配置 WorkSpaces 瘦客户机 - Amazon WorkSpaces
步骤 1:启用对您的 Amazon WorkSpaces 瘦客户机的访问控制步骤 2:为瘦客户机访问配置对端口的入站和出站访问步骤 3:配置组策略和安全策略设置以允许用户登录

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

配置 WorkSpaces 瘦客户机

大多数 WorkSpaces 捆绑包都支持 Amazon WorkSpaces 瘦客户端访问权限。有关支持 Web 浏览器访问 WorkSpaces 的列表,请参阅 “哪些 Amazon WorkSpaces 捆绑包支持瘦客户端访问?” 客户端访问、Web Access 和用户体验中的“哪些 Amazon WorkSpaces 捆绑包支持 Web Access?”。

步骤 1:启用对您的 Amazon WorkSpaces 瘦客户机的访问控制

您可以使用基于用户代理的访问控制 WorkSpaces 在目录级别控制对您的瘦客户机访问权限。对于包含您 WorkSpaces 希望允许用户通过瘦客户机访问客户端访问的每个目录,请执行以下步骤。

启用瘦客户机访问您的 WorkSpaces

  1. https://console.aws.amazon.com/workspaces/v2/ home 中打开 WorkSpaces 主机。

  2. 在导航窗格中,选择目录

  3. 在 “目录 ID” 列下,选择要为其启用瘦客户机访问的目录的目录 ID。

  4. 目录详细信息页面上,向下滚动到其他平台部分,然后选择编辑

  5. 选择 “WorkSpaces 瘦客户机”。

  6. 选择保存

步骤 2:为瘦客户机访问配置对端口的入站和出站访问

Amazon WorkSpaces 瘦客户端访问需要某些端口的入站和出站访问权限。有关更多信息,请参阅 用于 Web Access 的端口

步骤 3:配置组策略和安全策略设置以允许用户登录

Amazon WorkSpaces 依靠特定的登录屏幕配置来使用户能够成功地从其瘦客户机访问客户端登录。

要让 Thin Client Access 用户能够登录他们的 WorkSpaces,必须配置一个组策略设置和三个安全策略设置。如果这些设置配置不正确,则用户在尝试登录时可能会遇到登录时间过长或黑屏的情况 WorkSpaces。要配置这些设置,请使用以下过程。

你可以使用组策略对象 (GPOs) 来应用设置来管理 Windows WorkSpaces 或属于你的 Windows WorkSpaces 目录的用户。我们建议您为 WorkSpaces 计算机对象创建一个组织单位,为 WorkSpaces 用户对象创建一个组织单位。

有关使用 Active Directory 管理工具的信息 GPOs,请参阅《管理指南》中的 “安装 Active Directory AWS Directory Service 管理工具”。

使 WorkSpaces 登录代理能够切换用户

在大多数情况下,当用户尝试登录时 WorkSpace,用户名字段会预先填充该用户的名称。但是,如果管理员与建立了 RDP 连接 WorkSpace 以执行维护任务,则用户名字段将改为填充管理员的姓名。

要避免此问题,请禁用 Hide entry points for Fast User Switching (隐藏入口点以快速进行用户切换) 组策略设置。禁用此设置后, WorkSpaces 登录代理可以使用 “切换用户” 按钮在用户名字段中填入正确的名称。

  1. 打开组策略管理工具 (gpmc.msc),在您使用的目录的域或域控制器级别导航并选择一个 GPO。 WorkSpaces(如果您的域中安装了 WorkSpaces 组策略管理模板,则可以将 WorkSpaces GPO 用于您的 WorkSpaces 计算机帐户。)

  2. 在主菜单中依次选择操作编辑

  3. 在组策略管理编辑器中,依次选择计算机配置策略管理模板系统登录

  4. 打开 Hide entry points for Fast User Switching (隐藏入口点以快速进行用户切换) 设置。

  5. Hide entry points for Fast User Switching (隐藏入口点以快速进行用户切换) 对话框中,选择 Disabled (已禁用),然后选择 OK (确定)

隐藏上次登录的用户名

默认情况下,显示上次登录的用户列表,而不是 Switch User (切换用户) 按钮。根据的配置 WorkSpace,列表可能不会显示 “其他用户” 图块。出现这种情况时,如果预先填充的用户名不正确, WorkSpaces 登录代理将无法使用正确的名称填充该字段。

要避免此问题,请启用安全策略设置交互式登录: 不显示上次登录)交互式登录: 不显示上次用户名(具体取决于您使用的 Windows 版本)。

  1. 打开组策略管理工具 (gpmc.msc),在您使用的目录的域或域控制器级别导航并选择一个 GPO。 WorkSpaces(如果您的域中安装了 WorkSpaces 组策略管理模板,则可以将 WorkSpaces GPO 用于您的 WorkSpaces 计算机帐户。)

  2. 在主菜单中依次选择操作编辑

  3. 在组策略管理编辑器中,选择计算机配置Windows 设置安全设置本地策略安全选项

  4. 打开以下设置之一:

    • 对于 Windows 7 — 交互式登录:不显示上次登录

    • 对于 Windows 10 — 交互式登录:不显示上次的用户名

  5. 在设置的 Properties (属性) 对话框中,选择 Enabled (已启用),然后选择 OK (确定)

要求在用户可以登录之前按 CTRL+ALT+DEL

对于 WorkSpaces 瘦客户机访问,您需要要求用户在登录之前按 CTRL+ALT+DEL。要求用户在登录之前按 CTRL+ALT+DEL 可确保用户在输入密码时使用受信任的路径。

  1. 打开组策略管理工具 (gpmc.msc),在您使用的目录的域或域控制器级别导航并选择一个 GPO。 WorkSpaces(如果您的域中安装了 WorkSpaces 组策略管理模板,则可以将 WorkSpaces GPO 用于您的 WorkSpaces 计算机帐户。)

  2. 在主菜单中依次选择操作编辑

  3. 在组策略管理编辑器中,选择计算机配置Windows 设置安全设置本地策略安全选项

  4. 打开交互式登录: 不需要 CTRL+ALT+DEL 设置。

  5. 本地安全设置选项卡上,选择禁用,然后选择确定

锁定会话时显示域和用户信息

WorkSpaces 登录代理会查找用户的名字和域。配置此设置后,锁定屏幕将显示用户的全名(如果在 Active Directory 中指定)、用户的域名和用户名。

  1. 打开组策略管理工具 (gpmc.msc),在您使用的目录的域或域控制器级别导航并选择一个 GPO。 WorkSpaces(如果您的域中安装了 WorkSpaces 组策略管理模板,则可以将 WorkSpaces GPO 用于您的 WorkSpaces 计算机帐户。)

  2. 在主菜单中依次选择操作编辑

  3. 在组策略管理编辑器中,选择计算机配置Windows 设置安全设置本地策略安全选项

  4. 打开交互式登录: 当会话被锁定时显示用户信息设置。

  5. 本地安全设置选项卡上,选择用户显示名称、域和用户名,然后选择确定

应用组策略和安全策略设置更改

组策略和安全策略设置更改将在下一次组策略更新之后 WorkSpace 以及会 WorkSpace 话重新启动后生效。要在之前的过程中应用组策略和安全策略更改,请执行以下操作之一:

  • 重启 WorkSpace (在 Amazon WorkSpaces 控制台中,选择 WorkSpace,然后选择操作重启 WorkSpaces)。

  • 从管理命令提示符下,输入 gpupdate /force