Entorno de dominio de Active Directory Escritorios de WorkSpaces vinculados a un dominio en WorkSpaces Pools Configuración de la política de grupo Autenticación con tarjeta inteligente

Antes de empezar a usar Active Directory con WorkSpaces Pools

Antes de utilizar los dominios de Microsoft Active Directory con WorkSpaces Pools, tenga en cuenta los siguientes requisitos y aspectos.

Contenido

Entorno de dominio de Active Directory
Escritorios de WorkSpaces vinculados a un dominio en WorkSpaces Pools
Configuración de la política de grupo
Autenticación con tarjeta inteligente

Entorno de dominio de Active Directory

Debe tener un dominio de Microsoft Active Directory al que vincular los escritorios de WorkSpaces. Si no tiene un dominio de Active Directory o quiere usar su entorno de Active Directory en las instalaciones, consulte Active Directory Domain Services on the AWS Cloud: Quick Start Reference Deployment.
Debe tener una cuenta de servicio de dominio con permisos para crear y administrar objetos de equipo en el dominio que va a utilizar con WorkSpaces Pools. Para obtener información, consulte How to Create a Domain Account in Active Directory en la documentación de Microsoft.

Cuando asocie este dominio de Active Directory a WorkSpaces Pools, proporcione el nombre y la contraseña de la cuenta de servicio. WorkSpaces Pools utiliza esta cuenta para crear y administrar objetos de equipo en el directorio. Para obtener más información, consulte Concesión de permisos para crear y administrar objetos de equipo de Active Directory.
Cuando registre el dominio de Active Directory en WorkSpaces Pools, deberá proporcionar el nombre distintivo de una unidad organizativa (OU). Cree una OU con este fin. WorkSpaces Pools no puede utilizar el contenedor predeterminado del equipo porque no es una OU. Para obtener más información, consulte Obtención del nombre distinguido de la unidad organizativa.
Debe poder obtenerse acceso a los directorios que se van a utilizar con WorkSpaces Pools mediante sus nombres de dominio completos (FQDN) a través de la nube privada virtual (VPC) en la que se inician los escritorios de WorkSpaces. Para obtener más información, consulte Active Directory and Active Directory Domain Services Port Requirements en la documentación de Microsoft.

Escritorios de WorkSpaces vinculados a un dominio en WorkSpaces Pools

Se necesita una federación de usuarios basada en SAML 2.0 para la transmisión de aplicaciones desde escritorios de WorkSpaces vinculados al dominio. Además, debe utilizar una imagen de Windows que permita vincular a un dominio de Active Directory. Todas las imágenes públicas publicadas a partir del 24 de julio de 2017 incluido admiten la incorporación a un dominio de Active Directory.

Configuración de la política de grupo

Compruebe la configuración de las siguientes opciones de política de grupo. Si es necesario, actualice la configuración tal y como se indica en esta sección de modo que no bloquee el registro ni la autenticación de WorkSpaces Pools en los usuarios del dominio. De lo contrario, cuando los usuarios intenten iniciar sesión en WorkSpaces, es posible que no se realice correctamente el inicio de sesión. En su lugar, aparece un mensaje en el que se notifica a los usuarios que «se ha producido un error desconocido».

Configuración del equipo > Plantillas administrativas > Componentes de Windows > Opciones de inicio de sesión de Windows > Deshabilitar o habilitar la secuencia de atención segura: establezca en Habilitado para la opción Servicios.
Computer Configuration > Administrative Templates > System > Logon > Exclude credential providers: compruebe que el CLSID siguiente no figure en la lista: e7c1bab5-4b49-4e64-a966-8d99686f8c7c
Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies > Security Options > Interactive Logon > Interactive Logon: Message text for users attempting to log on: establezca esta opción en No definido.
Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies > Security Options > Interactive Logon > Interactive Logon: Message title for users attempting to log on: establezca esta opción en No definido.

Autenticación con tarjeta inteligente

WorkSpaces Pools admite el uso de contraseñas de dominio de Active Directory o tarjetas inteligentes como las tarjetas inteligentes Common Access Card (CAC) y Personal Identity Verification (PIV) para iniciar sesión con Windows en WorkSpaces en los grupos de WorkSpaces. Para obtener información acerca de cómo configurar el entorno de Active Directory para permitir el inicio de sesión con tarjetas inteligentes mediante entidades de certificación (CA) de terceros, consulte las Guidelines for enabling smart card logon with third-party certification authorities en la documentación de Microsoft.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Dominios de Active Directory

Autenticación basada en certificados