本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 在映像建置器上授予本機管理員權限
<a name="active-directory-image-builder-local-admin"></a>

根據預設，Active Directory 網域使用者在映像建置器執行個體上沒有本機管理員權限。您可以透過在您的目錄中使用群組政策喜好設定，或是在映像建置器上使用本機管理員帳戶來授予這些權限。將本機管理員權限授予網域使用者，可讓該使用者在 WorkSpaces 應用程式映像建置器上安裝應用程式，並在其中建立映像。

**Topics**
+ [使用群組政策喜好設定](group-policy.md)
+ [在映像建置器上使用本機管理員群組](manual-procedure.md)

# 使用群組政策喜好設定
<a name="group-policy"></a>

您可以使用群組政策喜好設定，將本機管理員權限授予 Active Directory 使用者或群組，以及指定 OU 中所有的電腦物件。您希望授予本機管理員許可的 Active Directory 使用者或群組必須已存在。若要使用群組政策喜好設定，您需要先執行以下作業：
+ 取得已加入您網域的電腦或 EC2 執行個體存取。
+ 安裝群組政策管理主控台 (GPMC) MMC 嵌入式管理單元。如需詳細資訊，請參閱 Microsoft 文件中的 [Installing or Removing Remote Server Administration Tools for Windows 7](https://technet.microsoft.com/en-us/library/ee449483.aspx)。
+ 以具備建立群組政策物件 (GPO) 許可的網域使用者登入。將 GPO 連結到適當的 OU。

**使用群組政策喜好設定授予本機管理員許可**

1. 在您的目錄或網域控制站上，以管理員身分開啟命令提示，輸入 `gpmc.msc`，然後按 ENTER。

1. 在左側主控台樹狀目錄中，選取您將建立新 GPO 或使用現有 GPO 的 OU，然後執行下列其中一項作業：
   + 透過開啟內容 (以滑鼠右鍵按一下) 選單並選擇 **Create a GPO in this domain, Link it here (在此網域建立 GPO 並連結到此處)** 來建立新的 GPO。針對 **Name (名稱)**，提供此 GPO 的描述名稱。
   + 選取現有的 GPO。

1. 開啟 GPO 的內容選單，然後選擇 **Edit (編輯)**。

1. 在主控台樹狀目錄中，選擇 **Computer Configuration (電腦組態)**、**Preferences (喜好設定)**、**Windows Settings (Windows 設定)**、**Control Panel Settings (控制台設定)**，以及 **Local Users and Groups (本機使用者及群組)**。

1. 選取 **Local Users and Groups (本機使用者及群組)**，開啟內容選單，然後選擇 **New (新增)**、**Local Group (本機群組)**。

1. 針對 **Action (動作)**，選擇 **Update (更新)**。

1. 針對 **Group name (群組名稱)**，選擇 **Administrators (built-in) (管理員 (內建))**。

1. 在**成員**下方，選擇**新增...**，然後指定要指派串流執行個體上本機管理員權限的 Active Directory 使用者或群組。針對 **Action (動作)**，選擇 **Add to this group (新增到此群組)**，然後選擇 **OK (確定)**。

1. 若要將此 GPO 套用到其他 OU，請選取其他 OU、開啟內容選單，然後選擇 **Link an Existing GPO (連結現有的 GPO)**。

1. 使用新的或您在步驟 2 中指定的現有 GPO 名稱，捲動並尋找該 GPO，然後選擇 **OK (確定)**。

1. 針對其他應擁有此喜好設定的 OU 重複步驟 9 和 10。

1. 選擇 **OK (確定)** 來關閉 **New Local Group Properties (新增本機群組屬性)** 對話方塊。

1. 再次選擇 **OK (確定)** 來關閉 GPMC。

若要將新的喜好設定套用到 GPO，您必須停止並重新啟動任何執行中的映像建置器或機群。您在步驟 8 指定的 Active Directory 使用者和群組會自動獲得 GPO 所連結 OU 中映像建置器及機群上的本機管理員權限。

# 在映像建置器上使用本機管理員群組
<a name="manual-procedure"></a>

若要在您的映像建置器上授予 Active Directory 使用者或群組本機管理員權限，您可以在映像建置器上手動將這些使用者或群組新增到本機管理員群組。使用具備這些權限映像所建立的映像建置器會維持相同的權限。

要授予本機管理員權限的 Active Directory 使用者或群組必須已存在。

**在映像建置器上將 Active Directory 使用者或群組新增到本機管理員群組**

1. 在 https：//[https://console.aws.amazon.com/appstream2](https://console.aws.amazon.com/appstream2) 開啟 WorkSpaces 應用程式主控台。

1. 在管理員模式中連線到映像建置器。映像建置器必須已在執行中且已加入網域。如需詳細資訊，請參閱[教學：設定 Active Directory](active-directory-directory-setup.md)。

1. 選擇 **Start (開始)**、**Administrative Tools (管理工具)**，然後按兩下 **Computer Management (電腦管理)**。

1. 在左側的導覽窗格中，選擇 **Local Users and Groups (本機使用者及群組)**，然後開啟 **Groups (群組)**。

1. 開啟 **Administrators (管理員)** 群組，然後選擇 **Add... (新增...)**。

1. 選取要指派本機管理員權限的所有 Active Directory 使用者或群組，然後選擇 **OK (確定)**。再次選擇 **OK (確定)** 來關閉 **Administrator Properties (管理屬性)** 對話方塊。

1. 關閉電腦管理。

1. 若要以 Active Directory 使用者登入並測試該使用者是否具備映像建置器上的本機管理員權限，請選擇 **Admin Commands (管理員命令)**、**Switch user (切換使用者)**，然後輸入相關使用者的登入資料。