为 WorkSpaces 个人版启用和配置 WorkSpaces Web Access - Amazon WorkSpaces
步骤 1:启用对 WorkSpaces 的 Web 访问步骤 2:为 Web 访问配置对端口的入站和出站访问步骤 3:配置组策略和安全策略设置以允许用户登录

为 WorkSpaces 个人版启用和配置 WorkSpaces Web Access

大多数 WorkSpaces 捆绑包都支持 Amazon WorkSpaces Web 访问。有关支持 Web 浏览器访问的 WorkSpaces 的列表,请参阅 客户端访问、Web Access 和用户体验中的“哪些 Amazon WorkSpaces 捆绑包支持 Web Access?”。

注意

  • 从 2025 年 11 月 7 日起,Amazon WorkSpaces PCoIP Web Access 将不再向新客户开放。在此日期之后,该功能将仅接收重要的功能和安全更新。有关更多信息,请参阅 Amazon WorkSpaces 用户指南

  • 所有提供 DCV WorkSpaces 的区域都支持配合使用 Web Access 与 Windows 和 Ubuntu WorkSpaces DCV。Amazon Linux WorkSpaces DCV 仅在 AWS GovCloud(美国西部)提供。

  • 我们强烈建议将 Web Access 与 DCV WorkSpaces 配合使用,以获得最佳流质量和用户体验。以下是将 Web Access 与 PCoIP WorkSpaces 配合使用时的限制:

    • AWS GovCloud (US) Regions、亚太地区(孟买)、非洲(开普敦)、欧洲地区(法兰克福)和以色列(特拉维夫)不支持配合使用 Web Access 与 PCoIP

    • 只有 Windows WorkSpaces 支持 Web Access 与 PCoIP 的配合使用,Amazon Linux 或 Ubuntu WorkSpaces 不支持。

    • Web 访问不适用于某些使用 PCoIP 协议的 Windows 10 WorkSpaces。如果您的 PCoIP WorkSpaces 由 Windows Server 2019 或 2022 提供支持,则 Web Access 不可用。

    • 配合使用 Web Access 与 PCoIP 在功能上受到限制。它支持视频输出、音频输出、键盘和鼠标。它不支持许多功能,包括视频输入、音频输入、剪贴板重定向和网络摄像头。

  • 如果您在 VPN 上使用 macOS 并使用 Firefox 网络浏览器,则该网络浏览器将不支持使用 WorkSpaces Web Access 流式传输 PCoIP WorkSpaces。这是由于 Firefox 在实施 WebRTC 协议时存在限制。

重要

自 2020 年 10 月 1 日起,客户将无法再使用 Amazon WorkSpaces Web Access 客户端连接到 Windows 7 自定义 WorkSpaces 或 Windows 7 自带许可 (BYOL) WorkSpaces。

步骤 1:启用对 WorkSpaces 的 Web 访问

您可以在目录级别控制对 WorkSpaces 的 Web 访问。对于要允许用户通过 Web 访问客户端访问的包含 WorkSpaces 的每个目录,请执行以下步骤。

启用对 WorkSpaces 的 Web 访问

  1. 打开 WorkSpaces 控制台,网址为:https://console.aws.amazon.com/workspaces/v2/home

  2. 在导航窗格中,选择目录

  3. 目录 ID 列下,选择要为其启用 Web 访问功能的目录的目录 ID。

  4. 目录详细信息页面上,向下滚动到其他平台部分,然后选择编辑

  5. 选择 Web Access (Web 访问)

  6. 选择 Save

注意

启用 Web 访问后,重新启动 WorkSpace 以使更改生效。

步骤 2:为 Web 访问配置对端口的入站和出站访问

Amazon WorkSpaces Web 访问要求对某些端口进行入站和出站访问。有关更多信息,请参阅 用于 Web Access 的端口

步骤 3:配置组策略和安全策略设置以允许用户登录

Amazon WorkSpaces 依靠特定登录屏幕配置来让用户能够从 Web Access 客户端成功登录。

要使 Web 访问用户能够登录其 WorkSpaces,您必须配置“Group Policy (组策略)”设置和三个“Security Policy (安全策略)”设置。如果未正确配置这些设置,用户可能会在尝试登录其 WorkSpaces 时遇到长时间登录或黑屏。要配置这些设置,请使用以下过程。

您可以使用组策略对象 (GPO) 应用设置来管理 Windows WorkSpaces 或属于 Windows WorkSpaces 目录的用户。建议您分别为 WorkSpace 计算机对象和 WorkSpace 用户对象创建一个组织单位。

有关使用 Active Directory 管理工具处理 GPO 的信息,请参阅《AWS Directory Service 管理指南》中的安装 Active Directory 管理工具

支持 WorkSpaces 登录代理切换用户

在大多数情况下,当某个用户尝试登录 WorkSpace 时,用户名字段将预填充该用户的名称。但是,如果管理员建立了到 WorkSpace 的 RDP 连接来执行维护任务,则用户名字段将改为填充管理员的名称。

要避免此问题,请禁用 Hide entry points for Fast User Switching (隐藏入口点以快速进行用户切换) 组策略设置。禁用此设置时,WorkSpaces 登录代理可以使用 Switch User (切换用户) 按钮来使用正确名称填充用户名字段。

  1. 打开组策略管理工具 (gpmc.msc),然后导航到用于 WorkSpaces 的目录的域或域控制器级别的 GPO 并选择该 GPO。(如果您的域中安装了 WorkSpaces 组策略管理模板,则可以为 WorkSpaces 计算机账户使用 WorkSpaces GPO。)

  2. 在主菜单中依次选择操作编辑

  3. 在组策略管理编辑器中,依次选择计算机配置策略管理模板系统登录

  4. 打开 Hide entry points for Fast User Switching (隐藏入口点以快速进行用户切换) 设置。

  5. Hide entry points for Fast User Switching (隐藏入口点以快速进行用户切换) 对话框中,选择 Disabled (已禁用),然后选择 OK (确定)

隐藏上次登录的用户名

默认情况下,显示上次登录的用户列表,而不是 Switch User (切换用户) 按钮。根据 WorkSpace 的配置,该列表可能不会显示 Other User (其他用户) 磁贴。在发生此情况时,如果填充的用户名不正确,WorkSpaces 登录代理将无法使用正确名称填充该字段。

要避免此问题,请启用安全策略设置交互式登录: 不显示上次登录)交互式登录: 不显示上次用户名(具体取决于您使用的 Windows 版本)。

  1. 打开组策略管理工具 (gpmc.msc),然后导航到用于 WorkSpaces 的目录的域或域控制器级别的 GPO 并选择该 GPO。(如果您的域中安装了 WorkSpaces 组策略管理模板,则可以为 WorkSpaces 计算机账户使用 WorkSpaces GPO。)

  2. 在主菜单中依次选择操作编辑

  3. 在组策略管理编辑器中,选择计算机配置Windows 设置安全设置本地策略安全选项

  4. 打开以下设置之一:

    • 对于 Windows 7 — 交互式登录:不显示上次登录

    • 对于 Windows 10 — 交互式登录:不显示上次的用户名

  5. 在设置的 Properties (属性) 对话框中,选择 Enabled (已启用),然后选择 OK (确定)

要求在用户可以登录之前按 CTRL+ALT+DEL

对于 WorkSpaces Web Access,您需要要求用户按 CTRL+ALT+DEL 才能登录。要求用户在登录之前按 CTRL+ALT+DEL 可确保用户在输入密码时使用受信任的路径。

  1. 打开组策略管理工具 (gpmc.msc),然后导航到用于 WorkSpaces 的目录的域或域控制器级别的 GPO 并选择该 GPO。(如果您的域中安装了 WorkSpaces 组策略管理模板,则可以为 WorkSpaces 计算机账户使用 WorkSpaces GPO。)

  2. 在主菜单中依次选择操作编辑

  3. 在组策略管理编辑器中,选择计算机配置Windows 设置安全设置本地策略安全选项

  4. 打开交互式登录: 不需要 CTRL+ALT+DEL 设置。

  5. 本地安全设置选项卡上,选择禁用,然后选择确定

锁定会话时显示域和用户信息

WorkSpaces 登录代理可查找用户的名称和域。配置此设置后,锁定屏幕将显示用户的全名(如果在 Active Directory 中指定)、用户的域名和用户名。

  1. 打开组策略管理工具 (gpmc.msc),然后导航到用于 WorkSpaces 的目录的域或域控制器级别的 GPO 并选择该 GPO。(如果您的域中安装了 WorkSpaces 组策略管理模板,则可以为 WorkSpaces 计算机账户使用 WorkSpaces GPO。)

  2. 在主菜单中依次选择操作编辑

  3. 在组策略管理编辑器中,选择计算机配置Windows 设置安全设置本地策略安全选项

  4. 打开交互式登录: 当会话被锁定时显示用户信息设置。

  5. 本地安全设置选项卡上,选择用户显示名称、域和用户名,然后选择确定

应用组策略和安全策略设置更改

组策略和安全策略设置更改将在 WorkSpace 的下一次组策略更新后和重新启动 WorkSpace 会话后生效。要在之前的过程中应用组策略和安全策略更改,请执行以下操作之一:

  • 重启 WorkSpace(在 Amazon WorkSpaces 控制台中,选择WorkSpace,然后依次选择操作重启 WorkSpaces)。

  • 从管理命令提示符下,输入 gpupdate /force