AppStream 2.0 Administration d'Active Directory - Amazon AppStream 2.0
Octroi d'autorisations pour la création et la gestion d'objets ordinateur Active DirectoryRecherche du nom unique d’unité d’organisationAttribution des droits d'administrateur local sur les instances Image BuilderMise à jour du compte de service utilisé pour joindre le domaineVerrouillage de la session de streaming lorsque l'utilisateur est inactifModification de la configuration de répertoireSuppression d’une configuration de répertoireConfiguration de la AppStream version 2.0 pour utiliser les approbations de domaineGestion des objets informatiques AppStream 2.0 dans Active Directory

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AppStream 2.0 Administration d'Active Directory

La configuration et l'utilisation d'Active Directory avec la AppStream version 2.0 impliquent les tâches administratives suivantes.

Octroi d'autorisations pour la création et la gestion d'objets ordinateur Active Directory

Pour autoriser la AppStream version 2.0 à effectuer des opérations sur les objets informatiques Active Directory, vous devez disposer d'un compte doté d'autorisations suffisantes. La bonne pratique consiste à utiliser un compte disposant uniquement des privilèges minimum nécessaires. Les autorisations minimum de l'unité d'organisation (OU) Active Directory sont les suivantes :

  • Créer des objets ordinateur

  • Modifier le mot de passe

  • Réinitialiser le mot de passe

  • Écrire une description

Avant de configurer les autorisations, vous devez effectuer les tâches suivantes :

  • Accédez à un ordinateur ou à une EC2 instance joint à votre domaine.

  • Installez le MMC composant logiciel enfichable Utilisateurs et ordinateurs Active Directory. Pour plus d’informations, consultez Installing or Removing Remote Server Administration Tools for Windows 7 dans la documentation Microsoft.

  • Vous connecter en tant qu’utilisateur du domaine disposant des autorisations appropriées pour modifier les paramètres de sécurité des unités d’organisation.

  • Créer ou identifier l’utilisateur, le compte de service ou le groupe auquel déléguer des autorisations.

Pour configurer les autorisations minimum

  1. Lancez Utilisateurs et ordinateurs Active Directory dans votre domaine ou sur votre contrôleur de domaine.

  2. Dans le volet de navigation de gauche, sélectionnez la première unité d’organisation sur laquelle fournir les privilèges joints au domaine, ouvrez le menu contextuel (clic droit), puis choisissez Déléguer le contrôle.

  3. Sur la page Assistant Délégation de contrôle, choisissez Suivant, Ajouter.

  4. Pour Sélectionner des utilisateurs, des ordinateurs ou des groupes, sélectionnez l’utilisateur, le compte de service ou le groupe créé au préalable, puis choisissez OK.

  5. Sur la page Tâches à déléguer, sélectionnez Créer une tâche personnalisée à déléguer, puis choisissez Suivant.

  6. Choisissez Seulement des objets suivants dans le dossier, puis Objets ordinateur.

  7. Choisissez Créer les objets sélectionnés dans ce dossier, Suivant.

  8. Pour Autorisations, choisissez , Lire, Écrire, Modifier le mot de passe, Réinitialiser le mot de passe, Suivant.

  9. Sur la page Fin de l'Assistant Délégation de contrôle, vérifiez les informations et choisissez Terminer.

  10. Répétez les étapes 2 à 9 pour toutes les autres étapes OUs nécessitant ces autorisations.

Si vous déléguez des autorisations à un groupe, créez un utilisateur ou un compte de service avec un mot de passe fort et ajoutez ce compte au groupe. Ce compte aura alors les privilèges nécessaires pour connecter vos instances de streaming au répertoire. Utilisez ce compte lors de la création de la configuration de votre répertoire AppStream 2.0.

Recherche du nom unique d’unité d’organisation

Lorsque vous enregistrez votre domaine Active Directory avec AppStream 2.0, vous devez fournir un nom distinctif d'unité organisationnelle (UO). A cet effet, créez une unité d'organisation. Le conteneur Computers par défaut n'est pas une unité d'organisation et ne peut pas être utilisé dans la AppStream version 2.0. La procédure suivante montre comment obtenir ce nom.

Note

Le nom unique doit commencer par OU= pour pouvoir être utilisé pour des objets ordinateur.

Avant d’effectuer cette procédure, vous devez effectuer les tâches suivantes :

  • Accédez à un ordinateur ou à une EC2 instance joint à votre domaine.

  • Installez le MMC composant logiciel enfichable Utilisateurs et ordinateurs Active Directory. Pour plus d’informations, consultez Installing or Removing Remote Server Administration Tools for Windows 7 dans la documentation Microsoft.

  • Vous connecter en tant qu’utilisateur du domaine disposant des autorisations appropriées pour lire les propriétés de sécurité des unités d’organisation.

Pour trouver le nom unique d'une unité d'organisation

  1. Lancez Utilisateurs et ordinateurs Active Directory dans votre domaine ou sur votre contrôleur de domaine.

  2. Sous Afficher, assurez-vous que les Fonctions avancées soient activées.

  3. Dans le volet de navigation de gauche, sélectionnez la première unité d'organisation à utiliser pour les objets informatiques d'instance de streaming AppStream 2.0, ouvrez le menu contextuel (clic droit), puis choisissez Propriétés.

  4. Choisissez Éditeur d’attribut.

  5. Sous Attributs, pour distinguishedName, choisissez Afficher.

  6. Pour Valeur, sélectionnez le nom unique, ouvrez le menu contextuel et choisissez Copier.

Attribution des droits d'administrateur local sur les instances Image Builder

Par défaut, les utilisateurs de domaine Active Directory n'ont pas d'autorisations d'administrateur local sur les instances Image Builder. Vous pouvez attribuer ces droits à l’aide des préférences de stratégie de groupe de votre répertoire, ou manuellement à l’aide du compte d’administrateur local sur une instance Image Builder. L'octroi de droits d'administrateur local à un utilisateur de domaine permet à cet utilisateur d'installer des applications et de créer des images dans un générateur d'images AppStream 2.0.

Utilisation des préférences de stratégie de groupe

Les préférences de stratégie de groupe peuvent être utilisées pour accorder des droits d'administrateur local aux utilisateurs ou groupes Active Directory, et à tous les objets ordinateur de l'unité d'organisation spécifiée. Les utilisateurs ou groupes Active Directory auxquels vous voulez accorder des autorisations d'administrateur local doivent déjà exister. Pour utiliser les préférences de stratégie de groupe, vous devez tout d'abord effectuer les opérations suivantes :

  • Accédez à un ordinateur ou à une EC2 instance joint à votre domaine.

  • Installez le MMC composant logiciel enfichable de gestion des politiques de groupe (GPMC). Pour plus d’informations, consultez Installing or Removing Remote Server Administration Tools for Windows 7 dans la documentation Microsoft.

  • Connectez-vous en tant qu'utilisateur du domaine autorisé à créer des objets de stratégie de groupe (GPOs). Lien GPOs vers le lien appropriéOUs.

Pour utiliser les préférences de stratégie de groupe afin d'accorder les autorisations d'administrateur local

  1. Dans votre répertoire ou sur un contrôleur de domaine, ouvrez l'invite de commande en tant qu'administrateur, tapezgpmc.msc, puis appuyez surENTER.

  2. Dans l'arborescence de gauche de la console, sélectionnez l'unité d'organisation dans laquelle vous allez créer une nouvelle unité GPO ou utiliser une GPO unité existante, puis effectuez l'une des opérations suivantes :

    • Créez-en un nouveau GPO en ouvrant le menu contextuel (clic droit) et en choisissant Créer un GPO dans ce domaine, puis liez-le ici. Pour Nom, fournissez un nom descriptif pour celaGPO.

    • Sélectionnez un existantGPO.

  3. Ouvrez le menu contextuel duGPO, puis choisissez Modifier.

  4. Dans l'arborescence de la console, choisissez Configuration de l'ordinateur, Préférences, Paramètres Windows, Paramètres du Panneau de configuration et Utilisateurs et groupes locaux.

  5. Sélectionnez les Utilisateurs et groupes locaux sélectionnés, ouvrez le menu contextuel, puis choisissez Nouveau, Groupe local.

  6. Pour Actions, choisissez Mettre à jour.

  7. Pour Nom du groupe, choisissez Administrateurs (intégré).

  8. Sous Membres, choisissez Ajouter… et spécifiez les utilisateurs ou les groupes Active Directory auxquels affecter les droits d’administrateur local sur l’instance de streaming. Pour Action, choisissez Ajouter à ce groupe, puis choisissez OK.

  9. Pour l'appliquer GPO à d'autresOUs, sélectionnez l'unité d'organisation supplémentaire, ouvrez le menu contextuel et choisissez Lier une unité existante GPO.

  10. À l'aide du nouveau nom ou GPO du nom existant que vous avez spécifié à l'étape 2, faites défiler l'écran pour le trouverGPO, puis choisissez OK.

  11. Répétez les étapes 9 et 10 pour les autres OUs qui devraient bénéficier de cette préférence.

  12. Choisissez OK pour fermer la boîte de dialogue Nouvelles propriétés de groupe local.

  13. Cliquez à nouveau sur OK pour fermer leGPMC.

Pour appliquer la nouvelle préférence àGPO, vous devez arrêter et redémarrer tous les générateurs d'images ou flottes en cours d'exécution. Les utilisateurs et les groupes Active Directory que vous avez spécifiés à l'étape 8 reçoivent automatiquement des droits d'administrateur local sur les générateurs d'images et les flottes de l'unité d'organisation à laquelle ils GPO sont liés.

Utilisation du groupe d'administrateurs local sur l'instance Image Builder

Pour accorder aux utilisateurs ou groupes Active Directory les droits d'administrateur local sur votre instance Image Builder, vous pouvez ajouter manuellement ces utilisateurs ou groupes au groupe d'administrateurs local sur l'instance Image Builder. Les instances Image Builder qui sont créées à partir d’images ayant ces droits conservent les mêmes droits.

Les utilisateurs ou groupes Active Directory auxquels vous voulez accorder des droits d'administrateur local doivent déjà exister.

Pour ajouter des utilisateurs ou groupes Active Directory au groupe d'administrateurs local sur l'instance Image Builder

  1. Ouvrez la console AppStream 2.0 à l'adresse https://console.aws.amazon.com/appstream2.

  2. Connectez-vous à l'instance Image Builder en mode Administrateur. L’instance Image Builder doit être en cours d’exécution et jointe à un domaine. Pour plus d’informations, consultez Didacticiel : Installation d'Active Directory.

  3. Choisissez Démarrer, Outils d'administration, puis double-cliquez sur Gestion d'ordinateur.

  4. Dans le volet de navigation de gauche, choisissez Utilisateurs et groupes locaux et ouvrez le dossier Groupes.

  5. Ouvrez le groupe Administrateurs et choisissez Ajouter….

  6. Sélectionnez tous les utilisateurs ou groupes Active Directory auxquels octroyer les droits d'administrateur local et choisissez OK. Choisissez OK à nouveau pour fermer la fenêtre Propriétés de l'administrateur.

  7. Fermez Gestion de l'ordinateur.

  8. Pour vous connecter en tant qu'utilisateur Active Directory et tester si ce dernier possède les droits d'administrateur local sur l'instance Image Builder, choisissez Commandes d'administrateur, Changer d'utilisateur, puis entrez les informations d'identification de l'utilisateur approprié.

Mise à jour du compte de service utilisé pour joindre le domaine

Pour mettre à jour le compte de service que la AppStream version 2.0 utilise pour rejoindre le domaine, nous vous recommandons d'utiliser deux comptes de service distincts pour joindre les générateurs d'images et les flottes à votre domaine Active Directory. L'utilisation de deux comptes de service distincts garantit l'absence d'interruption de service lorsqu'un compte de service doit être mis à jour (par exemple, lorsqu'un mot de passe expire).

Pour mettre à jour un compte de service

  1. Créez un groupe Active Directory et déléguez les autorisations appropriées au groupe.

  2. Ajoutez vos comptes de service au nouveau groupe Active Directory.

  3. Si nécessaire, modifiez votre objet Directory Config AppStream 2.0 en saisissant les informations de connexion du nouveau compte de service.

Une fois le groupe Active Directory configuré avec le nouveau compte de service, toutes les nouvelles opérations d’instance de streaming utilisent le nouveau compte de service, tandis que les opérations d’instance de streaming en cours de traitement continuent d’utiliser l’ancien compte sans interruption.

La période de chevauchement du compte de service est très courte, tout au plus une journée. Elle dure jusqu'à ce que les opérations d'instance de streaming en cours de traitement se terminent. La période de chevauchement est nécessaire, car vous ne devez pas supprimer ou modifier le mot de passe de l’ancien compte de service au cours de cette période au risque de faire échouer les opérations en cours.

Verrouillage de la session de streaming lorsque l'utilisateur est inactif

AppStream La version 2.0 repose sur un paramètre que vous configurez dans le GPMC pour verrouiller la session de streaming une fois que votre utilisateur est inactif pendant une durée spécifiée. Pour utiliser leGPMC, vous devez d'abord effectuer les opérations suivantes :

Pour verrouiller automatiquement l'instance de streaming lorsque votre utilisateur est inactif

  1. Dans votre répertoire ou sur un contrôleur de domaine, ouvrez l'invite de commande en tant qu'administrateur, tapezgpmc.msc, puis appuyez surENTER.

  2. Dans l'arborescence de gauche de la console, sélectionnez l'unité d'organisation dans laquelle vous allez créer une nouvelle unité GPO ou utiliser une GPO unité existante, puis effectuez l'une des opérations suivantes :

    • Créez-en un nouveau GPO en ouvrant le menu contextuel (clic droit) et en choisissant Créer un GPO dans ce domaine, puis liez-le ici. Pour Nom, fournissez un nom descriptif pour celaGPO.

    • Sélectionnez un existantGPO.

  3. Ouvrez le menu contextuel duGPO, puis choisissez Modifier.

  4. Sous Configuration utilisateur, développez Stratégies, Modèles d’administration, Panneau de configuration, puis choisissez Personnalisation.

  5. Double-cliquez sur Activer l'écran de veille.

  6. Dans le paramètre de stratégie Activer l'écran de veille, choisissez Activé.

  7. Choisissez Appliquer, puis OK.

  8. Double-cliquez sur Forcer un écran de veille spécifique.

  9. Dans le paramètre de stratégie Forcer un écran de veille spécifique, choisissez Activé.

  10. Sous Nom du fichier exécutable de l’écran de veille, saisissez scrnsave.scr. Lorsque ce paramètre est activé, le système affiche un écran de veille noir sur le bureau de l'utilisateur.

  11. Choisissez Appliquer, puis OK.

  12. Double-cliquez sur Un mot de passe protège l’écran de veille.

  13. Dans le paramètre de stratégie Un mot de passe protège l’écran de veille, choisissez Activé.

  14. Choisissez Appliquer, puis OK.

  15. Double-cliquez sur Dépassement du délai d’expiration de l’écran de veille.

  16. Dans le paramètre de stratégie Dépassement du délai d’expiration de l’écran de veille, choisissez Activé.

  17. Pour Secondes, spécifiez la durée pendant laquelle les utilisateurs doivent être inactifs avant que l'écran de veille ne s'applique. Pour définir une durée d'inactivité de 10 minutes, spécifiez 600 secondes.

  18. Choisissez Appliquer, puis OK.

  19. Dans l’arborescence de la console, sous Configuration utilisateur, développez Stratégies, Modèles d’administration, Système, puis choisissez Options Ctrl+Alt+Suppr.

  20. Double-cliquez sur Supprimer le verrouillage de l'ordinateur.

  21. Dans le paramètre de stratégie Supprimer le verrouillage de l'ordinateur, choisissez Désactivé.

  22. Choisissez Appliquer, puis OK.

Modification de la configuration de répertoire

Une fois qu'une configuration d'annuaire AppStream 2.0 a été créée, vous pouvez la modifier pour ajouter, supprimer ou modifier des unités organisationnelles, mettre à jour le nom d'utilisateur du compte de service ou mettre à jour le mot de passe du compte de service.

Pour mettre à jour une configuration de répertoire

  1. Ouvrez la console AppStream 2.0 à l'adresse https://console.aws.amazon.com/appstream2.

  2. Dans le volet de navigation de gauche, choisissez Configurations de répertoire et sélectionnez la configuration de répertoire à modifier.

  3. Choisissez Actions, Modifier.

  4. Mettez à jour les champs à modifier. Pour en ajouter d'autresOUs, sélectionnez le signe plus (+) à côté du champ UO le plus haut. Pour supprimer un champ d’unité d’organisation, sélectionnez x en regard du champ.

    Note

    Au moins une unité d'organisation est obligatoire. OUsqui sont actuellement utilisés ne peuvent pas être supprimés.

  5. Pour enregistrer les modifications, choisissez Mettre à jour la configuration de répertoire.

  6. Les informations contenues dans l’onglet Détails doivent désormais être à jour et prendre en compte les modifications.

Les modifications apportées aux informations d’identification de connexion du compte de service n’affectent pas les opérations d’instance de streaming en cours de traitement. Les nouvelles opérations d’instance de streaming utilisent les informations d’identification mises à jour. Pour plus d’informations, consultez Mise à jour du compte de service utilisé pour joindre le domaine.

Suppression d’une configuration de répertoire

Vous pouvez supprimer une configuration de répertoire AppStream 2.0 qui n'est plus nécessaire. Les configurations de répertoire qui sont associées à une instance Image Builder ou à une flotte ne peuvent pas être supprimées.

Pour supprimer une configuration de répertoire

  1. Ouvrez la console AppStream 2.0 à l'adresse https://console.aws.amazon.com/appstream2.

  2. Dans le volet de navigation de gauche, choisissez Configurations de répertoire et sélectionnez la configuration de répertoire à supprimer.

  3. Sélectionnez Actions, Supprimer.

  4. Vérifiez le nom dans le message contextuel, puis choisissez Supprimer.

  5. Choisissez Mettre à jour la configuration de répertoire.

Configuration de la AppStream version 2.0 pour utiliser les approbations de domaine

AppStream La version 2.0 prend en charge les environnements de domaine Active Directory dans lesquels les ressources réseau telles que les serveurs de fichiers, les applications et les objets informatiques résident dans un domaine et les objets utilisateur dans un autre. Le compte de service de domaine utilisé pour les opérations sur les objets informatiques n'a pas besoin de se trouver dans le même domaine que les objets informatiques AppStream 2.0.

Lors de la création d’une configuration de répertoire, spécifiez un compte de service qui possède les autorisations appropriées pour gérer les objets ordinateur dans le domaine Active Directory où les serveurs de fichiers, les applications, les objets ordinateur et les autres ressources réseau résident.

Vos comptes Active Directory d'utilisateur final doivent avoir les autorisations « Autorisé à authentifier » pour les éléments suivants :

  • AppStream objets informatiques 2.0

  • Contrôleurs de domaine pour le domaine

Pour de plus amples informations, veuillez consulter Octroi d'autorisations pour la création et la gestion d'objets ordinateur Active Directory.

Gestion des objets informatiques AppStream 2.0 dans Active Directory

AppStream La version 2.0 ne supprime pas les objets informatiques d'Active Directory. Ces objets ordinateur peuvent être facilement identifiés dans votre répertoire. Chaque objet ordinateur du répertoire est créé avec l’attribut Description, spécifiant une flotte ou une instance Image Builder, et le nom.

Exemples de descriptions d’objets ordinateur
Type Nom Attribut de description

Flotte

ExampleFleet

AppStream 2.0 - fleet:ExampleFleet

Instance Image Builder

ExampleImageBuilder

AppStream 2.0 - image-builder:ExampleImageBuilder

Vous pouvez identifier et supprimer les objets informatiques inactifs créés par la AppStream version 2.0 à l'aide des dsrm commandes dsquery computer et des commandes suivantes. Pour plus d'informations, consultez Dsquery computer et Dsrm dans la documentation Microsoft.

La commande dsquery identifie les objets ordinateur inactifs sur une période donnée et utilise le format suivant. La dsquery commande doit également être exécutée avec le paramètre -desc "AppStream 2.0*" pour afficher uniquement les objets AppStream 2.0. 

dsquery computer "OU-distinguished-name" -desc "AppStream 2.0*" -inactive number-of-weeks-since-last-login

  • OU-distinguished-name est le nom unique de l'unité d'organisation. Pour de plus amples informations, veuillez consulter Recherche du nom unique d’unité d’organisation. Si vous ne fournissez pas le OU-distinguished-name paramètre, la commande recherche l'intégralité du répertoire.

  • number-of-weeks-since-last-log-in est la valeur souhaitée en fonction de la façon dont vous souhaitez définir l'inactivité.

Par exemple, la commande suivante affiche tous les objets ordinateur de l'unité d'organisation OU=ExampleOU,DC=EXAMPLECO,DC=COM qui ne se sont pas connectés au cours des deux dernières semaines.

dsquery computer OU=ExampleOU,DC=EXAMPLECO,DC=COM -desc "AppStream 2.0*" -inactive 2

Si aucune correspondance n'est détectée, le résultat est un ou plusieurs noms d'objet. La commande dsrm supprime l'objet spécifié et utilise le format suivant :

dsrm objectname

objectname est le nom d'objet complet de la sortie de la commande dsquery. Par exemple, si la dsquery commande ci-dessus génère un objet informatique nommé ExampleComputer « », la dsrm commande pour le supprimer sera la suivante :

dsrm "CN=ExampleComputer,OU=ExampleOU,DC=EXAMPLECO,DC=COM"

Vous pouvez enchaîner ces commandes à l’aide de l’opérateur barre verticale (|). Par exemple, pour supprimer tous les objets informatiques AppStream 2.0, en demandant une confirmation pour chacun, utilisez le format suivant. Ajoutez le paramètre -noprompt à dsrm pour désactiver la confirmation.

dsquery computer OU-distinguished-name -desc "AppStream 2.0*" –inactive number-of-weeks-since-last-log-in | dsrm