Gewähren von Berechtigungen zum Erstellen und Verwalten von Active Directory-Computerobjekten Den spezifischen Namen der Organisationseinheit finden Erteilen von lokalen Administratorrechten für benutzerdefinierte Images Sperren der Streaming-Sitzung, wenn der Benutzer inaktiv ist Konfiguration von WorkSpaces Pools für die Verwendung von Domain-Vertrauensstellungen

WorkSpaces Pools Active Directory-Verwaltung

Das Einrichten und Verwenden von Active Directory mit WorkSpaces Pools umfasst die folgenden Verwaltungsaufgaben.

Aufgaben

Gewähren von Berechtigungen zum Erstellen und Verwalten von Active Directory-Computerobjekten
Den spezifischen Namen der Organisationseinheit finden
Erteilen von lokalen Administratorrechten für benutzerdefinierte Images
Sperren der Streaming-Sitzung, wenn der Benutzer inaktiv ist
Konfiguration von WorkSpaces Pools für die Verwendung von Domain-Vertrauensstellungen

Gewähren von Berechtigungen zum Erstellen und Verwalten von Active Directory-Computerobjekten

Damit WorkSpaces Pools Active Directory-Computerobjektoperationen ausführen können, benötigen Sie ein Konto mit ausreichenden Berechtigungen. Als bewährte Methode empfehlen wir Ihnen, ein Konto zu verwenden, das nur die mindestens erforderlichen Berechtigungen hat. Die Mindestberechtigungen für eine Active Directory-Organisationseinheit (OU) sind:

Ein Computerobjekt erstellen
Passwort ändern
Passwort zurücksetzen
Beschreibung schreiben

Bevor Sie Berechtigungen einrichten, müssen Sie die folgenden Schritte ausführen:

Verschaffen Sie sich Zugriff auf einen Computer oder eine EC2 Instanz, die zu Ihrer Domäne gehört.
Installieren Sie das MMC Snap-In „Active Directory-Benutzer und -Computer“. Weitere Informationen dazu finden Sie beim Microsoft Support unter Installation oder Entfernen von Administrationswerkzeugen für Windows 7 in der Microsoft Dokumentation.
Melden Sie sich als Domänen-Benutzer mit den entsprechenden Berechtigungen an, um die Sicherheitseinstellungen der OU zu ändern.
Erstellen oder identifizieren Sie den Benutzer, das Service-Konto oder die Gruppe, für die Berechtigungen delegiert werden sollen.

Einrichten von Mindest-Berechtigungen

Öffnen Sie Active Directory-Benutzer und -Computer in Ihrer Domäne oder auf Ihrem Domänencontroller.
Wählen Sie im linken Navigationsbereich die erste Organisationseinheit aus, für die Berechtigungen zur Verbindung mit der Domäne bereitgestellt werden sollen, öffnen Sie das Kontextmenü (rechte Maustaste) und wählen Sie Kontrolle delegieren aus.
Klicken Sie auf der Seite Assistent für die Delegation der Kontrolle Weiter, Hinzufügen.
Für Benutzer, Computer oder Gruppen auswählen wählen Sie den zuvor erstellten Benutzer, das Servicekonto oder die Gruppe aus und klicken dann auf OK.
Wählen Sie auf der Seite Zu delegierende Aufgabe die Option Eine zu delegierende benutzerdefinierte Aufgabe erstellen aus und klicken Sie auf Weiter.
Wählen Sie Nur die folgenden Objekte in dem Ordner, Computerobjekte.
Wählen Sie Ausgewählte Objekte in diesem Ordner erstellen, Weiter.
Wählen Sie für Berechtigungen Lesen, Schreiben, Kennwort ändern, Passwort zurücksetzen, Weiter.
Überprüfen Sie auf der Seite Den Assistenten für die Delegation der Kontrolle abschließen die Informationen und wählen Sie Fertigstellen.
Wiederholen Sie die Schritte 2 bis 9 für alle weiterenOUs, für die diese Berechtigungen erforderlich sind.

Wenn Sie Berechtigungen an eine Gruppe delegieren, erstellen Sie ein Benutzer- oder Service-Konto mit einem sicheren Kennwort und fügen dieses Konto der Gruppe hinzu. Dieses Konto verfügt dann über ausreichende Rechte, um Sie mit dem Verzeichnis WorkSpaces zu verbinden. Verwenden Sie dieses Konto, wenn Sie Ihre WorkSpaces Pools-Verzeichniskonfiguration erstellen.

Den spezifischen Namen der Organisationseinheit finden

Wenn Sie Ihre Active Directory-Domäne bei WorkSpaces Pools registrieren, müssen Sie einen eindeutigen Namen für die Organisationseinheit (OU) angeben. Erstellen Sie eine OU für diesen Zweck. Der Standardcontainer für Computer ist keine Organisationseinheit und kann nicht von WorkSpaces Pools verwendet werden. Das folgende Verfahren zeigt, wie dieser Name ermittelt wird.

Anmerkung

Der spezifische Name muss mit OU= beginnen oder nicht für Computerobjekte verwendet werden.

Bevor Sie dieses Verfahren abschließen, müssen Sie die folgenden Schritte ausführen:

Verschaffen Sie sich Zugriff auf einen Computer oder eine EC2 Instanz, die zu Ihrer Domäne gehört.
Installieren Sie das MMC Snap-In „Active Directory-Benutzer und -Computer“. Weitere Informationen dazu finden Sie beim Microsoft Support unter Installation oder Entfernen von Administrationswerkzeugen für Windows 7 in der Microsoft Dokumentation.
Melden Sie sich als Domänen-Benutzer mit den entsprechenden Berechtigungen an, um die Sicherheitseigenschaften der OU zu lesen.

So finden Sie den spezifischen Namen einer OU

Öffnen Sie Active Directory-Benutzer und -Computer in Ihrer Domäne oder auf Ihrem Domänencontroller.
Stellen Sie unter Ansicht sicher, dass Erweiterte Funktionen aktiviert ist.
Wählen Sie im linken Navigationsbereich die erste Organisationseinheit aus, die für WorkSpaces Computerobjekte verwendet werden soll, öffnen Sie das Kontextmenü (mit der rechten Maustaste), und wählen Sie dann Eigenschaften aus.
Wählen Sie Attribut-Editor.
Wählen Sie unter Attribute für distinguishedNamedie Option Ansicht aus.
Wählen Sie für Wert den spezifischen Namen aus. Öffnen Sie das Kontextmenü und wählen Sie Kopieren aus.

Erteilen von lokalen Administratorrechten für benutzerdefinierte Images

Standardmäßig haben Active Directory-Domänenbenutzer keine lokalen Administratorrechte für Images. Sie können diese Rechte mithilfe der Gruppenrichtlinieneinstellungen in Ihrem Verzeichnis oder manuell gewähren, indem Sie das lokale Administratorkonto für ein Bild verwenden. Wenn Sie einem Domänenbenutzer lokale Administratorrechte gewähren, kann dieser Benutzer Anwendungen in Pools installieren und benutzerdefinierte Images in WorkSpaces Pools erstellen.

Inhalt

Verwenden von Gruppenrichtlinienpräferenzen
Verwenden Sie die lokale Administratorgruppe auf dem WorkSpace , um Images zu erstellen

Verwenden von Gruppenrichtlinienpräferenzen

Sie können Gruppenrichtlinienpräferenzen verwenden, um Active Directory-Benutzern oder -Gruppen lokale Administratorrechte sowie allen Computerobjekten in der angegebenen Organisationseinheit zuzuweisen. Die Active Directory-Benutzer oder -Gruppen, denen Sie lokale Administratorberechtigungen erteilen möchten, müssen bereits vorhanden sein. Um Gruppenrichtlinienpräferenzen zu verwenden, müssen Sie zunächst die folgenden Aufgaben ausführen:

Erlangen Sie Zugriff auf einen Computer oder eine EC2 Instanz, die zu Ihrer Domäne gehört.
Installieren Sie das MMC Snap-In für die Gruppenrichtlinien-Verwaltungskonsole (GPMC). Weitere Informationen dazu finden Sie beim Microsoft Support unter Installation oder Entfernen von Administrationswerkzeugen für Windows 7 in der Microsoft Dokumentation.
Melden Sie sich als Domänenbenutzer mit Berechtigungen zum Erstellen von Gruppenrichtlinienobjekten an (GPOs). Link GPOs zum entsprechendenOUs.

So verwenden Sie Gruppenrichtlinienpräferenzen zum Gewähren lokaler Administratorberechtigungen

Öffnen Sie in Ihrem Verzeichnis oder auf einem Domänencontroller die Eingabeaufforderung als Administrator, geben Sie den Text eingpmc.msc, und drücken Sie dann die EingabetasteENTER.
Wählen Sie in der linken Konsolenstruktur die Organisationseinheit aus, in der Sie eine neue erstellen GPO oder eine vorhandene verwenden möchtenGPO, und führen Sie dann einen der folgenden Schritte aus:
- Erstellen Sie eine neue, GPO indem Sie das Kontextmenü (Rechtsklick) öffnen und „GPOIn dieser Domäne erstellen“ und „Hier verknüpfen“ wählen. Geben Sie unter Name einen aussagekräftigen Namen dafür GPO ein.
- Wählen Sie einen vorhandenen GPO aus.
Öffnen Sie das Kontextmenü für GPO und wählen Sie Bearbeiten.
Wählen Sie in der Konsolenstruktur auf der linken Seite Computerkonfiguration, Einstellungen, Windows-Einstellungen, Systemsteuerungseinstellungen und Lokale Benutzer und Gruppen aus.
Wählen Sie Lokale Benutzer und Gruppen aus, öffnen Sie das Kontextmenü (rechte Maustaste) und klicken Sie auf Neu und Lokale Gruppe.
Wählen Sie für Aktion Aktualisieren.
Für Gruppenname wählen Sie Administratoren (built-in).
Wählen Sie unter Mitglieder Hinzufügen..., und geben Sie die Active-Directory-Benutzer oder -Gruppen an, denen lokale Administratorrechte auf der Streaming-Instance zugewiesen werden sollen. Für Aktion, wählen Sie Dieser Gruppe hinzufügen, und wählen dann OK.
GPOUm dies auf andere anzuwendenOUs, wählen Sie die zusätzliche Organisationseinheit aus, öffnen Sie das Kontextmenü und wählen Sie „Mit vorhandener verknüpfen“GPO.
Verwenden Sie den neuen oder vorhandenen GPO Namen, den Sie in Schritt 2 angegeben haben, und suchen Sie nach dem NamenGPO, und wählen Sie dann OK aus.
Wiederholen Sie die Schritte 9 und 10 für weitereOUs, für die diese Einstellung gelten sollte.
Klicken Sie auf OK, um das Dialogfeld Neue lokale Gruppeneigenschaften zu schließen.
Wählen Sie erneut OK, um den zu schließenGPMC.

Um die neue Einstellung auf die anzuwendenGPO, müssen Sie alle laufenden Image Builder oder Flotten beenden und neu starten. Den Active Directory-Benutzern und -Gruppen, die Sie in Schritt 8 angegeben haben, werden automatisch lokale Administratorrechte für die Image Builders und Flotten in der Organisationseinheit gewährt, mit der sie GPO verknüpft sind.

Verwenden Sie die lokale Administratorgruppe auf dem WorkSpace , um Images zu erstellen

Um Active Directory-Benutzern oder -Gruppen lokale Administratorrechte für ein Image zu gewähren, können Sie diese Benutzer oder Gruppen manuell zur lokalen Administratorgruppe auf dem Image hinzufügen.

Die Active Directory-Benutzer oder -Gruppen, denen lokale Administratorberechtigungen erteilt werden solle, müssen bereits vorhanden sein.

Connect zu dem her, mit dem WorkSpace Sie Images erstellen. Der WorkSpace muss laufen und mit der Domäne verbunden sein.
Wählen Sie Start, Verwaltung und doppelklicken Sie auf Computerverwaltung.
Wählen Sie im linken Navigationsbereich Lokale Benutzer und Gruppen und öffnen Sie den Ordner Gruppen.
Öffnen Sie die Gruppe Administratoren und wählen Sie Hinzufügen....
Wählen Sie alle Active Directory-Benutzer oder -Gruppen, denen lokale Administratorberechtigungen zugewiesen werden sollen, und wählen Sie OK. Klicken Sie erneut auf OK, um das Dialogfeld Eigenschaften von Administrator zu schließen.
Schließen Sie die Computerverwaltung.
Um sich als Active Directory-Benutzer anzumelden und zu testen, ob dieser Benutzer über lokale Administratorrechte für verfügt WorkSpaces, wählen Sie Admin-Befehle, Benutzer wechseln und geben Sie dann die Anmeldeinformationen des entsprechenden Benutzers ein.

Sperren der Streaming-Sitzung, wenn der Benutzer inaktiv ist

WorkSpaces Pools basiert auf einer Einstellung, die Sie in der so konfigurierenGPMC, dass die Streaming-Sitzung gesperrt wird, nachdem Ihr Benutzer für eine bestimmte Zeit inaktiv war. Um den zu verwendenGPMC, müssen Sie zunächst Folgendes tun:

Verschaffen Sie sich Zugriff auf einen Computer oder eine EC2 Instanz, die mit Ihrer Domain verbunden ist.
Installieren Sie dieGPMC. Weitere Informationen dazu finden Sie beim Microsoft Support unter Installation oder Entfernen von Administrationswerkzeugen für Windows 7 in der Microsoft Dokumentation.
Melden Sie sich als Domänenbenutzer mit Erstellungsberechtigungen anGPOs. Link GPOs zum entsprechendenOUs.

Die Streaming-Instance automatisch sperren, wenn Ihr Benutzer inaktiv ist

Öffnen Sie in Ihrem Verzeichnis oder auf einem Domänencontroller die Eingabeaufforderung als Administrator, geben Sie den Text eingpmc.msc, und drücken Sie dann die EingabetasteENTER.
Wählen Sie in der linken Konsolenstruktur die Organisationseinheit aus, in der Sie eine neue erstellen GPO oder eine vorhandene verwenden möchtenGPO, und führen Sie dann einen der folgenden Schritte aus:
- Erstellen Sie eine neue, GPO indem Sie das Kontextmenü (Rechtsklick) öffnen und „GPOIn dieser Domäne erstellen“ und „Hier verknüpfen“ wählen. Geben Sie unter Name einen aussagekräftigen Namen dafür GPO ein.
- Wählen Sie einen vorhandenen GPO aus.
Öffnen Sie das Kontextmenü für GPO und wählen Sie Bearbeiten.
Erweitern Sie unter Benutzerkonfiguration die Optionen Richtlinien, Administrative Vorlagen, Systemsteuerung und klicken Sie dann auf Personalisierung.
Doppelklicken Sie auf Bildschirmschoner aktivieren.
Wählen Sie für die Richtlinieneinstellung Bildschirmschoner aktivieren die Option Aktiviert aus.
Wählen Sie Übernehmen und anschließend OK aus.
Doppelklicken Sie auf Bestimmten Bildschirmschoner erzwingen.
Wählen Sie für die Richtlinieneinstellung Bestimmten Bildschirmschoner erzwingen die Option Aktiviert aus.
Geben Sie unter Programmname des Bildschirmschoners den Namen scrnsave.scr ein. Wenn diese Einstellung aktiviert ist, zeigt das System einen schwarzen Bildschirmschoner auf dem Desktop des Benutzers an.
Wählen Sie Übernehmen und anschließend OK aus.
Doppelklicken Sie auf Bildschirmschoner Kennwortschutz für den Bildschirmschoner verwenden.
Wählen Sie für die Richtlinieneinstellung Kennwortschutz für den Bildschirmschoner verwenden die Option Aktiviert aus.
Wählen Sie Übernehmen und anschließend OK aus.
Doppelklicken Sie auf Zeitlimit für Bildschirmschoner.
Wählen Sie für die Richtlinieneinstellung Zeitlimit für Bildschirmschoner die Option Aktiviert aus.
Geben Sie im Feld Sekunden die Dauer ein, die der Benutzer inaktiv sein muss, bevor der Bildschirmschoner angewendet wird. Um den inaktiven Zeitraum auf 10 Minuten festzulegen, geben Sie 600 Sekunden ein.
Wählen Sie Übernehmen und anschließend OK aus.
Erweitern Sie in der Konsolenstruktur unter Benutzerkonfiguration die Optionen Richtlinien, Administrative Vorlagen, System und wählen Sie Strg+Alt+Entf-Optionen aus.
Doppelklicken Sie auf Sperren des Computers entfernen.
Wählen Sie in der Richtlinieneinstellung Sperren des Computers entfernen die Option Aktiviert aus.
Wählen Sie Übernehmen und anschließend OK aus.

Konfiguration von WorkSpaces Pools für die Verwendung von Domain-Vertrauensstellungen

WorkSpaces Pools unterstützt Active Directory-Domänenumgebungen, in denen sich Netzwerkressourcen wie Dateiserver, Anwendungen und Computerobjekte in einer Domäne und die Benutzerobjekte in einer anderen befinden. Das für Computerobjektoperationen verwendete Domänendienstkonto muss sich nicht in derselben Domäne wie die WorkSpaces Pools-Computerobjekte befinden.

Geben Sie beim Erstellen der Directory-Konfiguration ein Servicekonto mit den entsprechenden Berechtigungen zum Verwalten von Computerobjekten in der Active Directory-Domäne an, in der sich die Dateiserver, Anwendungen, Computerobjekte und andere Netzwerkressourcen befinden.

Ihre Active Directory-Endbenutzerkonten müssen über die „Authentifizierungsgenehmigung“-Berechtigungen für Folgendes verfügen:

WorkSpaces Poolt Computerobjekte
Domänencontroller für die Domäne

Weitere Informationen finden Sie unter Gewähren von Berechtigungen zum Erstellen und Verwalten von Active Directory-Computerobjekten.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Kontoübergreifendes Teilen PCA aktivieren

Weitere Infos