WorkSpaces Administrasi Direktori Aktif Kolam

Menyiapkan dan menggunakan Active Directory dengan WorkSpaces Pools melibatkan tugas-tugas administratif berikut.

Memberikan Izin untuk Membuat dan Mengelola Objek Komputer Direktori Aktif

Untuk mengizinkan WorkSpaces Pools melakukan operasi objek komputer Active Directory, Anda memerlukan akun dengan izin yang memadai. Sebagai praktik terbaik, gunakan akun yang hanya memiliki hak istimewa minimum yang diperlukan. Izin minimum Active Directory Organizational Unit (OU) adalah sebagai berikut:

• Buat Objek Komputer

• Ubah Kata Sandi

• Atur ulang kata sandi

• Tulis Deskripsi

Sebelum menyiapkan izin, Anda harus melakukan hal berikut terlebih dahulu:

• Dapatkan akses ke komputer atau EC2 instance yang bergabung dengan domain Anda.

• Instal MMC snap-in Pengguna dan Komputer Direktori Aktif. Untuk informasi selengkapnya, lihat Menginstal atau Menghapus Alat Administrasi Server Jarak Jauh untuk Windows 7 di dokumentasi Microsoft.

• Masuk sebagai pengguna domain dengan izin yang sesuai untuk mengubah pengaturan keamanan OU.

• Membuat atau mengidentifikasi pengguna, akun layanan, atau grup untuk mendelegasikan izin.

Untuk mengatur izin minimum

1. Buka Pengguna dan Komputer Direktori Aktif di domain Anda atau di pengontrol domain Anda.

2. Di panel navigasi kiri, pilih OU pertama yang akan memberikan hak istimewa bergabung domain, buka menu konteks (klik kanan), lalu pilih Kontrol Delegasi.

3. Pada halaman Delegasi Control Wizard, pilih Berikutnya, Tambah.

4. Untuk Pilih Pengguna, Komputer, atau Grup, pilih pengguna, akun layanan, atau grup yang telah dibuat sebelumnya, lalu pilih OK.

5. Pada halaman Tugas untuk Didelegasikan, pilih Buat tugas kustom untuk didelegasikan, lalu pilih Selanjutnya.

6. Pilih Hanya objek berikut di folder, Objek komputer.

7. Pilih Buat objek yang dipilih di folder ini, Berikutnya.

8. Untuk Izin, pilih Baca, Tulis, Ubah Kata Sandi, Setel Ulang Kata Sandi, Berikutnya.

9. Pada halaman Menyelesaikan Delegasi Wizard Kontrol, verifikasi informasi dan pilih Selesai.

10. Ulangi langkah 2-9 untuk tambahan apa pun OUs yang memerlukan izin ini.

Jika Anda mendelegasikan izin ke grup, buat akun pengguna atau layanan dengan kata sandi yang kuat dan tambahkan akun tersebut ke grup. Akun ini kemudian akan memiliki hak istimewa yang cukup untuk menghubungkan Anda WorkSpaces ke direktori. Gunakan akun ini saat membuat konfigurasi direktori WorkSpaces Pools Anda.

Menemukan Nama Distinguished Unit Organisasi

Ketika Anda mendaftarkan domain Active Directory Anda dengan WorkSpaces Pools, Anda harus memberikan nama unit organisasi (OU) yang dibedakan. Buat OU untuk tujuan ini. Kontainer Komputer default bukan OU dan tidak dapat digunakan oleh WorkSpaces Pools. Prosedur berikut menunjukkan cara mendapatkan nama ini.

catatan

Nama yang dibedakan harus dimulai dengan OU= atau tidak dapat digunakan untuk objek komputer.

Sebelum Anda menyelesaikan prosedur ini, Anda harus melakukan hal berikut terlebih dahulu:

• Dapatkan akses ke komputer atau EC2 instance yang bergabung dengan domain Anda.

• Instal MMC snap-in Pengguna dan Komputer Direktori Aktif. Untuk informasi selengkapnya, lihat Menginstal atau Menghapus Alat Administrasi Server Jarak Jauh untuk Windows 7 di dokumentasi Microsoft.

• Masuk sebagai pengguna domain dengan izin yang sesuai untuk membaca properti keamanan OU.

Untuk menemukan nama yang dibedakan dari OU

1. Buka Pengguna dan Komputer Direktori Aktif di domain Anda atau di pengontrol domain Anda.

2. Di bawah View, pastikan bahwa Fitur Lanjutan diaktifkan.

3. Di panel navigasi kiri, pilih OU pertama yang akan digunakan untuk objek WorkSpaces komputer, buka menu konteks (klik kanan), lalu pilih Properties.

4. Pilih Editor Atribut.

5. Di bawah Atribut distinguishedName, untuk, pilih Lihat.

6. Untuk Nilai, pilih nama yang dibedakan, buka menu konteks, lalu pilih Salin.

Pemberian Hak Administrator Lokal pada gambar kustom

Secara default, pengguna domain Active Directory tidak memiliki hak administrator lokal pada gambar. Anda dapat memberikan hak-hak ini dengan menggunakan preferensi Kebijakan Grup di direktori Anda, atau secara manual, dengan menggunakan akun administrator lokal pada gambar. Memberikan hak administrator lokal kepada pengguna domain memungkinkan pengguna untuk menginstal aplikasi dan membuat gambar khusus di WorkSpaces Pools.

Daftar Isi

• Menggunakan preferensi Kebijakan Grup
• Menggunakan grup Administrator lokal WorkSpace untuk membuat gambar

Menggunakan preferensi Kebijakan Grup

Anda dapat menggunakan preferensi Kebijakan Grup untuk memberikan hak administrator lokal kepada pengguna atau grup Active Directory dan ke semua objek komputer di OU yang ditentukan. Pengguna Active Directory atau grup yang ingin Anda berikan izin administrator lokal harus sudah ada. Untuk menggunakan preferensi Kebijakan Grup, Anda harus melakukan hal berikut terlebih dahulu:

• Dapatkan akses ke komputer atau EC2 instance yang bergabung dengan domain Anda.

• Instal MMC snap-in Konsol Manajemen Kebijakan Grup (GPMC). Untuk informasi selengkapnya, lihat Menginstal atau Menghapus Alat Administrasi Server Jarak Jauh untuk Windows 7 di dokumentasi Microsoft.

• Masuk sebagai pengguna domain dengan izin untuk membuat objek Kebijakan Grup (GPOs). Tautan GPOs ke yang sesuaiOUs.

Untuk menggunakan preferensi Kebijakan Grup untuk memberikan izin administrator lokal

1. Di direktori Anda atau pada pengontrol domain, buka prompt perintah sebagai administrator, ketikgpmc.msc, lalu tekanENTER.

2. Di pohon konsol kiri, pilih OU tempat Anda akan membuat yang baru GPO atau menggunakan yang sudah adaGPO, lalu lakukan salah satu hal berikut:

   • Buat yang baru GPO dengan membuka menu konteks (klik kanan) dan memilih Buat GPO di domain ini, Tautkan di sini. Untuk Nama, berikan nama deskriptif untuk iniGPO.

   • Pilih yang sudah adaGPO.

3. Buka menu konteks untukGPO, dan pilih Edit.

4. Di pohon konsol, pilih Konfigurasi Komputer, Preferensi, Pengaturan Windows, Pengaturan Panel Kontrol, dan Pengguna dan Grup Lokal.

5. Pilih Pengguna dan Grup Lokal yang dipilih, buka menu konteks, dan pilih Baru, Grup Lokal.

6. Untuk Tindakan, pilih Perbarui.

7. Untuk nama Grup, pilih Administrator (bawaan).

8. Di bawah Anggota, pilih Tambah... dan tentukan pengguna atau grup Direktori Aktif untuk menetapkan hak administrator lokal pada instance streaming. Untuk Tindakan, pilih Tambahkan ke grup ini, dan pilih OK.

9. Untuk menerapkan ini GPO ke yang lainOUs, pilih OU tambahan, buka menu konteks dan pilih Tautkan yang Ada GPO.

10. Menggunakan GPO nama baru atau yang sudah ada yang Anda tentukan di langkah 2, gulir untuk menemukanGPO, lalu pilih OK.

11. Ulangi langkah 9 dan 10 untuk tambahan OUs yang harus memiliki preferensi ini.

12. Pilih OK untuk menutup kotak dialog Properti Grup Lokal Baru.

13. Pilih OK lagi untuk menutupGPMC.

Untuk menerapkan preferensi baru keGPO, Anda harus menghentikan dan memulai ulang pembuat gambar atau armada apa pun yang sedang berjalan. Pengguna dan grup Active Directory yang Anda tentukan di langkah 8 secara otomatis diberikan hak administrator lokal pada pembuat gambar dan armada di OU yang GPO ditautkan.

Menggunakan grup Administrator lokal WorkSpace untuk membuat gambar

Untuk memberikan hak administrator lokal kepada pengguna Active Directory atau grup pada gambar, Anda dapat menambahkan pengguna atau grup ini secara manual ke grup Administrator lokal pada gambar.

Pengguna Active Directory atau grup untuk memberikan hak administrator lokal harus sudah ada.

1. Connect ke yang WorkSpace Anda gunakan untuk membangun gambar. WorkSpace Harus berjalan dan bergabung dengan domain.

2. Pilih Mulai, Alat Administratif, dan kemudian klik dua kali Manajemen Komputer.

3. Di panel navigasi kiri, pilih Pengguna dan Grup Lokal dan buka folder Grup.

4. Buka grup Administrator dan pilih Tambah... .

5. Pilih semua pengguna Active Directory atau grup untuk menetapkan hak administrator lokal dan pilih OK. Pilih OK lagi untuk menutup kotak dialog Properti Administrator.

6. Tutup Manajemen Komputer.

7. Untuk masuk sebagai pengguna Active Directory dan menguji apakah pengguna tersebut memiliki hak administrator lokal WorkSpaces, pilih Perintah Admin, Ganti pengguna, lalu masukkan kredensi pengguna yang relevan.

Mengunci Sesi Streaming Saat Pengguna Menganggur

WorkSpaces Pools bergantung pada pengaturan yang Anda konfigurasikan GPMC untuk mengunci sesi streaming setelah pengguna Anda menganggur untuk jumlah waktu tertentu. Untuk menggunakannyaGPMC, Anda harus melakukan hal berikut terlebih dahulu:

• Dapatkan akses ke komputer atau EC2 instance yang bergabung dengan domain Anda.

• InstalGPMC. Untuk informasi selengkapnya, lihat Menginstal atau Menghapus Alat Administrasi Server Jarak Jauh untuk Windows 7 di dokumentasi Microsoft.

• Masuk sebagai pengguna domain dengan izin untuk membuatGPOs. Tautan GPOs ke yang sesuaiOUs.

Untuk mengunci instans streaming secara otomatis saat pengguna Anda menganggur

1. Di direktori Anda atau pada pengontrol domain, buka prompt perintah sebagai administrator, ketikgpmc.msc, lalu tekanENTER.

2. Di pohon konsol kiri, pilih OU tempat Anda akan membuat yang baru GPO atau menggunakan yang sudah adaGPO, lalu lakukan salah satu hal berikut:

   • Buat yang baru GPO dengan membuka menu konteks (klik kanan) dan memilih Buat GPO di domain ini, Tautkan di sini. Untuk Nama, berikan nama deskriptif untuk iniGPO.

   • Pilih yang sudah adaGPO.

3. Buka menu konteks untukGPO, dan pilih Edit.

4. Di bawah Konfigurasi Pengguna, perluas Kebijakan, Template Administratif, Panel Kontrol, lalu pilih Personalisasi.

5. Klik dua kali Aktifkan screen saver.

6. Dalam pengaturan kebijakan Enable screen saver, pilih Diaktifkan.

7. Pilih Berlakukan, lalu pilih OKE.

8. Klik dua kali Paksa screen saver tertentu.

9. Dalam setelan kebijakan penghemat layar khusus paksa, pilih Diaktifkan.

10. Di bawah nama executable Screen saver, masukkan. scrnsave.scr Saat pengaturan ini diaktifkan, sistem menampilkan screen saver hitam di desktop pengguna.

11. Pilih Berlakukan, lalu pilih OKE.

12. Klik dua kali Kata sandi melindungi screen saver.

13. Dalam pengaturan kebijakan proteksi sandi screen saver, pilih Diaktifkan.

14. Pilih Berlakukan, lalu pilih OKE.

15. Klik dua kali Batas waktu penghemat layar.

16. Dalam setelan kebijakan batas waktu tunggu screen saver, pilih Diaktifkan.

17. Untuk Detik, tentukan lamanya waktu pengguna harus menganggur sebelum screen saver diterapkan. Untuk mengatur waktu idle ke 10 menit, tentukan 600 detik.

18. Pilih Berlakukan, lalu pilih OKE.

19. Di pohon konsol, di bawah Konfigurasi Pengguna, perluas Kebijakan, Template Administratif, Sistem, lalu pilih Ctrl+Alt+Del Options.

20. Klik dua kali Hapus Kunci Komputer.

21. Dalam pengaturan kebijakan Hapus Kunci Komputer, pilih Dinonaktifkan.

22. Pilih Berlakukan, lalu pilih OKE.

Mengkonfigurasi WorkSpaces Pools untuk Menggunakan Domain Trust

WorkSpaces Pools mendukung lingkungan domain Active Directory di mana sumber daya jaringan seperti server file, aplikasi, dan objek komputer berada di satu domain, dan objek pengguna berada di domain lain. Akun layanan domain yang digunakan untuk operasi objek komputer tidak perlu berada dalam domain yang sama dengan objek komputer WorkSpaces Pools.

Saat membuat konfigurasi direktori, tentukan akun layanan yang memiliki izin yang sesuai untuk mengelola objek komputer di domain Active Directory tempat server file, aplikasi, objek komputer, dan sumber daya jaringan lainnya berada.

Akun Active Directory pengguna akhir Anda harus memiliki izin “Diizinkan untuk Mengautentikasi” untuk hal berikut:

• WorkSpaces Kolam benda komputer

• Pengontrol domain untuk domain

Untuk informasi selengkapnya, lihat Memberikan Izin untuk Membuat dan Mengelola Objek Komputer Direktori Aktif.