Antes de empezar a usar Active Directory con WorkSpaces grupos

Antes de usar dominios de Microsoft Active Directory con WorkSpaces grupos, tenga en cuenta los siguientes requisitos y consideraciones.

Entorno de dominio de Active Directory

• Debe tener un dominio de Microsoft Active Directory al que unir su WorkSpaces. Si no tiene un dominio de Active Directory o quiere usar su entorno local de Active Directory, consulte Servicios de dominio de Active Directory en la AWS nube: implementación de referencia de inicio rápido.

• Debe tener una cuenta de servicio de dominio con permisos para crear y administrar objetos informáticos en el dominio que desee utilizar con los WorkSpaces grupos. Para obtener información, consulte How to Create a Domain Account in Active Directory en la documentación de Microsoft.

  Al asociar este dominio de Active Directory a los WorkSpaces grupos, proporcione el nombre y la contraseña de la cuenta de servicio. WorkSpaces Pools usa esta cuenta para crear y administrar los objetos de computadora del directorio. Para obtener más información, consulte Concesión de permisos para crear y administrar objetos de equipo de Active Directory.

• Al registrar su dominio de Active Directory en WorkSpaces Pools, debe proporcionar un nombre distintivo de la unidad organizativa (OU). Cree una OU con este fin. El contenedor de ordenadores predeterminado no es una unidad organizativa y los WorkSpaces grupos no pueden usarlo. Para obtener más información, consulte Obtención del nombre distinguido de la unidad organizativa.

• Los directorios que planea usar con los WorkSpaces grupos deben estar accesibles a través de sus nombres de dominio completos (FQDNs) a través de la nube privada virtual (VPC) en la que WorkSpaces se lanza. Para obtener más información, consulte Active Directory and Active Directory Domain Services Port Requirements en la documentación de Microsoft.

Unidos a un dominio en grupos WorkSpaces WorkSpaces

SAMLSe requiere una federación de usuarios basada en la versión 2.0 para la transmisión de aplicaciones desde un dominio unido. WorkSpaces Además, debe usar una imagen de Windows que permita unirse a un dominio de Active Directory. Todas las imágenes públicas publicadas a partir del 24 de julio de 2017 incluido admiten la incorporación a un dominio de Active Directory.

Configuración de la política de grupo

Compruebe la configuración de las siguientes opciones de política de grupo. Si es necesario, actualice la configuración tal como se describe en esta sección para que no impida que los WorkSpaces grupos autentiquen e inicien sesión a los usuarios de su dominio. De lo contrario, cuando los usuarios intenten iniciar sesión, es posible que WorkSpaces el inicio de sesión no se realice correctamente. En su lugar, aparece un mensaje en el que se notifica a los usuarios que «se ha producido un error desconocido».

• Configuración del equipo > Plantillas administrativas > Componentes de Windows > Opciones de inicio de sesión de Windows > Desactivar o activar el software Secuencia de atención segura: establézcala en Habilitada para los servicios.

• Configuración del equipo > Plantillas administrativas > Sistema > Inicio de sesión > Excluir proveedores de credenciales: asegúrese de que no aparezca CLSID lo siguiente: e7c1bab5-4b49-4e64-a966-8d99686f8c7c

• Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies > Security Options > Interactive Logon > Interactive Logon: Message text for users attempting to log on: establezca esta opción en No definido.

• Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies > Security Options > Interactive Logon > Interactive Logon: Message title for users attempting to log on: establezca esta opción en No definido.

Autenticación con tarjeta inteligente

WorkSpaces Pools admite el uso de contraseñas de dominio de Active Directory o tarjetas inteligentes como las tarjetas inteligentes Common Access Card (CAC) y Personal Identity Verification (PIV) para iniciar sesión en Windows en Pools. WorkSpaces WorkSpaces Para obtener información sobre cómo configurar el entorno de Active Directory para permitir el inicio de sesión con tarjetas inteligentes mediante entidades de certificación de terceros (CAs), consulte las Directrices para habilitar el inicio de sesión con tarjetas inteligentes con entidades de certificación de terceros en la documentación de Microsoft.