本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# WorkSpaces Pools 活动目录管理
设置和使用带 WorkSpaces 池的 Active Directory 涉及以下管理任务。
**Topics**
+ [授予创建和管理 Active Directory 计算机对象的权限](#active-directory-permissions)
+ [查找组织单位的可分辨名称](#active-directory-oudn)
+ [在自定义映像上授予本地管理员权限](#active-directory-image-builder-local-admin)
+ [在用户空闲时锁定流式传输会话](#active-directory-session-lock)
+ [将 WorkSpaces 池配置为使用域信任](#active-directory-domain-trusts)
## 授予创建和管理 Active Directory 计算机对象的权限
要允许 WorkSpaces 池执行 Active Directory 计算机对象操作,您需要一个具有足够权限的帐户。最佳实践是使用仅具有所需最低权限的账户。最低的 Active Directory 组织单位 (OU) 权限如下所示:
+ 创建计算机对象
+ 更改密码
+ 重置密码
+ 编写描述
在设置权限之前,需要先完成以下任务:
+ 获取对已加入域的计算机或 EC2 实例的访问权限。
+ 安装 Active Directory 用户和计算机 MMC 管理单元。有关更多信息,请参阅 Microsoft 文档中的[安装或删除适用于 Windows 7 的远程服务器管理工具](https://technet.microsoft.com/en-us/library/ee449483.aspx)。
+ 以拥有适当权限的域用户身份登录并修改 OU 安全设置。
+ 创建或标识要向其委派权限的用户、服务账户或组。
**设置最低权限**
1. 在域中或域控制器上打开 **Active Directory Users and Computers** (Active Directory 用户和计算机)。
1. 在左侧导航窗格中,选择要在其中提供域加入权限的第一个 OU,打开上下文 (右键单击) 菜单,然后选择 **Delegate Control** (委派控制)。
1. 在**控制委派向导**页面上,依次选择**下一步**和**添加**。
1. 对于**选择用户、计算机或组**,选择先前创建的用户、服务账户或组,然后选择**确定**。
1. 在**要委派的任务**页面上,选择**创建要委派的自定义任务**,然后选择**下一步**。
1. 依次选择**只是在这个文件夹中的下列对象**和**计算机对象**。
1. 依次选择**在这个文件夹中创建所选对象**和**下一步**。
1. 对于**权限**,选择**读取**、**写入**、**更改密码**、**重置密码**,然后选择**下一步**。
1. 在**完成控制委派向导**页面上,验证信息并选择**完成**。
1. 对于其他需要这些权限的用户 OUs ,请重复步骤 2-9。
如果您将权限委派给组,则创建具有强密码的用户或服务账户,并将该账户添加到组中。然后,此帐户将有足够的权限将您 WorkSpaces 连接到该目录。在创建 P WorkSpaces ools 目录配置时使用此帐户。
## 查找组织单位的可分辨名称
在 WorkSpaces 池中注册 Active Directory 域时,必须提供组织单位 (OU) 的可分辨名称。为此目的创建一个 OU。默认 “计算机” 容器不是 OU,不能由 WorkSpaces 池使用。以下步骤演示如何获得此名称。
**注意**
可分辨名称必须以 **OU=** 开头,否则不能用于计算机对象。
需要先执行以下操作,然后才能完成此过程:
+ 获取对已加入域的计算机或 EC2 实例的访问权限。
+ 安装 Active Directory 用户和计算机 MMC 管理单元。有关更多信息,请参阅 Microsoft 文档中的[安装或删除适用于 Windows 7 的远程服务器管理工具](https://technet.microsoft.com/en-us/library/ee449483.aspx)。
+ 以拥有适当权限的域用户身份登录并读取 OU 安全属性。
**查找 OU 的可分辨名称**
1. 在域中或域控制器上打开 **Active Directory Users and Computers** (Active Directory 用户和计算机)。
1. 在**查看**下,确保**高级功能**已启用。
1. 在左侧导航窗格中,选择要用于 WorkSpaces 计算机对象的第一个 OU,打开上下文(右键单击)菜单,然后选择 “**属性**”。
1. 选择**属性编辑器**。
1. 在**属性**下,对于 **distinguishedName**,选择 **查看**。
1. 对于 **Value** (值),选择可分辨名称,打开上下文 (右键单击) 菜单,然后选择 **Copy** (复制)。
## 在自定义映像上授予本地管理员权限
默认情况下,Active Directory 域用户对于映像不具有本地管理员权限。您可以通过使用目录中的组策略首选项,或通过在映像上使用本地管理员账户来手动授予这些权限。向域用户授予本地管理员权限允许该用户在池中安装应用程序并在 WorkSpaces 池中创建自定义映像。
**Topics**
+ [使用组策略首选项](#group-policy)
+ [使用上的本地管理员组 WorkSpace 创建映像](#manual-procedure)
### 使用组策略首选项
可以使用组策略首选项为 Active Directory 用户或组以及指定 OU 中的所有计算机对象授予本地管理员权限。Active Directory 用户或组必须存在才能向其授予本地管理员权限。要使用组策略首选项,需要先执行以下操作:
+ 获取对已加入域的计算机或 EC2 实例的访问权限。
+ 安装组策略管理控制台(GPMC) MMC 管理单元。有关更多信息,请参阅 Microsoft 文档中的[安装或删除适用于 Windows 7 的远程服务器管理工具](https://technet.microsoft.com/en-us/library/ee449483.aspx)。
+ 以具有创建组策略对象权限的域用户身份登录 (GPOs)。链接 GPOs 到相应的 OUs。
**使用组策略首选项授予本地管理员权限**
1. 在您的目录中或域控制器上,以管理员身份打开命令提示符,键入 `gpmc.msc`,然后按 Enter。
1. 在左侧控制台树中,选择将在其中创建新 GPO 的 OU,或使用现有 GPO,然后执行以下任一操作:
+ 通过打开上下文 (右键单击) 菜单并选择**在此域中创建 GPO,在此处链接**来创建新的 GPO。对于 **Name**,为该 GPO 提供一个描述性名称。
+ 选择现有 GPO。
1. 打开 GPO 的上下文菜单并选择**编辑**。
1. 在控制台树中,依次选择 **Computer Configuration** (计算机配置)、**Preferences** (首选项)、**Windows Settings** (Windows 设置)、**Control Panel Settings** (控制面板设置) 和 **Local Users and Groups** (本地用户和组)。
1. 选择 **Local Users and Groups** (本地用户和组),打开上下文菜单,选择 **New** (新建)、**Local Group** (本地组)。
1. 对于 **Action**,选择 **Update**。
1. 对于 **Group name**,选择 **Administrators (built-in)**。
1. 在**成员**下,选择**添加…** 并指定 Active Directory 用户账户或组,以便为其分配流实例的本地管理员权限。对于 **Action**,选择 **Add to this group**,然后选择 **OK**。
1. 要将此 GPO 应用于其他 GPO OUs,请选择其他 OU,打开快捷菜单并选择 “**链接现有 GP** O”。
1. 使用在步骤 2 中指定的新的或现有的 GPO 名称,滚动查找 GPO,然后选择 **OK** (确定)。
1. 对于其他应具有此首选项的内容 OUs ,请重复步骤 9 和 10。
1. 选择 **OK** (确定) 以关闭 **New Local Group Properties** (新建本地组属性) 对话框。
1. 再次选择 **OK** (确定) 以关闭 GPMC。
要将新首选项应用于 GPO,必须停止并重新启动正在运行的任何映像生成器或实例集。对于在步骤 8 中指定的 Active Directory 用户和组,将自动为它们授予对 GPO 链接到的 OU 中的映像生成器和实例集的本地管理员权限。
### 使用上的本地管理员组 WorkSpace 创建映像
要授予 Active Directory 用户或组对映像的本地管理员权限,您可以手动将这些用户或组添加到映像上的本地管理员组中。
Active Directory 用户或组必须存在才能向其授予本地管理员权限。
1. Connect 连接到 WorkSpace 你用来构建镜像的。 WorkSpace 必须正在运行且已加入域。
1. 依次选择**开始**、**管理工具**,然后单击**计算机管理**。
1. 在左侧导航窗格中,选择**本地用户和组**并打开**组**文件夹。
1. 打开**管理员**组,选择**添加...**。
1. 选择要向其分配本地管理员权限的所有 Active Directory 用户或组,然后选择**确定**。再次选择**确定**以关闭**管理员属性**窗口。
1. 关闭“计算机管理”。
1. 要以 Active Directory 用户身份登录并测试该用户是否拥有本地**管理员权限 WorkSpaces,请选择管理员命令**、**切换用户**,然后输入相关用户的凭据。
## 在用户空闲时锁定流式传输会话
WorkSpaces 池依赖于您在 GPMC 中配置的设置,以便在用户闲置指定时间后锁定直播会话。要使用 GPMC,需要先执行以下操作:
+ 获取对已加入域的计算机或 EC2 实例的访问权限。
+ 安装 GPMC。有关更多信息,请参阅 Microsoft 文档中的[安装或删除适用于 Windows 7 的远程服务器管理工具](https://technet.microsoft.com/en-us/library/ee449483.aspx)。
+ 以具有创建权限的域用户身份登录 GPOs。链接 GPOs 到相应的 OUs。
**在用户空闲时自动锁定流实例**
1. 在您的目录中或域控制器上,以管理员身份打开命令提示符,键入 `gpmc.msc`,然后按 Enter。
1. 在左侧控制台树中,选择将在其中创建新 GPO 的 OU,或使用现有 GPO,然后执行以下任一操作:
+ 通过打开上下文 (右键单击) 菜单并选择**在此域中创建 GPO,在此处链接**来创建新的 GPO。对于 **Name**,为该 GPO 提供一个描述性名称。
+ 选择现有 GPO。
1. 打开 GPO 的上下文菜单并选择**编辑**。
1. 在**用户配置**下,依次展开**策略**、**管理模板**、**控制面板**,然后选择 **个性化**。
1. 双击**启用屏幕保护程序**。
1. 在**启用屏幕保护程序**策略设置中,选择**已启用**。
1. 选择**应用**,然后选择**确定**。
1. 双击**强制使用特定的屏幕保护程序**。
1. 在**强制使用特定的屏幕保护程序**策略设置中,选择**已启用**。
1. 在 **可执行的屏幕保护程序的名称**下,输入 **scrnsave.scr**。启用此设置后,系统将在用户桌面上显示黑屏保护程序。
1. 选择**应用**,然后选择**确定**。
1. 双击**密码保护屏幕保护程序**。
1. 在**密码保护屏幕保护程序**策略设置中,选择**已启用**。
1. 选择**应用**,然后选择**确定**。
1. 双击**屏幕保护程序超时**。
1. 在**屏幕保护程序超时**策略设置中,选择**已启用**。
1. 对于**秒**,请指定在应用屏幕保护程序之前,用户必须处于空闲状态的时间长度。要将空闲时间设置为 10 分钟,请指定 600 秒。
1. 选择**应用**,然后选择**确定**。
1. 在控制台树中的**用户配置**下,依次展开**策略**、**管理模板**、**系统**,然后选择 **Ctrl\$1Alt\$1Del 选项**。
1. 双击**删除“锁定计算机”**。
1. 在**删除“锁定计算机”**策略设置中,选择**已禁用**。
1. 选择**应用**,然后选择**确定**。
## 将 WorkSpaces 池配置为使用域信任
WorkSpaces 池支持 Active Directory 域环境,在这种环境中,文件服务器、应用程序和计算机对象等网络资源位于一个域中,用户对象位于另一个域中。用于计算机对象操作的域服务帐户不必与 WorkSpaces 池计算机对象位于同一个域中。
创建目录配置时,请指定在 Active Directory 域 (文件服务器、应用程序、计算机对象和其他网络资源驻留的位置) 中具有管理计算机对象的相应权限的服务账户。
对于以下项目,您的最终用户 Active Directory 账户必须拥有“允许身份验证”权限:
+ WorkSpaces 池计算机对象
+ 域的域控制器
有关更多信息,请参阅 [授予创建和管理 Active Directory 计算机对象的权限](#active-directory-permissions)。