配置 WorkSpaces 瘦客户端 - Amazon WorkSpaces
步骤 1:启用对 Amazon WorkSpaces 瘦客户端的访问控制步骤 2:为瘦客户端访问配置对端口的入站和出站访问步骤 3:配置组策略和安全策略设置以允许用户登录

配置 WorkSpaces 瘦客户端

大多数 WorkSpaces 捆绑包都支持 Amazon WorkSpaces 瘦客户端访问。有关支持 Web 浏览器访问的 WorkSpaces 的列表,请参阅 客户端访问、Web Access 和用户体验中的“哪些 Amazon WorkSpaces 捆绑包支持瘦客户端访问?”。

步骤 1:启用对 Amazon WorkSpaces 瘦客户端的访问控制

您可以使用基于用户代理的访问控制在目录级别控制瘦客户端对 WorkSpaces 的访问。对于要允许用户通过瘦客户端访问客户端访问的包含 WorkSpaces 的每个目录,请执行以下步骤。

启用对 WorkSpaces 的瘦客户端访问

  1. 打开 WorkSpaces 控制台,网址为:https://console.aws.amazon.com/workspaces/v2/home

  2. 在导航窗格中,选择目录

  3. 目录 ID 列下,选择要为其启用瘦客户端访问的目录的目录 ID。

  4. 目录详细信息页面上,向下滚动到其他平台部分,然后选择编辑

  5. 选择 WorkSpaces 瘦客户端

  6. 选择 Save

步骤 2:为瘦客户端访问配置对端口的入站和出站访问

Amazon WorkSpaces 瘦客户端访问要求对某些端口进行入站和出站访问。有关更多信息,请参阅 用于 Web Access 的端口

步骤 3:配置组策略和安全策略设置以允许用户登录

Amazon WorkSpaces 依靠特定登录屏幕配置来让用户能够从瘦客户端访问客户端成功登录。

要使瘦客户端访问用户能够登录其 WorkSpaces,您必须配置“组策略”设置和三个“安全策略”设置。如果未正确配置这些设置,用户可能会在尝试登录其 WorkSpaces 时遇到长时间登录或黑屏。要配置这些设置,请使用以下过程。

您可以使用组策略对象 (GPO) 应用设置来管理 Windows WorkSpaces 或属于 Windows WorkSpaces 目录的用户。建议您分别为 WorkSpace 计算机对象和 WorkSpace 用户对象创建一个组织单位。

有关使用 Active Directory 管理工具处理 GPO 的信息,请参阅《AWS Directory Service 管理指南》中的安装 Active Directory 管理工具

支持 WorkSpaces 登录代理切换用户

在大多数情况下,当某个用户尝试登录 WorkSpace 时,用户名字段将预填充该用户的名称。但是,如果管理员建立了到 WorkSpace 的 RDP 连接来执行维护任务,则用户名字段将改为填充管理员的名称。

要避免此问题,请禁用 Hide entry points for Fast User Switching (隐藏入口点以快速进行用户切换) 组策略设置。禁用此设置时,WorkSpaces 登录代理可以使用 Switch User (切换用户) 按钮来使用正确名称填充用户名字段。

  1. 打开组策略管理工具 (gpmc.msc),然后导航到用于 WorkSpaces 的目录的域或域控制器级别的 GPO 并选择该 GPO。(如果您的域中安装了 WorkSpaces 组策略管理模板,则可以为 WorkSpaces 计算机账户使用 WorkSpaces GPO。)

  2. 在主菜单中依次选择操作编辑

  3. 在组策略管理编辑器中,依次选择计算机配置策略管理模板系统登录

  4. 打开 Hide entry points for Fast User Switching (隐藏入口点以快速进行用户切换) 设置。

  5. Hide entry points for Fast User Switching (隐藏入口点以快速进行用户切换) 对话框中,选择 Disabled (已禁用),然后选择 OK (确定)

隐藏上次登录的用户名

默认情况下,显示上次登录的用户列表,而不是 Switch User (切换用户) 按钮。根据 WorkSpace 的配置,该列表可能不会显示 Other User (其他用户) 磁贴。在发生此情况时,如果填充的用户名不正确,WorkSpaces 登录代理将无法使用正确名称填充该字段。

要避免此问题,请启用安全策略设置交互式登录: 不显示上次登录)交互式登录: 不显示上次用户名(具体取决于您使用的 Windows 版本)。

  1. 打开组策略管理工具 (gpmc.msc),然后导航到用于 WorkSpaces 的目录的域或域控制器级别的 GPO 并选择该 GPO。(如果您的域中安装了 WorkSpaces 组策略管理模板,则可以为 WorkSpaces 计算机账户使用 WorkSpaces GPO。)

  2. 在主菜单中依次选择操作编辑

  3. 在组策略管理编辑器中,选择计算机配置Windows 设置安全设置本地策略安全选项

  4. 打开以下设置之一:

    • 对于 Windows 7 — 交互式登录:不显示上次登录

    • 对于 Windows 10 — 交互式登录:不显示上次的用户名

  5. 在设置的 Properties (属性) 对话框中,选择 Enabled (已启用),然后选择 OK (确定)

要求在用户可以登录之前按 CTRL+ALT+DEL

对于 WorkSpaces 瘦客户端访问,您需要要求用户按 CTRL+ALT+DEL 才能登录。要求用户在登录之前按 CTRL+ALT+DEL 可确保用户在输入密码时使用受信任的路径。

  1. 打开组策略管理工具 (gpmc.msc),然后导航到用于 WorkSpaces 的目录的域或域控制器级别的 GPO 并选择该 GPO。(如果您的域中安装了 WorkSpaces 组策略管理模板,则可以为 WorkSpaces 计算机账户使用 WorkSpaces GPO。)

  2. 在主菜单中依次选择操作编辑

  3. 在组策略管理编辑器中,选择计算机配置Windows 设置安全设置本地策略安全选项

  4. 打开交互式登录: 不需要 CTRL+ALT+DEL 设置。

  5. 本地安全设置选项卡上,选择禁用,然后选择确定

锁定会话时显示域和用户信息

WorkSpaces 登录代理可查找用户的名称和域。配置此设置后,锁定屏幕将显示用户的全名(如果在 Active Directory 中指定)、用户的域名和用户名。

  1. 打开组策略管理工具 (gpmc.msc),然后导航到用于 WorkSpaces 的目录的域或域控制器级别的 GPO 并选择该 GPO。(如果您的域中安装了 WorkSpaces 组策略管理模板,则可以为 WorkSpaces 计算机账户使用 WorkSpaces GPO。)

  2. 在主菜单中依次选择操作编辑

  3. 在组策略管理编辑器中,选择计算机配置Windows 设置安全设置本地策略安全选项

  4. 打开交互式登录: 当会话被锁定时显示用户信息设置。

  5. 本地安全设置选项卡上,选择用户显示名称、域和用户名,然后选择确定

应用组策略和安全策略设置更改

组策略和安全策略设置更改将在 WorkSpace 的下一次组策略更新后和重新启动 WorkSpace 会话后生效。要在之前的过程中应用组策略和安全策略更改,请执行以下操作之一:

  • 重启 WorkSpace(在 Amazon WorkSpaces 控制台中,选择WorkSpace,然后依次选择操作重启 WorkSpaces)。

  • 从管理命令提示符下,输入 gpupdate /force