本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 在映像生成器上授予本地管理员权限
<a name="active-directory-image-builder-local-admin"></a>

默认情况下，Active Directory 域用户对于映像生成器实例不具有本地管理员权限。可以通过使用目录中的组策略首选项，或通过在映像生成器上使用本地管理员账户手动授予这些权限。向域用户授予本地管理员权限允许该用户在应用程序映像生成器上安装应用程序并在 WorkSpaces 应用程序映像生成器中创建映像。

**Topics**
+ [使用组策略首选项](group-policy.md)
+ [在映像生成器上使用本地管理员组](manual-procedure.md)

# 使用组策略首选项
<a name="group-policy"></a>

可以使用组策略首选项为 Active Directory 用户或组以及指定 OU 中的所有计算机对象授予本地管理员权限。Active Directory 用户或组必须存在才能向其授予本地管理员权限。要使用组策略首选项，需要先执行以下操作：
+ 获取对已加入域的计算机或 EC2 实例的访问权限。
+ 安装组策略管理控制台(GPMC) MMC 管理单元。有关更多信息，请参阅 Microsoft 文档中的[安装或删除适用于 Windows 7 的远程服务器管理工具](https://technet.microsoft.com/en-us/library/ee449483.aspx)。
+ 以具有创建组策略对象权限的域用户身份登录 (GPOs)。链接 GPOs 到相应的 OUs。

**使用组策略首选项授予本地管理员权限**

1. 在您的目录中或域控制器上，以管理员身份打开命令提示符，键入 `gpmc.msc`，然后按 Enter。

1. 在左侧控制台树中，选择将在其中创建新 GPO 的 OU，或使用现有 GPO，然后执行以下任一操作：
   + 通过打开上下文 (右键单击) 菜单并选择**在此域中创建 GPO，在此处链接**来创建新的 GPO。对于 **Name**，为该 GPO 提供一个描述性名称。
   + 选择现有 GPO。

1. 打开 GPO 的上下文菜单并选择**编辑**。

1. 在控制台树中，依次选择 **Computer Configuration** (计算机配置)、**Preferences** (首选项)、**Windows Settings** (Windows 设置)、**Control Panel Settings** (控制面板设置) 和 **Local Users and Groups** (本地用户和组)。

1. 选择 **Local Users and Groups** (本地用户和组)，打开上下文菜单，选择 **New** (新建)、**Local Group** (本地组)。

1. 对于 **Action**，选择 **Update**。

1. 对于 **Group name**，选择 **Administrators (built-in)**。

1. 在**成员**下，选择**添加…** 并指定 Active Directory 用户账户或组，以便为其分配流实例的本地管理员权限。对于 **Action**，选择 **Add to this group**，然后选择 **OK**。

1. 要将此 GPO 应用于其他 GPO OUs，请选择其他 OU，打开快捷菜单并选择 “**链接现有 GP** O”。

1. 使用在步骤 2 中指定的新的或现有的 GPO 名称，滚动查找 GPO，然后选择 **OK** (确定)。

1. 对于其他应具有此首选项的内容 OUs ，请重复步骤 9 和 10。

1. 选择 **OK** (确定) 以关闭 **New Local Group Properties** (新建本地组属性) 对话框。

1. 再次选择 **OK** (确定) 以关闭 GPMC。

要将新首选项应用于 GPO，必须停止并重新启动正在运行的任何映像生成器或实例集。对于在步骤 8 中指定的 Active Directory 用户和组，将自动为它们授予对 GPO 链接到的 OU 中的映像生成器和实例集的本地管理员权限。

# 在映像生成器上使用本地管理员组
<a name="manual-procedure"></a>

要授予 Active Directory 用户或组对映像生成器的本地管理员权限，可以手动将这些用户或组添加到映像生成器上的本地管理员组中。通过具有这些权限的映像创建的映像生成器将保持相同的权限。

Active Directory 用户或组必须存在才能向其授予本地管理员权限。

**将 Active Directory 用户或组添加到映像生成器上的本地管理员组中**

1. 在 [https://console.aws.amazon.com/appst WorkSpaces ](https://console.aws.amazon.com/appstream2) ream2 上打开应用程序控制台。

1. 在管理员模式下连接到映像生成器。映像生成器必须运行且已加入域。有关更多信息，请参阅 [教程：设置 Active Directory](active-directory-directory-setup.md)。

1. 依次选择**开始**、**管理工具**，然后单击**计算机管理**。

1. 在左侧导航窗格中，选择**本地用户和组**并打开**组**文件夹。

1. 打开**管理员**组，选择**添加...**。

1. 选择要向其分配本地管理员权限的所有 Active Directory 用户或组，然后选择**确定**。再次选择**确定**以关闭**管理员属性**窗口。

1. 关闭“计算机管理”。

1. 要以 Active Directory 用户身份登录并测试该用户在映像生成器上是否具有本地管理员权限，请选择 **Admin Commands** (管理命令)、**Switch user** (切换用户)，然后输入相关用户的凭证。