WorkSpaces Administration Active Directory des pools - Amazon WorkSpaces
Octroi d'autorisations pour la création et la gestion d'objets ordinateur Active DirectoryRecherche du nom unique d’unité d’organisationOctroi de droits d'administrateur local sur des images personnaliséesVerrouillage de la session de streaming lorsque l'utilisateur est inactifConfiguration de WorkSpaces pools pour utiliser des approbations de domaine

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

WorkSpaces Administration Active Directory des pools

La configuration et l'utilisation d'Active Directory avec WorkSpaces des pools impliquent les tâches administratives suivantes.

Octroi d'autorisations pour la création et la gestion d'objets ordinateur Active Directory

Pour autoriser les WorkSpaces pools à effectuer des opérations sur les objets informatiques Active Directory, vous devez disposer d'un compte doté d'autorisations suffisantes. La bonne pratique consiste à utiliser un compte disposant uniquement des privilèges minimum nécessaires. Les autorisations minimum de l'unité d'organisation (OU) Active Directory sont les suivantes :

  • Créer des objets ordinateur

  • Modifier le mot de passe

  • Réinitialiser le mot de passe

  • Écrire une description

Avant de configurer les autorisations, vous devez effectuer les tâches suivantes :

  • Accédez à un ordinateur ou à une EC2 instance joint à votre domaine.

  • Installez le MMC composant logiciel enfichable Utilisateurs et ordinateurs Active Directory. Pour plus d’informations, consultez Installing or Removing Remote Server Administration Tools for Windows 7 dans la documentation Microsoft.

  • Vous connecter en tant qu’utilisateur du domaine disposant des autorisations appropriées pour modifier les paramètres de sécurité des unités d’organisation.

  • Créer ou identifier l’utilisateur, le compte de service ou le groupe auquel déléguer des autorisations.

Pour configurer les autorisations minimum

  1. Lancez Utilisateurs et ordinateurs Active Directory dans votre domaine ou sur votre contrôleur de domaine.

  2. Dans le volet de navigation de gauche, sélectionnez la première unité d’organisation sur laquelle fournir les privilèges joints au domaine, ouvrez le menu contextuel (clic droit), puis choisissez Déléguer le contrôle.

  3. Sur la page Assistant Délégation de contrôle, choisissez Suivant, Ajouter.

  4. Pour Sélectionner des utilisateurs, des ordinateurs ou des groupes, sélectionnez l’utilisateur, le compte de service ou le groupe créé au préalable, puis choisissez OK.

  5. Sur la page Tâches à déléguer, sélectionnez Créer une tâche personnalisée à déléguer, puis choisissez Suivant.

  6. Choisissez Seulement des objets suivants dans le dossier, puis Objets ordinateur.

  7. Choisissez Créer les objets sélectionnés dans ce dossier, Suivant.

  8. Pour Autorisations, choisissez , Lire, Écrire, Modifier le mot de passe, Réinitialiser le mot de passe, Suivant.

  9. Sur la page Fin de l'Assistant Délégation de contrôle, vérifiez les informations et choisissez Terminer.

  10. Répétez les étapes 2 à 9 pour toutes les autres étapes OUs nécessitant ces autorisations.

Si vous déléguez des autorisations à un groupe, créez un utilisateur ou un compte de service avec un mot de passe fort et ajoutez ce compte au groupe. Ce compte disposera alors de privilèges suffisants pour vous connecter WorkSpaces à l'annuaire. Utilisez ce compte lors de la création de la configuration de votre répertoire WorkSpaces Pools.

Recherche du nom unique d’unité d’organisation

Lorsque vous enregistrez votre domaine Active Directory auprès de WorkSpaces Pools, vous devez fournir un nom distinctif d'unité organisationnelle (UO). A cet effet, créez une unité d'organisation. Le conteneur Computers par défaut n'est pas une unité d'organisation et ne peut pas être utilisé par les WorkSpaces pools. La procédure suivante montre comment obtenir ce nom.

Note

Le nom unique doit commencer par OU= pour pouvoir être utilisé pour des objets ordinateur.

Avant d’effectuer cette procédure, vous devez effectuer les tâches suivantes :

  • Accédez à un ordinateur ou à une EC2 instance joint à votre domaine.

  • Installez le MMC composant logiciel enfichable Utilisateurs et ordinateurs Active Directory. Pour plus d’informations, consultez Installing or Removing Remote Server Administration Tools for Windows 7 dans la documentation Microsoft.

  • Vous connecter en tant qu’utilisateur du domaine disposant des autorisations appropriées pour lire les propriétés de sécurité des unités d’organisation.

Pour trouver le nom unique d'une unité d'organisation

  1. Lancez Utilisateurs et ordinateurs Active Directory dans votre domaine ou sur votre contrôleur de domaine.

  2. Sous Afficher, assurez-vous que les Fonctions avancées soient activées.

  3. Dans le volet de navigation de gauche, sélectionnez la première unité d'organisation à utiliser pour les objets WorkSpaces informatiques, ouvrez le menu contextuel (clic droit), puis choisissez Propriétés.

  4. Choisissez Éditeur d’attribut.

  5. Sous Attributs, pour distinguishedName, choisissez Afficher.

  6. Pour Valeur, sélectionnez le nom unique, ouvrez le menu contextuel et choisissez Copier.

Octroi de droits d'administrateur local sur des images personnalisées

Par défaut, les utilisateurs du domaine Active Directory ne disposent pas de droits d'administrateur local sur les images. Vous pouvez accorder ces droits en utilisant les préférences de stratégie de groupe de votre répertoire, ou manuellement, en utilisant le compte d'administrateur local sur une image. L'octroi de droits d'administrateur local à un utilisateur de domaine permet à cet utilisateur d'installer des applications et de créer des images personnalisées dans des WorkSpaces pools.

Utilisation des préférences de stratégie de groupe

Les préférences de stratégie de groupe peuvent être utilisées pour accorder des droits d'administrateur local aux utilisateurs ou groupes Active Directory, et à tous les objets ordinateur de l'unité d'organisation spécifiée. Les utilisateurs ou groupes Active Directory auxquels vous voulez accorder des autorisations d'administrateur local doivent déjà exister. Pour utiliser les préférences de stratégie de groupe, vous devez tout d'abord effectuer les opérations suivantes :

  • Accédez à un ordinateur ou à une EC2 instance joint à votre domaine.

  • Installez le MMC composant logiciel enfichable de gestion des politiques de groupe (GPMC). Pour plus d’informations, consultez Installing or Removing Remote Server Administration Tools for Windows 7 dans la documentation Microsoft.

  • Connectez-vous en tant qu'utilisateur du domaine autorisé à créer des objets de stratégie de groupe (GPOs). Lien GPOs vers le lien appropriéOUs.

Pour utiliser les préférences de stratégie de groupe afin d'accorder les autorisations d'administrateur local

  1. Dans votre répertoire ou sur un contrôleur de domaine, ouvrez l'invite de commande en tant qu'administrateur, tapezgpmc.msc, puis appuyez surENTER.

  2. Dans l'arborescence de gauche de la console, sélectionnez l'unité d'organisation dans laquelle vous allez créer une nouvelle unité GPO ou utiliser une GPO unité existante, puis effectuez l'une des opérations suivantes :

    • Créez-en un nouveau GPO en ouvrant le menu contextuel (clic droit) et en choisissant Créer un GPO dans ce domaine, puis liez-le ici. Pour Nom, fournissez un nom descriptif pour celaGPO.

    • Sélectionnez un existantGPO.

  3. Ouvrez le menu contextuel duGPO, puis choisissez Modifier.

  4. Dans l'arborescence de la console, choisissez Configuration de l'ordinateur, Préférences, Paramètres Windows, Paramètres du Panneau de configuration et Utilisateurs et groupes locaux.

  5. Sélectionnez les Utilisateurs et groupes locaux sélectionnés, ouvrez le menu contextuel, puis choisissez Nouveau, Groupe local.

  6. Pour Actions, choisissez Mettre à jour.

  7. Pour Nom du groupe, choisissez Administrateurs (intégré).

  8. Sous Membres, choisissez Ajouter… et spécifiez les utilisateurs ou les groupes Active Directory auxquels affecter les droits d’administrateur local sur l’instance de streaming. Pour Action, choisissez Ajouter à ce groupe, puis choisissez OK.

  9. Pour l'appliquer GPO à d'autresOUs, sélectionnez l'unité d'organisation supplémentaire, ouvrez le menu contextuel et choisissez Lier une unité existante GPO.

  10. À l'aide du nouveau nom ou GPO du nom existant que vous avez spécifié à l'étape 2, faites défiler l'écran pour le trouverGPO, puis choisissez OK.

  11. Répétez les étapes 9 et 10 pour les autres OUs qui devraient bénéficier de cette préférence.

  12. Choisissez OK pour fermer la boîte de dialogue Nouvelles propriétés de groupe local.

  13. Cliquez à nouveau sur OK pour fermer leGPMC.

Pour appliquer la nouvelle préférence àGPO, vous devez arrêter et redémarrer tous les générateurs d'images ou flottes en cours d'exécution. Les utilisateurs et les groupes Active Directory que vous avez spécifiés à l'étape 8 reçoivent automatiquement des droits d'administrateur local sur les générateurs d'images et les flottes de l'unité d'organisation à laquelle ils GPO sont liés.

Utiliser le groupe d'administrateurs local sur le WorkSpace pour créer des images

Pour accorder aux utilisateurs ou aux groupes Active Directory des droits d'administrateur local sur une image, vous pouvez ajouter manuellement ces utilisateurs ou groupes au groupe d'administrateurs local sur l'image.

Les utilisateurs ou groupes Active Directory auxquels vous voulez accorder des droits d'administrateur local doivent déjà exister.

  1. Connectez-vous à celui WorkSpace que vous utilisez pour créer des images. WorkSpace Il doit être en cours d'exécution et joint au domaine.

  2. Choisissez Démarrer, Outils d'administration, puis double-cliquez sur Gestion d'ordinateur.

  3. Dans le volet de navigation de gauche, choisissez Utilisateurs et groupes locaux et ouvrez le dossier Groupes.

  4. Ouvrez le groupe Administrateurs et choisissez Ajouter….

  5. Sélectionnez tous les utilisateurs ou groupes Active Directory auxquels octroyer les droits d'administrateur local et choisissez OK. Choisissez OK à nouveau pour fermer la fenêtre Propriétés de l'administrateur.

  6. Fermez Gestion de l'ordinateur.

  7. Pour vous connecter en tant qu'utilisateur Active Directory et vérifier si cet utilisateur possède des droits d'administrateur local sur le WorkSpaces, choisissez Admin Commands, Changer d'utilisateur, puis entrez les informations d'identification de l'utilisateur concerné.

Verrouillage de la session de streaming lorsque l'utilisateur est inactif

WorkSpaces Pools repose sur un paramètre que vous configurez dans le GPMC pour verrouiller la session de streaming une fois que votre utilisateur est inactif pendant une durée spécifiée. Pour utiliser leGPMC, vous devez d'abord effectuer les opérations suivantes :

Pour verrouiller automatiquement l'instance de streaming lorsque votre utilisateur est inactif

  1. Dans votre répertoire ou sur un contrôleur de domaine, ouvrez l'invite de commande en tant qu'administrateur, tapezgpmc.msc, puis appuyez surENTER.

  2. Dans l'arborescence de gauche de la console, sélectionnez l'unité d'organisation dans laquelle vous allez créer une nouvelle unité GPO ou utiliser une GPO unité existante, puis effectuez l'une des opérations suivantes :

    • Créez-en un nouveau GPO en ouvrant le menu contextuel (clic droit) et en choisissant Créer un GPO dans ce domaine, puis liez-le ici. Pour Nom, fournissez un nom descriptif pour celaGPO.

    • Sélectionnez un existantGPO.

  3. Ouvrez le menu contextuel duGPO, puis choisissez Modifier.

  4. Sous Configuration utilisateur, développez Stratégies, Modèles d’administration, Panneau de configuration, puis choisissez Personnalisation.

  5. Double-cliquez sur Activer l'écran de veille.

  6. Dans le paramètre de stratégie Activer l'écran de veille, choisissez Activé.

  7. Choisissez Appliquer, puis OK.

  8. Double-cliquez sur Forcer un écran de veille spécifique.

  9. Dans le paramètre de stratégie Forcer un écran de veille spécifique, choisissez Activé.

  10. Sous Nom du fichier exécutable de l’écran de veille, saisissez scrnsave.scr. Lorsque ce paramètre est activé, le système affiche un écran de veille noir sur le bureau de l'utilisateur.

  11. Choisissez Appliquer, puis OK.

  12. Double-cliquez sur Un mot de passe protège l’écran de veille.

  13. Dans le paramètre de stratégie Un mot de passe protège l’écran de veille, choisissez Activé.

  14. Choisissez Appliquer, puis OK.

  15. Double-cliquez sur Dépassement du délai d’expiration de l’écran de veille.

  16. Dans le paramètre de stratégie Dépassement du délai d’expiration de l’écran de veille, choisissez Activé.

  17. Pour Secondes, spécifiez la durée pendant laquelle les utilisateurs doivent être inactifs avant que l'écran de veille ne s'applique. Pour définir une durée d'inactivité de 10 minutes, spécifiez 600 secondes.

  18. Choisissez Appliquer, puis OK.

  19. Dans l’arborescence de la console, sous Configuration utilisateur, développez Stratégies, Modèles d’administration, Système, puis choisissez Options Ctrl+Alt+Suppr.

  20. Double-cliquez sur Supprimer le verrouillage de l'ordinateur.

  21. Dans le paramètre de stratégie Supprimer le verrouillage de l'ordinateur, choisissez Désactivé.

  22. Choisissez Appliquer, puis OK.

Configuration de WorkSpaces pools pour utiliser des approbations de domaine

WorkSpaces Les pools prennent en charge les environnements de domaine Active Directory dans lesquels les ressources réseau telles que les serveurs de fichiers, les applications et les objets informatiques résident dans un domaine et les objets utilisateur dans un autre. Le compte de service de domaine utilisé pour les opérations sur les objets informatiques n'a pas besoin de se trouver dans le même domaine que les WorkSpaces objets informatiques du pool.

Lors de la création d’une configuration de répertoire, spécifiez un compte de service qui possède les autorisations appropriées pour gérer les objets ordinateur dans le domaine Active Directory où les serveurs de fichiers, les applications, les objets ordinateur et les autres ressources réseau résident.

Vos comptes Active Directory d'utilisateur final doivent avoir les autorisations « Autorisé à authentifier » pour les éléments suivants :

  • WorkSpaces Regroupe des objets informatiques

  • Contrôleurs de domaine pour le domaine

Pour de plus amples informations, veuillez consulter Octroi d'autorisations pour la création et la gestion d'objets ordinateur Active Directory.