** für **Services** gesetzt sein.
+ **Computerkonfiguration > Administrative Vorlagen > System > Anmelden > Anmeldeinformationsanbieter ausschließen** – Stellen Sie sicher, dass die folgenden CLSID *nicht* aufgeführt sind: `e7c1bab5-4b49-4e64-a966-8d99686f8c7c`
+ **Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen > Interaktive Anmeldung > Interaktive Anmeldung: Nachrichtentext für Benutzer, die versuchen sich anzumelden** – Setzen Sie diese Einstellung auf **Nicht definiert**.
+ **Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen > Interaktive Anmeldung > Interaktive Anmeldung: Nachrichtentitel für Benutzer, die versuchen sich anzumelden** – Setzen Sie diese Einstellung auf **Nicht definiert**.

## Smartcard-Authentifizierung
<a name="active-directory-prerequisites-smart-card-authentication"></a>

WorkSpaces Pools unterstützt die Verwendung von Active Directory-Domänenkennwörtern oder Smartcards wie [Common Access Card (CAC)](https://www.cac.mil/Common-Access-Card) und [Personal Identity Verification (PIV)](https://piv.idmanagement.gov/) Smartcards für die Windows-Anmeldung in Pools. WorkSpaces WorkSpaces Informationen dazu, wie Sie Ihre Active Directory-Umgebung so konfigurieren, dass die Smartcard-Anmeldung mithilfe von Zertifizierungsstellen von Drittanbietern (CAs) aktiviert wird, finden Sie in der Microsoft-Dokumentation unter [Richtlinien für die Aktivierung der Smartcard-Anmeldung bei Zertifizierungsstellen von Drittanbietern](https://docs.microsoft.com/en-us/troubleshoot/windows-server/windows-security/enabling-smart-card-logon-third-party-certification-authorities).

# Zertifikatbasierte Authentifizierung
<a name="pools-certificate-based-authentication"></a>

Sie können die zertifikatsbasierte Authentifizierung mit WorkSpaces Pools verwenden, die mit Microsoft Active Directory verknüpft sind. Dadurch wird die Benutzeraufforderung zur Eingabe des Active-Directory-Domainkennworts entfernt, wenn sich ein Benutzer anmeldet. Durch die Verwendung der zertifikatsbasierten Authentifizierung mit Ihrer Active Directory-Domain können Sie Folgendes erreichen:
+ Sie können den SAML-2.0-Identitätsanbieter zur Authentifizierung der Benutzer und Bereitstellung der SAML-Zusicherungen für die Benutzer in Active Directory verwenden.
+ Ermöglichen Sie eine Single-Sign-On-Anmeldung mit weniger Benutzeraufforderungen.
+ Aktivieren Sie passwortlose Authentifizierungsabläufe mit Ihrem SAML-2.0-Identitätsanbieter.

Die zertifikatsbasierte Authentifizierung verwendet AWS Private Certificate Authority (AWS Private CA) Ressourcen in Ihrem. AWS-Konto Mit AWS Private CA können Sie private Zertifizierungsstellenhierarchien (CA) erstellen, einschließlich Stamm- und untergeordneter Hierarchien. CAs Sie können auch Ihre eigene CA-Hierarchie erstellen und damit Zertifikate zur Authentifizierung interner Benutzer ausstellen. Weitere Informationen finden Sie unter [Was ist](https://docs.aws.amazon.com/privateca/latest/userguide/PcaWelcome.html). AWS Private CA

Wenn Sie AWS Private CA für die zertifikatsbasierte Authentifizierung verwenden, fordert WorkSpaces Pools bei der Sitzungsreservierung für jeden Benutzer WorkSpace in einem WorkSpaces Pool automatisch Zertifikate für Ihre Benutzer an. Die Benutzer werden mit einer virtuellen Smartcard, die mit den Zertifikaten bereitgestellt wird, bei Active Directory authentifiziert.

Die zertifikatsbasierte Authentifizierung wird in domänengebundenen Pools unterstützt, auf denen Windows-Instanzen ausgeführt WorkSpaces werden.

**Topics**
+ [Voraussetzungen](certificate-based-authentication-prereq.md)
+ [Aktivieren der zertifikatsbasierten Authentifizierung](certificate-based-authentication-enable.md)
+ [Verwalten der zertifikatsbasierten Authentifizierung](certificate-based-authentication-manage.md)
+ [Kontoübergreifendes PCA Sharing aktivieren](pca-sharing.md)

# Voraussetzungen
<a name="certificate-based-authentication-prereq"></a>

Führen Sie die folgenden Schritte aus, bevor Sie die zertifikatbasierte Authentifizierung aktivieren.

1. Konfigurieren Sie Ihr WorkSpaces Pools-Verzeichnis mit SAML 2.0-Integration für die Verwendung der zertifikatsbasierten Authentifizierung. Weitere Informationen finden Sie unter [SAML 2.0 konfigurieren und ein WorkSpaces Pools-Verzeichnis erstellen](create-directory-pools.md).
**Anmerkung**  
Aktivieren Sie die **Smartcard-Anmeldung nicht in** Ihrem Poolverzeichnis, wenn Sie die zertifikatsbasierte Authentifizierung verwenden möchten. 

1. Konfigurieren Sie das `userPrincipalName` Attribut in Ihrer SAML-Zusicherung. Weitere Informationen finden Sie unter [Schritt 7: Erstellen Sie Assertionen für die SAML-Authentifizierungsantwort](create-directory-pools.md#saml-directory-create-assertions).

1. Konfigurieren Sie das `ObjectSid` Attribut in Ihrer SAML-Zusicherung. Sie können dieses Attribut verwenden, um eine starke Zuordnung mit dem Active-Directory-Benutzer durchzuführen. Die zertifikatsbasierte Authentifizierung schlägt fehl, wenn das Attribut `ObjectSid` nicht mit der Active-Directory-Sicherheitskennung (SID) für den im SAML\$1Subject `NameID` angegebenen Benutzenden übereinstimmt. Weitere Informationen finden Sie unter [Schritt 7: Erstellen Sie Assertionen für die SAML-Authentifizierungsantwort](create-directory-pools.md#saml-directory-create-assertions). 
**Anmerkung**  
Laut [Microsoft KB5 014754](https://support.microsoft.com/en-us/topic/kb5014754-certificate-based-authentication-changes-on-windows-domain-controllers-ad2c23b0-15d8-4340-a468-4d4f3b188f16) wird das `ObjectSid` Attribut nach dem 10. September 2025 für die zertifikatsbasierte Authentifizierung verpflichtend.

1. Fügen Sie die Berechtigung `sts:TagSession` zur Vertrauensrichtlinie für IAM-Rollen hinzu, die Sie mit Ihrer SAML-2.0-Konfiguration verwenden. Weitere Informationen finden Sie unter [Übergeben von Sitzungs-Tags in  AWS STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html.html) im *AWS Identity and Access Management -Benutzerhandbuch*. Diese Berechtigung ist erforderlich, um die zertifikatsbasierte Authentifizierung zu verwenden. Weitere Informationen finden Sie unter [Schritt 5: Erstellen Sie eine SAML 2.0-Verbund-IAM-Rolle](create-directory-pools.md#saml-directory-saml-federation-role-in-iam).

1. Erstellen Sie eine private Zertifizierungsstelle (CA) mithilfe von AWS Private CA, falls Sie keine mit Ihrem Active Directory konfiguriert haben. AWS Eine private Zertifizierungsstelle ist erforderlich, um die zertifikatsbasierte Authentifizierung zu verwenden. Weitere Informationen finden Sie im *AWS Private Certificate Authority Benutzerhandbuch* unter [Planung Ihrer AWS Private CA Bereitstellung](https://docs.aws.amazon.com/privateca/latest/userguide/PcaPlanning.html). Die folgenden Einstellungen für AWS private Zertifizierungsstellen sind für viele Anwendungsfälle der zertifikatsbasierten Authentifizierung üblich:
   + **Optionen für den CA-Typ**
     + **CA-Verwendungsmodus für kurzlebige Zertifikate** – empfohlen, wenn Sie die CA nur zur Ausstellung von Endbenutzerzertifikaten für die zertifikatsbasierte Authentifizierung verwenden.
     + **Einstufige Hierarchie mit einer Stammzertifizierungsstelle** –Wählen Sie eine untergeordnete Zertifizierungsstelle aus, wenn Sie eine Integration in eine bestehende Zertifizierungsstellenhierarchie vornehmen möchten.
   + **Optionen für den Schlüsselalgorithmus** – RSA 2048
   + **Optionen für den definierten Namen des Antragstellers** – Verwenden Sie eine möglichst geeignete Kombination von Optionen, um diese Zertifizierungsstelle in Ihrem Active-Directory-Speicher für vertrauenswürdige Stammzertifizierungsstellen zu identifizieren.
   + **Optionen zum Widerruf von Zertifikaten** – CRL-Verteilung
**Anmerkung**  
Für die zertifikatsbasierte Authentifizierung ist ein Online-CRL-Verteilungspunkt erforderlich, auf den sowohl über die internen WorkSpaces Pools als auch über den WorkSpaces Domänencontroller zugegriffen werden kann. Dies erfordert einen nicht authentifizierten Zugriff auf den Amazon S3 S3-Bucket, der für AWS private CA-CRL-Einträge konfiguriert ist, oder eine CloudFront Distribution mit Zugriff auf den Amazon S3 S3-Bucket, falls dieser den öffentlichen Zugriff blockiert. *Weitere Informationen zu diesen Optionen finden Sie unter [Planning a Certificate Revocation List (CRL) im Benutzerhandbuch](https://docs.aws.amazon.com/privateca/latest/userguide/crl-planning.html).AWS Private Certificate Authority *

1. Kennzeichnen Sie Ihre private CA mit einem Schlüssel, der `euc-private-ca` dazu berechtigt ist, die CA für die Verwendung mit der zertifikatsbasierten WorkSpaces Pools-Authentifizierung zu bestimmen. Dieser Schlüssel benötigt keinen Wert. *Weitere Informationen finden Sie im Benutzerhandbuch unter [Tags für Ihre private Zertifizierungsstelle verwalten](https://docs.aws.amazon.com/privateca/latest/userguide/PcaCaTagging.html).AWS Private Certificate Authority *

1. Bei der zertifikatsbasierten Authentifizierung werden virtuelle Smartcards für die Anmeldung verwendet. Weitere Informationen finden Sie unter [Richtlinien für die Aktivierung der Smartcard-Anmeldung bei Zertifizierungsstellen von Drittanbietern](https://learn.microsoft.com/en-us/troubleshoot/windows-server/windows-security/enabling-smart-card-logon-third-party-certification-authorities). Dazu gehen Sie wie folgt vor:

   1. Konfigurieren Sie Domaincontroller mit einem Domaincontrollerzertifikat, um Smartcard-Benutzer zu authentifizieren. Wenn Sie in Ihrem Active Directory eine Unternehmenszertifizierungsstelle für Active-Directory-Zertifikatsdienste konfiguriert haben, werden Domaincontroller automatisch mit Zertifikaten registriert, um die Smartcard-Anmeldung zu ermöglichen. Wenn Sie nicht über Active-Directory-Zertifikatsdienste verfügen, finden Sie weitere Informationen unter [Anforderungen für Domaincontrollerzertifikate von einer Drittanbieter-Zertifizierungsstelle](https://learn.microsoft.com/en-US/troubleshoot/windows-server/windows-security/requirements-domain-controller). Sie können ein Domänencontroller-Zertifikat mit AWS Private CA erstellen. Verwenden Sie in diesem Fall keine private Zertifizierungsstelle, die für kurzlebige Zertifikate konfiguriert ist.
**Anmerkung**  
Wenn Sie AWS Managed Microsoft AD verwenden, können Sie Certificate Services auf einer EC2 Amazon-Instance konfigurieren, die die Anforderungen für Domain-Controller-Zertifikate erfüllt. Weitere Informationen finden Sie unter [Bereitstellen von Active Directory in einer neuen Amazon Virtual Private Cloud](https://docs.aws.amazon.com/launchwizard/latest/userguide/launch-wizard-ad-deploying-new-vpc.html), z. B. Bereitstellungen von AWS Managed Microsoft AD, konfiguriert mit Active Directory-Zertifikatsdiensten.  
Bei AWS Managed Microsoft AD und Active Directory Certificate Services müssen Sie auch Regeln für ausgehenden Datenverkehr von der VPC-Sicherheitsgruppe des Controllers zur EC2 Amazon-Instance erstellen, auf der Certificate Services ausgeführt wird. Sie müssen der Sicherheitsgruppe Zugriff auf den TCP-Port 135 und die Ports 49152 bis 65535 gewähren, um die automatische Zertifikatsregistrierung zu aktivieren. Die EC2 Amazon-Instance muss auch eingehenden Zugriff auf dieselben Ports von Domain-Instances, einschließlich Domain-Controllern, zulassen. Weitere Informationen zum Auffinden der Sicherheitsgruppe für AWS Managed Microsoft AD finden [Sie unter Konfigurieren Ihrer VPC-Subnetze und Sicherheitsgruppen](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_tutorial_setup_trust_prepare_mad.html#tutorial_setup_trust_open_vpc).

   1. Exportieren Sie das AWS private CA-Zertifikat auf der Private CA-Konsole oder mit dem SDK oder der CLI. Weitere Informationen finden Sie unter [Exportieren eines privaten Zertifikats](https://docs.aws.amazon.com/acm/latest/userguide/export-private.html).

   1. Veröffentlichen Sie die private CA in Active Directory. Melden Sie sich an einem Domaincontroller oder einem Computer an, der Domainmitglied ist. Kopieren Sie das private CA-Zertifikat in einen beliebigen `<path>\<file>` und führen Sie die folgenden Befehle als Domainadministrator aus. Sie können auch Gruppenrichtlinien und das Microsoft PKI Health Tool (PKIView) verwenden, um die CA zu veröffentlichen. Weitere Informationen finden Sie in den [Konfigurationsanweisungen](https://learn.microsoft.com/en-us/troubleshoot/windows-server/windows-security/enabling-smart-card-logon-third-party-certification-authorities#configuration-instructions).

      ```
      certutil -dspublish -f <path>\<file> RootCA
      ```

      ```
      certutil -dspublish -f <path>\<file> NTAuthCA
      ```

      Stellen Sie sicher, dass die Befehle erfolgreich ausgeführt wurden. Entfernen Sie dann die private Zertifikatsdatei. Abhängig von Ihren Active Directory-Replikationseinstellungen kann es mehrere Minuten dauern, bis die CA auf Ihren Domänencontrollern und WorkSpaces in WorkSpaces Pools veröffentlicht wird.
**Anmerkung**  
Active Directory muss die Zertifizierungsstelle automatisch an die vertrauenswürdigen Stammzertifizierungsstellen und NTAuth Unternehmensspeicher WorkSpaces in WorkSpaces Pools verteilen, wenn diese der Domäne beitreten.
**Anmerkung**  
Active-Directory-Domain-Controller müssen sich im Kompatibilitätsmodus befinden, damit die strenge Durchsetzung von Zertifikaten die zertifikatsbasierte Authentifizierung unterstützt. Weitere Informationen finden Sie unter [KB5014754 — Änderungen der zertifikatsbasierten Authentifizierung auf Windows-Domänencontrollern](https://support.microsoft.com/en-us/topic/kb5014754-certificate-based-authentication-changes-on-windows-domain-controllers-ad2c23b0-15d8-4340-a468-4d4f3b188f16) in der Microsoft-Supportdokumentation. Wenn Sie AWS Managed Microsoft AD verwenden, finden [Sie weitere Informationen unter Konfigurieren von Verzeichnissicherheitseinstellungen](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_directory_settings.html).

# Aktivieren der zertifikatsbasierten Authentifizierung
<a name="certificate-based-authentication-enable"></a>

Führen Sie die folgenden Schritte aus, um die zertifikatsbasierte Authentifizierung zu aktivieren.

**So aktivieren Sie die zertifikatsbasierte Authentifizierung**

1. Öffnen Sie die WorkSpaces Konsole unter [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home).

1. Wählen Sie im Navigationsbereich **Verzeichnisse** aus.

1. Wählen Sie die Registerkarte **Pools-Verzeichnisse**.

1. Wählen Sie das Verzeichnis, das Sie konfigurieren wollen.

1. Wählen Sie auf der Seite im Abschnitt **Authentifizierung** die Option **Bearbeiten** aus.

1. Wählen Sie im Bereich **Zertifikatsbasierte Authentifizierung der Seite die Option **Zertifikatsbasierte Authentifizierung** bearbeiten** aus.

1. Wählen Sie **Zertifikatsbasierte Authentifizierung aktivieren** aus.

1. Wählen Sie das Zertifikat in der Dropdownliste **AWS Certificate Manager (ACM) Private Certificate Authority (CA)** aus.

   Um in der Drop-down-Liste angezeigt zu werden, sollten Sie die private CA im selben AWS-Konto und AWS-Region speichern. Sie müssen die private Zertifizierungsstelle außerdem mit einem Schlüssel namens `euc-private-ca` kennzeichnen.

1. Konfigurieren Sie das Fallback für die Directory-Anmeldung. Fallback ermöglicht es Benutzern, sich mit ihrem AD-Domain-Passwort anzumelden, falls die zertifikatbasierte Authentifizierung nicht erfolgreich ist. Dies wird nur in Fällen empfohlen, in denen Benutzer ihre Domainpasswörter kennen. Wenn Fallback deaktiviert ist, kann eine Sitzung die Verbindung zum Benutzer trennen, wenn ein Sperrbildschirm angezeigt wird oder der Benutzer sich von Windows abmeldet. Wenn Fallback aktiviert ist, fordert die Sitzung den Benutzer zur Eingabe seines AD-Domainpassworts auf.

1. Wählen Sie **Speichern**.

Die zertifikatbasierte Authentifizierung ist nun aktiviert. Wenn sich Benutzer mit SAML 2.0 in einem WorkSpaces Pools-Verzeichnis authentifizieren, das die Domäne verwendet WorkSpaces, werden sie nicht mehr zur Eingabe des Domänenkennworts aufgefordert. Benutzern wird die Meldung **Verbindung mit zertifikatsbasierter Authentifizierung hergestellt, wenn sie eine Verbindung zu einer Sitzung herstellen, für die zertifikatsbasierte Authentifizierung** aktiviert ist.

# Verwalten der zertifikatsbasierten Authentifizierung
<a name="certificate-based-authentication-manage"></a>

Nachdem Sie die zertifikatsbasierte Authentifizierung aktiviert haben, gehen Sie die folgenden Aufgaben durch.

## Zertifikat einer privaten CA
<a name="certificate-based-authentication-manage-CA"></a>

In einer typischen Konfiguration hat das Zertifikat einer privaten CA eine Gültigkeitsdauer von 10 Jahren. Weitere Informationen zum Ersetzen einer privaten Zertifizierungsstelle mit einem abgelaufenen Zertifikat oder zur Neuausstellung der privaten Zertifizierungsstelle mit einem neuen Gültigkeitszeitraum finden Sie unter [Verwalten des Lebenszyklus einer privaten Zertifizierungsstelle](https://docs.aws.amazon.com/privateca/latest/userguide/ca-lifecycle.html). 

## Endbenutzerzertifikate
<a name="certificate-based-authentication-manage-certs"></a>

Endbenutzerzertifikate, die von der zertifikatsbasierten Authentifizierung AWS Private Certificate Authority für WorkSpaces Pools ausgestellt wurden, müssen nicht erneuert oder gesperrt werden. Diese Zertifikate sind kurzlebig. WorkSpaces Pools stellt automatisch für jede neue Sitzung oder alle 24 Stunden für Sitzungen mit langer Dauer ein neues Zertifikat aus. Die WorkSpaces Pools-Sitzung regelt die Verwendung dieser Endbenutzerzertifikate. Wenn Sie eine Sitzung beenden, verwendet WorkSpaces Pools dieses Zertifikat nicht mehr. Diese Endbenutzerzertifikate haben eine kürzere Gültigkeitsdauer als eine typische AWS Private Certificate Authority CRL-Verteilung. Daher müssen Endbenutzerzertifikate nicht gesperrt werden und erscheinen auch nicht in einer CRL.

## Prüfberichte
<a name="certificate-based-authentication-manage-audit"></a>

Sie können einen Auditbericht erstellen, der die Zertifikate auflistet, die ihre private CA ausgestellt oder widerrufen hat. Weitere Informationen finden Sie unter [Verwenden von Prüfberichten mit Ihrer privaten CA](https://docs.aws.amazon.com/privateca/latest/userguide/PcaAuditReport.html).

## Protokollieren und Überwachen
<a name="certificate-based-authentication-manage-logging"></a>

Sie können sie verwenden CloudTrail , um API-Aufrufe an eine private CA von WorkSpaces Pools aufzuzeichnen. Weitere Informationen finden Sie unter [Was ist AWS CloudTrail?](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) im *AWS CloudTrail Benutzerhandbuch* und [Verwenden CloudTrail](https://docs.aws.amazon.com/privateca/latest/userguide/PcaCtIntro.html) im *AWS Private Certificate Authority Benutzerhandbuch*. Im CloudTrail Ereignisverlauf können Sie die Namen der Ereignisse aus der **IssueCertificate**Ereignisquelle **acm-pca.amazonaws.com** einsehen **GetCertificate**, die anhand des Pools-Benutzernamens erstellt wurden. WorkSpaces **EcmAssumeRoleSession** Diese Ereignisse werden für jede auf einem Pools-Zertifikat basierende Authentifizierungsanfrage aufgezeichnet. WorkSpaces Weitere Informationen finden Sie im *AWS CloudTrail Benutzerhandbuch* unter [Ereignisse mit CloudTrail Ereignisverlauf anzeigen](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).

# Kontoübergreifendes PCA Sharing aktivieren
<a name="pca-sharing"></a>

Die kontenübergreifende Nutzung von Private CA (PCA) bietet die Möglichkeit, anderen Konten Berechtigungen zur Nutzung einer zentralen Zertifizierungsstelle zu erteilen. Die CA kann Zertifikate generieren und ausstellen, indem sie [AWSResource Access Manager](https://aws.amazon.com/ram/) (RAM) verwendet, um die Berechtigungen zu verwalten. Dadurch entfällt die Notwendigkeit einer privaten Zertifizierungsstelle für jedes Konto. Die kontoübergreifende gemeinsame Nutzung von privaten Zertifizierungsstellen kann zusammen mit der zertifikatsbasierten Authentifizierung (CBA) für WorkSpaces Anwendungen innerhalb desselben verwendet werden. AWS-Region

Gehen Sie wie folgt vor, um eine gemeinsam genutzte private CA-Ressource mit WorkSpaces Pools CBA zu verwenden:

1. Konfigurieren Sie die private Zertifizierungsstelle für CBA in einer zentralen Umgebung. AWS-Konto Weitere Informationen finden Sie unter [Zertifikatsbasierte Authentifizierung und Personal WorkSpaces](certificate-based-authentication.md).

1. Teilen Sie die private CA mit der Ressource, AWS-Konten in der WorkSpaces Pools-Ressourcen CBA nutzen. Folgen Sie dazu den Schritten unter [So verwenden Sie AWS RAM, um Ihre ACM Private CA kontoübergreifend gemeinsam zu](https://aws.amazon.com/blogs/security/how-to-use-aws-ram-to-share-your-acm-private-ca-cross-account/) nutzen. Sie müssen Schritt 3 nicht abschließen, um ein Zertifikat zu erstellen. Sie können die private Zertifizierungsstelle entweder mit einer Einzelperson AWS-Konten teilen oder über diese teilenAWS Organizations. Wenn Sie Daten mit einzelnen Konten teilen, müssen Sie die gemeinsame private Zertifizierungsstelle in Ihrem Ressourcenkonto akzeptieren, indem Sie die AWS Resource Access Manager Konsole oder verwenden APIs. 

   Stellen Sie bei der Konfiguration der Freigabe sicher, dass die AWS Resource Access Manager Ressourcenfreigabe für die private Zertifizierungsstelle im Ressourcenkonto die Vorlage für `AWSRAMBlankEndEntityCertificateAPICSRPassthroughIssuanceCertificateAuthority` verwaltete Berechtigungen verwendet. Diese Vorlage entspricht der PCA-Vorlage, die von der WorkSpaces Pools-Dienstrolle bei der Ausstellung von CBA-Zertifikaten verwendet wird.

1. Nachdem die Freigabe erfolgreich war, können Sie die gemeinsam genutzte private Zertifizierungsstelle mithilfe der privaten CA-Konsole im Ressourcenkonto anzeigen.

1. Verwenden Sie die API oder CLI, um den Private CA ARN mit CBA in Ihrem WorkSpaces Pools-Verzeichnis zu verknüpfen. Derzeit unterstützt die WorkSpaces Pools-Konsole die Auswahl einer gemeinsam genutzten privaten CA ARNs nicht. Weitere Informationen finden Sie in der [Amazon WorkSpaces Service API-Referenz](https://docs.aws.amazon.com/workspaces/latest/api/welcome.html).

# WorkSpaces Pools Active Directory-Verwaltung
<a name="active-directory-admin"></a>

Das Einrichten und Verwenden von Active Directory mit WorkSpaces Pools umfasst die folgenden Verwaltungsaufgaben.

**Topics**
+ [Gewähren von Berechtigungen zum Erstellen und Verwalten von Active Directory-Computerobjekten](#active-directory-permissions)
+ [Den spezifischen Namen der Organisationseinheit finden](#active-directory-oudn)
+ [Erteilen von lokalen Administratorrechten für benutzerdefinierte Images](#active-directory-image-builder-local-admin)
+ [Sperren der Streaming-Sitzung, wenn der Benutzer inaktiv ist](#active-directory-session-lock)
+ [Konfiguration von WorkSpaces Pools für die Verwendung von Domain-Vertrauensstellungen](#active-directory-domain-trusts)

## Gewähren von Berechtigungen zum Erstellen und Verwalten von Active Directory-Computerobjekten
<a name="active-directory-permissions"></a>

Damit WorkSpaces Pools Active Directory-Computerobjektoperationen ausführen können, benötigen Sie ein Konto mit ausreichenden Berechtigungen. Als bewährte Methode empfehlen wir Ihnen, ein Konto zu verwenden, das nur die mindestens erforderlichen Berechtigungen hat. Die Mindestberechtigungen für eine Active Directory-Organisationseinheit (OU) sind:
+ Ein Computerobjekt erstellen
+ Passwort ändern
+ Passwort zurücksetzen
+ Beschreibung schreiben

Bevor Sie Berechtigungen einrichten, müssen Sie die folgenden Schritte ausführen:
+ Beschaffen Sie sich Zugriff auf einen Computer oder eine EC2-Instance, die mit Ihrer Domäne verbunden ist.
+ Installieren des MMC-Snap-ins Active Directory-Benutzer und -Computer. Weitere Informationen dazu finden Sie beim Microsoft Support unter [Installation oder Entfernen von Administrationswerkzeugen für Windows 7](https://technet.microsoft.com/en-us/library/ee449483.aspx) in der Microsoft Dokumentation.
+ Melden Sie sich als Domänen-Benutzer mit den entsprechenden Berechtigungen an, um die Sicherheitseinstellungen der OU zu ändern.
+ Erstellen oder identifizieren Sie den Benutzer, das Service-Konto oder die Gruppe, für die Berechtigungen delegiert werden sollen.

**Einrichten von Mindest-Berechtigungen**

1. Öffnen Sie **Active Directory-Benutzer und -Computer** in Ihrer Domäne oder auf Ihrem Domänencontroller.

1. Wählen Sie im linken Navigationsbereich die erste Organisationseinheit aus, für die Berechtigungen zur Verbindung mit der Domäne bereitgestellt werden sollen, öffnen Sie das Kontextmenü (rechte Maustaste) und wählen Sie **Kontrolle delegieren** aus.

1. Klicken Sie auf der Seite **Assistent für die Delegation der Kontrolle** **Weiter**, **Hinzufügen**.

1. Für **Benutzer, Computer oder Gruppen auswählen** wählen Sie den zuvor erstellten Benutzer, das Servicekonto oder die Gruppe aus und klicken dann auf **OK**.

1. Wählen Sie auf der Seite **Zu delegierende Aufgabe** die Option **Eine zu delegierende benutzerdefinierte Aufgabe erstellen** aus und klicken Sie auf **Weiter**.

1. Wählen Sie **Nur die folgenden Objekte in dem Ordner**, **Computerobjekte**.

1. Wählen Sie **Ausgewählte Objekte in diesem Ordner erstellen**, **Weiter**.

1. Wählen Sie für **Berechtigungen** **Lesen**, **Schreiben**, **Kennwort ändern**, **Passwort zurücksetzen**, **Weiter**.

1. Überprüfen Sie auf der Seite **Den Assistenten für die Delegation der Kontrolle abschließen** die Informationen und wählen Sie **Fertigstellen**.

1. Wiederholen Sie die Schritte 2 bis 9 für alle weiteren OUs , für die diese Berechtigungen erforderlich sind.

Wenn Sie Berechtigungen an eine Gruppe delegieren, erstellen Sie ein Benutzer- oder Service-Konto mit einem sicheren Kennwort und fügen dieses Konto der Gruppe hinzu. Dieses Konto verfügt dann über ausreichende Rechte, um Sie mit dem Verzeichnis WorkSpaces zu verbinden. Verwenden Sie dieses Konto, wenn Sie Ihre WorkSpaces Pools-Verzeichniskonfiguration erstellen.

## Den spezifischen Namen der Organisationseinheit finden
<a name="active-directory-oudn"></a>

Wenn Sie Ihre Active Directory-Domäne bei WorkSpaces Pools registrieren, müssen Sie einen eindeutigen Namen für die Organisationseinheit (OU) angeben. Erstellen Sie eine OU für diesen Zweck. Der Standardcontainer für Computer ist keine Organisationseinheit und kann nicht von WorkSpaces Pools verwendet werden. Das folgende Verfahren zeigt, wie dieser Name ermittelt wird.

**Anmerkung**  
Der spezifische Name muss mit **OU=** beginnen oder nicht für Computerobjekte verwendet werden.

Bevor Sie dieses Verfahren abschließen, müssen Sie die folgenden Schritte ausführen:
+ Beschaffen Sie sich Zugriff auf einen Computer oder eine EC2-Instance, die mit Ihrer Domäne verbunden ist.
+ Installieren des MMC-Snap-ins Active Directory-Benutzer und -Computer. Weitere Informationen dazu finden Sie beim Microsoft Support unter [Installation oder Entfernen von Administrationswerkzeugen für Windows 7](https://technet.microsoft.com/en-us/library/ee449483.aspx) in der Microsoft Dokumentation.
+ Melden Sie sich als Domänen-Benutzer mit den entsprechenden Berechtigungen an, um die Sicherheitseigenschaften der OU zu lesen.

**So finden Sie den spezifischen Namen einer OU**

1. Öffnen Sie **Active Directory-Benutzer und -Computer** in Ihrer Domäne oder auf Ihrem Domänencontroller.

1. Stellen Sie unter **Ansicht** sicher, dass **Erweiterte Funktionen** aktiviert ist.

1. Wählen Sie im linken Navigationsbereich die erste Organisationseinheit aus, die für WorkSpaces Computerobjekte verwendet werden soll, öffnen Sie das Kontextmenü (mit der rechten Maustaste) und wählen Sie dann **Eigenschaften** aus.

1. Wählen Sie **Attribut-Editor**.

1. Wählen Sie unter **Attribute **für **distinguishedName** **Ansicht **.

1. Wählen Sie für **Wert** den spezifischen Namen aus. Öffnen Sie das Kontextmenü und wählen Sie **Kopieren** aus.

## Erteilen von lokalen Administratorrechten für benutzerdefinierte Images
<a name="active-directory-image-builder-local-admin"></a>

Standardmäßig haben Active Directory-Domänenbenutzer keine lokalen Administratorrechte für Images. Sie können diese Rechte mithilfe der Gruppenrichtlinieneinstellungen in Ihrem Verzeichnis oder manuell gewähren, indem Sie das lokale Administratorkonto für ein Bild verwenden. Wenn Sie einem Domänenbenutzer lokale Administratorrechte gewähren, kann dieser Benutzer Anwendungen in Pools installieren und benutzerdefinierte Images in WorkSpaces Pools erstellen.

**Topics**
+ [Verwenden von Gruppenrichtlinienpräferenzen](#group-policy)
+ [Verwenden Sie die lokale Administratorgruppe auf dem WorkSpace , um Images zu erstellen](#manual-procedure)

### Verwenden von Gruppenrichtlinienpräferenzen
<a name="group-policy"></a>

Sie können Gruppenrichtlinienpräferenzen verwenden, um Active Directory-Benutzern oder -Gruppen lokale Administratorrechte sowie allen Computerobjekten in der angegebenen Organisationseinheit zuzuweisen. Die Active Directory-Benutzer oder -Gruppen, denen Sie lokale Administratorberechtigungen erteilen möchten, müssen bereits vorhanden sein. Um Gruppenrichtlinienpräferenzen zu verwenden, müssen Sie zunächst die folgenden Aufgaben ausführen:
+ Beschaffen Sie sich Zugriff auf einen Computer oder eine EC2-Instance, die mit Ihrer Domäne verbunden ist.
+ Installieren Sie das MMC-Snap-in für die Group Policy Management Console (GPMC). Weitere Informationen dazu finden Sie beim Microsoft Support unter [Installation oder Entfernen von Administrationswerkzeugen für Windows 7](https://technet.microsoft.com/en-us/library/ee449483.aspx) in der Microsoft Dokumentation.
+ Melden Sie sich als Domänenbenutzer mit Berechtigungen zum Erstellen von Gruppenrichtlinienobjekten an (GPOs). Link GPOs zum entsprechenden OUs.

**So verwenden Sie Gruppenrichtlinienpräferenzen zum Gewähren lokaler Administratorberechtigungen**

1. Öffnen Sie in Ihrem Verzeichnis oder auf einem Domänencontroller die Eingabeaufforderung als Administrator. Geben Sie `gpmc.msc` ein und drücken Sie die EINGABETASTE.

1. Wählen Sie in der linken Konsolenstruktur die Organisationseinheit aus, in der Sie ein neues Gruppenrichtlinienobjekt erstellen möchten, oder verwenden Sie ein vorhandenes Gruppenrichtlinienobjekt, und führen Sie dann einen der folgenden Schritte aus: 
   + Erstellen Sie ein neues Gruppenrichtlinienobjekt, indem Sie das Kontextmenü (rechter Mausklick) öffnen und **Ein GPO in dieser Domäne erstellen, Hier verknüpfen** auswählen. Geben Sie für **Name** einen aussagekräftigen Namen für dieses GPO an.
   + Wählen Sie ein vorhandenes Gruppenrichtlinienobjekt aus.

1. Öffnen Sie das Kontextmenü für das GPO und wählen Sie **Bearbeiten** aus.

1. Wählen Sie in der Konsolenstruktur auf der linken Seite **Computerkonfiguration**, **Einstellungen**, **Windows-Einstellungen**, **Systemsteuerungseinstellungen** und **Lokale Benutzer und Gruppen** aus.

1. Wählen Sie **Lokale Benutzer und Gruppen** aus, öffnen Sie das Kontextmenü (rechte Maustaste) und klicken Sie auf **Neu** und **Lokale Gruppe**.

1. Wählen Sie für **Aktion ** **Aktualisieren**.

1. Für **Gruppenname** wählen Sie **Administratoren (built-in)**.

1. Wählen Sie unter **Mitglieder** **Hinzufügen...**, und geben Sie die Active-Directory-Benutzer oder -Gruppen an, denen lokale Administratorrechte auf der Streaming-Instance zugewiesen werden sollen. Für **Aktion**, wählen Sie **Dieser Gruppe hinzufügen**, und wählen dann **OK**.

1. Um dieses Gruppenrichtlinienobjekt auf ein anderes anzuwenden OUs, wählen Sie die zusätzliche Organisationseinheit aus, öffnen Sie das Kontextmenü und wählen Sie **Bestehendes Gruppenrichtlinienobjekt verknüpfen** aus.

1. Suchen Sie anhand des neuen oder vorhandenen GPO-Namens, den Sie in Schritt 2 festgelegt haben, das Gruppenrichtlinienobjekt und klicken Sie auf **OK**. 

1. Wiederholen Sie die Schritte 9 und 10 für weitere OUs , die diese Einstellung haben sollten.

1. Klicken Sie auf **OK**, um das Dialogfeld **Neue lokale Gruppeneigenschaften** zu schließen.

1. Klicken Sie erneut auf **OK**, um die GPMC zu schließen.

Um die neue Präferenz für das Gruppenrichtlinienobjekt zu übernehmen, müssen Sie alle laufenden Image Builder oder Flotten anhalten und neu starten. Die Active Directory-Benutzer und -Gruppen, die Sie in Schritt 8 angegeben haben, erhalten automatisch lokale Administratorrechte für die Image Builder und Flotten in der Organisationseinheit, mit der das Gruppenrichtlinienobjekt verknüpft ist.

### Verwenden Sie die lokale Administratorgruppe auf dem WorkSpace , um Images zu erstellen
<a name="manual-procedure"></a>

Um Active Directory-Benutzern oder -Gruppen lokale Administratorrechte für ein Image zu gewähren, können Sie diese Benutzer oder Gruppen manuell zur lokalen Administratorgruppe auf dem Image hinzufügen.

Die Active Directory-Benutzer oder -Gruppen, denen lokale Administratorberechtigungen erteilt werden solle, müssen bereits vorhanden sein.

1. Connect zu dem her, mit dem WorkSpace Sie Images erstellen. Der WorkSpace muss laufen und mit der Domäne verbunden sein.

1. Wählen Sie **Start**, **Verwaltung** und doppelklicken Sie auf **Computerverwaltung**.

1. Wählen Sie im linken Navigationsbereich **Lokale Benutzer und Gruppen** und öffnen Sie den Ordner **Gruppen**.

1. Öffnen Sie die Gruppe **Administratoren** und wählen Sie **Hinzufügen...**.

1. Wählen Sie alle Active Directory-Benutzer oder -Gruppen, denen lokale Administratorberechtigungen zugewiesen werden sollen, und wählen Sie **OK**. Klicken Sie erneut auf **OK**, um das Dialogfeld **Eigenschaften von Administrator** zu schließen.

1. Schließen Sie die Computerverwaltung.

1. Um sich als Active Directory-Benutzer anzumelden und zu testen, ob dieser Benutzer über lokale Administratorrechte für verfügt WorkSpaces, wählen Sie **Admin-Befehle**, **Benutzer wechseln** und geben Sie dann die Anmeldeinformationen des entsprechenden Benutzers ein.

## Sperren der Streaming-Sitzung, wenn der Benutzer inaktiv ist
<a name="active-directory-session-lock"></a>

WorkSpaces Pools basiert auf einer Einstellung, die Sie in der GPMC so konfigurieren, dass die Streaming-Sitzung gesperrt wird, nachdem Ihr Benutzer für eine bestimmte Zeit inaktiv war. Um die GPMC zu verwenden, müssen Sie zunächst die folgenden Aufgaben ausführen:
+ Beschaffen Sie sich Zugriff auf einen Computer oder eine EC2-Instance, die mit Ihrer Domäne verbunden ist.
+ Installieren Sie die GPMC. Weitere Informationen dazu finden Sie beim Microsoft Support unter [Installation oder Entfernen von Administrationswerkzeugen für Windows 7](https://technet.microsoft.com/en-us/library/ee449483.aspx) in der Microsoft Dokumentation.
+ Melden Sie sich als Domänenbenutzer mit GPOs Erstellungsberechtigungen an. Link GPOs zum entsprechenden OUs.

**Die Streaming-Instance automatisch sperren, wenn Ihr Benutzer inaktiv ist**

1. Öffnen Sie in Ihrem Verzeichnis oder auf einem Domänencontroller die Eingabeaufforderung als Administrator. Geben Sie `gpmc.msc` ein und drücken Sie die EINGABETASTE.

1. Wählen Sie in der linken Konsolenstruktur die Organisationseinheit aus, in der Sie ein neues Gruppenrichtlinienobjekt erstellen möchten, oder verwenden Sie ein vorhandenes Gruppenrichtlinienobjekt, und führen Sie dann einen der folgenden Schritte aus: 
   + Erstellen Sie ein neues Gruppenrichtlinienobjekt, indem Sie das Kontextmenü (rechter Mausklick) öffnen und **Ein GPO in dieser Domäne erstellen, Hier verknüpfen** auswählen. Geben Sie für **Name** einen aussagekräftigen Namen für dieses GPO an.
   + Wählen Sie ein vorhandenes Gruppenrichtlinienobjekt aus.

1. Öffnen Sie das Kontextmenü für das GPO und wählen Sie **Bearbeiten** aus. 

1. Erweitern Sie unter **Benutzerkonfiguration** die Optionen **Richtlinien**, **Administrative Vorlagen**, **Systemsteuerung** und klicken Sie dann auf **Personalisierung**. 

1. Doppelklicken Sie auf **Bildschirmschoner aktivieren**.

1. Wählen Sie für die Richtlinieneinstellung **Bildschirmschoner aktivieren** die Option **Aktiviert** aus.

1. Wählen Sie **Übernehmen** und anschließend **OK** aus.

1. Doppelklicken Sie auf **Bestimmten Bildschirmschoner erzwingen**. 

1. Wählen Sie für die Richtlinieneinstellung **Bestimmten Bildschirmschoner erzwingen** die Option **Aktiviert** aus.

1. Geben Sie unter **Programmname des Bildschirmschoners** den Namen **scrnsave.scr** ein. Wenn diese Einstellung aktiviert ist, zeigt das System einen schwarzen Bildschirmschoner auf dem Desktop des Benutzers an.

1. Wählen Sie **Übernehmen** und anschließend **OK** aus.

1. Doppelklicken Sie auf Bildschirmschoner **Kennwortschutz für den Bildschirmschoner verwenden**.

1. Wählen Sie für die Richtlinieneinstellung **Kennwortschutz für den Bildschirmschoner verwenden** die Option **Aktiviert** aus.

1. Wählen Sie **Übernehmen** und anschließend **OK** aus.

1. Doppelklicken Sie auf **Zeitlimit für Bildschirmschoner**.

1. Wählen Sie für die Richtlinieneinstellung **Zeitlimit für Bildschirmschoner** die Option **Aktiviert** aus.

1. Geben Sie im Feld **Sekunden** die Dauer ein, die der Benutzer inaktiv sein muss, bevor der Bildschirmschoner angewendet wird. Um den inaktiven Zeitraum auf 10 Minuten festzulegen, geben Sie 600 Sekunden ein.

1. Wählen Sie **Übernehmen** und anschließend **OK** aus.

1. Erweitern Sie in der Konsolenstruktur unter **Benutzerkonfiguration** die Optionen **Richtlinien**, **Administrative Vorlagen**, **System** und wählen Sie **Strg\$1Alt\$1Entf-Optionen** aus. 

1. Doppelklicken Sie auf **Sperren des Computers entfernen**.

1. Wählen Sie in der Richtlinieneinstellung **Sperren des Computers entfernen** die Option **Aktiviert** aus.

1. Wählen Sie **Übernehmen** und anschließend **OK** aus.

## Konfiguration von WorkSpaces Pools für die Verwendung von Domain-Vertrauensstellungen
<a name="active-directory-domain-trusts"></a>

WorkSpaces Pools unterstützt Active Directory-Domänenumgebungen, in denen sich Netzwerkressourcen wie Dateiserver, Anwendungen und Computerobjekte in einer Domäne und die Benutzerobjekte in einer anderen befinden. Das für Computerobjektoperationen verwendete Domänendienstkonto muss sich nicht in derselben Domäne wie die WorkSpaces Pools-Computerobjekte befinden. 

Geben Sie beim Erstellen der Directory-Konfiguration ein Servicekonto mit den entsprechenden Berechtigungen zum Verwalten von Computerobjekten in der Active Directory-Domäne an, in der sich die Dateiserver, Anwendungen, Computerobjekte und andere Netzwerkressourcen befinden.

Ihre Active Directory-Endbenutzerkonten müssen über die „Authentifizierungsgenehmigung“-Berechtigungen für Folgendes verfügen:
+ WorkSpaces Poolt Computerobjekte
+ Domänencontroller für die Domäne

Weitere Informationen finden Sie unter [Gewähren von Berechtigungen zum Erstellen und Verwalten von Active Directory-Computerobjekten](#active-directory-permissions).

# Weitere Infos
<a name="active-directory-more-info"></a>

Weitere Informationen zu diesem Thema finden Sie in folgenden Ressourcen:
+ [Microsoft Active Directory](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_microsoft_ad.html) — Informationen zur Verwendung von Directory Service.