AppStream 2.0 Amministrazione di Active Directory

La configurazione e l'utilizzo di Active Directory con AppStream 2.0 comportano le seguenti attività amministrative.

Concessione di autorizzazioni per creare e gestire oggetti computer di Active Directory

Per consentire alla AppStream versione 2.0 di eseguire operazioni sugli oggetti informatici di Active Directory, è necessario un account con autorizzazioni sufficienti. Come best practice, utilizzare un account che disponga solo dei privilegi minimi necessari. Le autorizzazioni minime dell'unità organizzativa (UO) di Active Directory sono le seguenti:

• Creazione di oggetti computer

• Modifica della password

• Reimpostazione della password

• Scrittura della descrizione

Prima di configurare le autorizzazioni, è necessario eseguire queste operazioni:

• Ottieni l'accesso a un computer o a un'EC2istanza che fa parte del tuo dominio.

• Installa lo MMC snap-in Utenti e computer di Active Directory. Per ulteriori informazioni, consulta la sezione relativa all'installazione o alla rimozione degli strumenti di amministrazione del server remoto per Windows 7 nella documentazione Microsoft.

• Accedi come utente di dominio con le autorizzazioni appropriate per modificare le impostazioni di sicurezza UO.

• Creare o identificare l'utente, l'account di servizio o il gruppo per cui delegare le autorizzazioni.

Per configurare le autorizzazioni minime

1. Aprire Active Directory Users and Computers (Utenti e computer di Active Directory) nel dominio o nel controller di dominio.

2. Nel riquadro di navigazione a sinistra, selezionare la prima UO a cui fornire i privilegi di aggiunta del dominio, aprire il menu contestuale (pulsante destro del mouse) e quindi scegliere Delegate Control (Delega controllo).

3. Nella pagina Delegation of Control Wizard (Delega guidata del controllo), scegliere Next (Avanti), quindi scegliere Add (Aggiungi).

4. Per Seleziona utenti, computer o gruppi, seleziona l'utente, l'account di servizio o il gruppo precedentemente creati, quindi scegli OK.

5. Nella pagina Tasks to Delegate (Operazioni da delegare), selezionare Create a custom task to delegate (Crea un'operazione personalizzata per eseguire la delega), quindi scegliere Next (Avanti).

6. Selezionare Only the following objects in the folder (Solo i seguenti oggetti contenuti nella cartella), quindi Computer objects (Oggetti computer).

7. Scegliere Create selected objects in this folder (Crea gli oggetti selezionati in questa cartella), Next (Avanti).

8. Per Permissions (Autorizzazioni), scegliere Read (Lettura), Write (Scrittura), Change Password (Modifica password), Reset Password (Reimposta password), Next (Avanti).

9. Nella pagina Completing the Delegation of Control Wizard (Completamento della delega guidata del controllo), verificare le informazioni e selezionare Finish (Termina).

10. Ripetere i passaggi da 2 a 9 per tutti gli altri OUs che richiedono queste autorizzazioni.

Se si delegano le autorizzazioni a un gruppo, è necessario creare un account utente o servizio con una password complessa e aggiungere quell'account al gruppo. Questo account avrà quindi privilegi sufficienti per connettere le istanze di streaming alla directory. Utilizzate questo account per creare la configurazione della directory AppStream 2.0.

Ricerca del nome distinto dell'unità organizzativa

Quando registri il tuo dominio Active Directory con AppStream 2.0, devi fornire un nome distinto per l'unità organizzativa (OU). Crea una UO per questo scopo. Il contenitore Computers predefinito non è un'unità organizzativa e non può essere utilizzato dalla AppStream versione 2.0. La procedura seguente descrive come ottenere questo nome.

Nota

Il nome distinto deve iniziare con OU= o non può essere utilizzato per gli oggetti computer.

Prima di completare questa procedura, sarà prima necessario:

• Ottieni l'accesso a un computer o a un'EC2istanza che fa parte del tuo dominio.

• Installa lo MMC snap-in Utenti e computer di Active Directory. Per ulteriori informazioni, consulta la sezione relativa all'installazione o alla rimozione degli strumenti di amministrazione del server remoto per Windows 7 nella documentazione Microsoft.

• Accedere come utente di dominio con le autorizzazioni appropriate per leggere le proprietà di sicurezza UO.

Per trovare il nome distinto di una UO

1. Aprire Active Directory Users and Computers (Utenti e computer di Active Directory) nel dominio o nel controller di dominio.

2. In View (Visualizza), verificare che l'opzione Advanced Features (Funzionalità avanzate) sia abilitata.

3. Nel riquadro di navigazione a sinistra, seleziona la prima unità organizzativa da utilizzare per gli oggetti del computer dell'istanza di streaming AppStream 2.0, apri il menu contestuale (fai clic con il pulsante destro del mouse), quindi scegli Proprietà.

4. Selezionare Attribute Editor (Editor attributo).

5. In Attributi, per distinguishedName, scegli Visualizza.

6. Per Value (Valore), selezionare il nome distinto, aprire il menu contestuale, quindi scegliere Copy (Copia).

Concessione di diritti di amministratore locale sugli Image Builder

Per impostazione predefinita, gli utenti del dominio di Active Directory non dispongono di privilegi di amministratore locale sulle istanze dell'Image Builder. È possibile concedere questi diritti utilizzando le preferenze Policy di gruppo nella propria directory oppure, manualmente, utilizzando l'account di amministratore locale su un Image Builder. La concessione dei diritti di amministratore locale a un utente del dominio consente a tale utente di installare applicazioni e creare immagini in un generatore di immagini AppStream 2.0.

Indice

• Utilizzo delle preferenze Policy di gruppo
• Utilizzo del gruppo Amministratori locale sull'Image Builder

Utilizzo delle preferenze Policy di gruppo

È possibile utilizzare le preferenze Policy di gruppo per concedere i diritti di amministratore locale agli utenti o ai gruppi di Active Directory e a tutti gli oggetti computer nell'UO specificata. Gli utenti o i gruppi di Active Directory a cui si desidera concedere le autorizzazioni di amministratore locale devono esistere già. Per usare le preferenze Policy di gruppo, è necessario eseguire prima le operazioni seguenti:

• Ottieni l'accesso a un computer o a un'EC2istanza che fa parte del tuo dominio.

• Installa lo MMC snap-in Group Policy Management Console (GPMC). Per ulteriori informazioni, consulta la sezione relativa all'installazione o alla rimozione degli strumenti di amministrazione del server remoto per Windows 7 nella documentazione Microsoft.

• Effettuate il login come utente di dominio con le autorizzazioni necessarie per creare oggetti Group Policy ()GPOs. Collegamento GPOs al file appropriatoOUs.

Per usare le preferenze delle policy di gruppo per concedere le autorizzazioni di amministratore locale

1. Nella directory o in un controller di dominio, apri il prompt dei comandi come amministratoregpmc.msc, digita e premiENTER.

2. Nell'albero della console a sinistra, seleziona l'unità organizzativa in cui crearne una nuova GPO o utilizzarne una esistenteGPO, quindi esegui una delle seguenti operazioni:

   • Creane una nuova GPO aprendo il menu contestuale (facendo clic con il pulsante destro del mouse) e scegliendo Crea un GPO in questo dominio, Collega qui. Per Nome, fornisci un nome descrittivo. GPO

   • Seleziona un esistenteGPO.

3. Aprite il menu contestuale di e scegliete Modifica. GPO

4. Nella struttura della console scegliere Computer configuration (Configurazione computer), Preferences (Preferenze), Windows Settings (Impostazioni Windows), Control Panel Settings (Impostazioni del pannello di controllo) e Local Users and Groups (Utenti e gruppi locali).

5. Selezionare i Local Users and Groups (Utenti e gruppi locali), aprire il menu contestuale e scegliere New (Nuovo), Local Group (Gruppo locale).

6. Per Action provider (Provider operazione), selezionare Update (Aggiorna).

7. Per Group name (Nome gruppo), selezionare Administrators (built-in) (Amministratori incorporati).

8. In Membri, scegli Aggiungi… e specifica gli utenti o gruppi di Active Directory a cui assegnare i diritti di amministratore locale sull'istanza di streaming. In Action (Operazione), scegliere Add to this group (Aggiungi a questo gruppo), quindi OK.

9. Per applicarlo GPO ad altre unitàOUs, seleziona l'unità organizzativa aggiuntiva, apri il menu contestuale e scegli Collega un esistente GPO.

10. Utilizzando il GPO nome nuovo o esistente specificato nel passaggio 2, scorrete fino a trovare il nomeGPO, quindi scegliete OK.

11. Ripetete i passaggi 9 e 10 per aggiungere altri OUs elementi che dovrebbero avere questa preferenza.

12. Fare clic su OK per chiudere la finestra di dialogo New Local Group Properties (Nuove proprietà gruppo locale).

13. Scegliete nuovamente OK per chiudere ilGPMC.

Per applicare la nuova preferenza aGPO, è necessario arrestare e riavviare tutti i generatori di immagini o le flotte di immagini in esecuzione. Agli utenti e ai gruppi di Active Directory specificati nel passaggio 8 vengono automaticamente concessi i diritti di amministratore locale sui generatori di immagini e sulle flotte dell'unità organizzativa a cui è collegato. GPO

Utilizzo del gruppo Amministratori locale sull'Image Builder

Per concedere agli utenti o ai gruppi di Active Directory locali dei privilegi di amministratore sull'Image Builder, è possibile aggiungere manualmente questi utenti o gruppi al gruppo Amministratori locale dell'Image Builder. Gli Image Builder creati da immagini con questi diritti mantengono gli stessi diritti.

Gli utenti o i gruppi di Active Directory a cui si desidera concedere i diritti di amministratore locale devono già esistere.

Per aggiungere gli utenti o i gruppi di Active Directory al gruppo Amministratori locale dell'Image Builder

1. Aprire la console AppStream 2.0 all'indirizzo https://console.aws.amazon.com/appstream2.

2. Collegarsi all'Image Builder in modalità amministratore. L'Image Builder deve essere in esecuzione e aggiunto al dominio. Per ulteriori informazioni, consulta Esercitazione: Impostazione di Active Directory.

3. Scegliere Start, Administrative Tools (Strumenti di gestione), quindi fare doppio clic su Computer Management (Gestione computer).

4. Nel riquadro di navigazione a sinistra, scegliere Local Users and Groups (Utenti e gruppi locali) e aprire la cartella Groups (Gruppi).

5. Aprire il gruppo Administrators (Amministratori) e selezionare Add... (Aggiungi...).

6. Selezionare tutti gli utenti o i gruppi di Active Directory a cui si desidera assegnare i diritti di amministratore e selezionare OK. Fare nuovamente clic su OK per chiudere la finestra di dialogo Administrator Properties (Proprietà amministratore).

7. Chiudere Computer Management (Gestione computer).

8. Per accedere come utente Active Directory e verificare se tale utente dispone di diritti di amministratore locale per l'Image Builder, scegliere Admin Commands (Comandi amministratore), Switch user (Cambia utente), quindi immettere le credenziali dell'utente.

Aggiornamento dell'account del servizio utilizzato per l'aggiunta al dominio

Per aggiornare l'account di servizio utilizzato nella AppStream versione 2.0 per l'aggiunta al dominio, consigliamo di utilizzare due account di servizio separati per aggiungere generatori di immagini e flotte al dominio Active Directory. L'utilizzo di due diversi account del servizio garantisce continuità del servizio anche quando un account del servizio stesso richiede di essere aggiornato (ad esempio, quando una password scade).

Per aggiornare un account del servizio

1. Creare un gruppo di Active Directory e delegare le autorizzazioni corrette per il gruppo.

2. Aggiungere gli account del servizio al nuovo gruppo di Active Directory.

3. Se necessario, modifica l'oggetto Directory Config AppStream 2.0 inserendo le credenziali di accesso per il nuovo account di servizio.

Dopo aver configurato il gruppo di Active Directory con il nuovo account del servizio, le operazioni dell'istanza di streaming utilizzeranno il nuovo account del servizio, mentre le operazioni dell'istanza di streaming in corso continueranno a usare l'account precedente senza interruzioni.

Il tempo di sovrapposizione dell'account del servizio durante le operazioni dell'istanza di streaming in corso è molto breve, non più di un giorno. Il tempo di sovrapposizione è necessario perché non è possibile eliminare o modificare la password per l'account del servizio precedente durante il periodo di sovrapposizione, in caso contrario le operazioni esistenti possono non riuscire.

Blocco della sessione di streaming quando l'utente è inattivo

AppStream 2.0 si basa su un'impostazione configurata in GPMC per bloccare la sessione di streaming dopo che l'utente è rimasto inattivo per un determinato periodo di tempo. Per utilizzare ilGPMC, devi prima fare quanto segue:

• Ottieni l'accesso a un computer o a un'EC2istanza che fa parte del tuo dominio.

• Installa ilGPMC. Per ulteriori informazioni, consulta la sezione relativa all'installazione o alla rimozione degli strumenti di amministrazione del server remoto per Windows 7 nella documentazione Microsoft.

• Accedi come utente di dominio con autorizzazioni di creazioneGPOs. Collegamento GPOs alla pagina appropriataOUs.

Per bloccare automaticamente l'istanza di streaming quando l'utente è inattivo

1. Nella directory o in un controller di dominio, apri il prompt dei comandi come amministratoregpmc.msc, digita e premiENTER.

2. Nell'albero della console a sinistra, seleziona l'unità organizzativa in cui crearne una nuova GPO o utilizzarne una esistenteGPO, quindi esegui una delle seguenti operazioni:

   • Creane una nuova GPO aprendo il menu contestuale (facendo clic con il pulsante destro del mouse) e scegliendo Crea un GPO in questo dominio, Collega qui. Per Nome, fornisci un nome descrittivo. GPO

   • Seleziona un esistenteGPO.

3. Aprite il menu contestuale di e scegliete Modifica. GPO

4. In User Configuration (Configurazione utente), espandere Policies (Policy), Administrative Templates (Modelli amministrativi), Control Panel (Pannello di controllo), quindi scegliere Internet Explorer.

5. Fare doppio clic su Enable screen saver (Abilita screen saver).

6. Nell'impostazione della policy Enable screen saver (Abilita screen saver), scegliere Enabled (Abilitato).

7. Scegli Apply (Applica), quindi OK.

8. Fare doppio clic su Force specific screen saver (Forza screen saver specifico).

9. Nell'impostazione della policy Force specific screen saver (Forza screen saver specifico), scegliere Enabled (Abilitato).

10. In Screen saver executable name (Nome eseguibile screen saver), immettere scrnsave.scr. Quando questa impostazione è abilitata, il sistema mostra uno screen saver nero sul desktop dell'utente.

11. Scegli Apply (Applica), quindi OK.

12. Fare doppio clic su Password protect the screen saver (Screen saver protetto da password).

13. Nell'impostazione della policy Password protect the screen saver (Screen saver protetto da password), scegliere Enabled (Abilitato).

14. Scegli Apply (Applica), quindi OK.

15. Fare doppio clic su Screen saver timeout (Timeout screen saver).

16. Nell'impostazione della policy Screen saver timeout (Timeout screen saver), scegliere Enabled (Abilitato).

17. Per Seconds (Secondi), specificare il tempo di inattività degli utenti prima che si attivi lo screen saver. Per impostare il tempo di inattività su 10 minuti, specificare 600 secondi.

18. Scegli Apply (Applica), quindi OK.

19. Nella struttura della console, in User configuration (Configurazione utente), espandere Policies (Policy), Administrative Templates (Modelli amministrativi), System (Sistema), quindi scegliere Ctrl+Alt+Del Options (Opzioni Ctrl+Alt+Canc).

20. Fare doppio clic su Remove Lock Computer (Rimuovi blocco computer).

21. Nell'impostazione policy Remove Lock Computer (Rimuovi blocco computer), scegliere Disable (Disabilitato).

22. Scegli Apply (Applica), quindi OK.

Modifica della configurazione della directory

Dopo aver creato una configurazione di directory AppStream 2.0, è possibile modificarla per aggiungere, rimuovere o modificare unità organizzative, aggiornare il nome utente dell'account di servizio o aggiornare la password dell'account di servizio.

Per aggiornare la configurazione della directory

1. Apri la console AppStream 2.0 all'indirizzo https://console.aws.amazon.com/appstream2.

2. Nel riquadro di navigazione a sinistra, scegliere Directory Configs (Config directory) e selezionare la configurazione di directory da modificare.

3. Scegli Actions (Operazioni), Edit (Modifica).

4. Aggiornare i campi da modificare. Per aggiungerne altreOUs, seleziona il segno più (+) accanto al campo dell'unità organizzativa più in alto. Per rimuovere un campo UO, selezionare la x accanto al campo.

   Nota

   È necessario almeno un valore UO. OUsquelli attualmente in uso non possono essere rimossi.

5. Per salvare le modifiche, selezionare Update policy (Aggiorna policy).

6. Le informazioni nella scheda Details (Dettagli) devono essere aggiornate per riflettere le modifiche.

Le modifiche alle credenziali dell'account del servizio non hanno impatto sulle operazioni dell'istanza di streaming in corso. Le nuove operazioni dell'istanza di streaming utilizzano le credenziali aggiornate. Per ulteriori informazioni, consulta Aggiornamento dell'account del servizio utilizzato per l'aggiunta al dominio.

Eliminazione di una configurazione di directory

È possibile eliminare una configurazione di directory AppStream 2.0 che non è più necessaria. Le configurazioni directory associate a qualsiasi Image Builder o parco istanze non possono essere eliminate.

Per eliminare una configurazione directory

1. Aprire la console AppStream 2.0 all'indirizzo https://console.aws.amazon.com/appstream2.

2. Nel riquadro di navigazione a sinistra, scegliere Directory Configs (Config directory) e selezionare la configurazione di directory da eliminare.

3. Scegli Operazioni > Elimina.

4. Verificare il nome nel messaggio a comparsa e scegliere Delete (Elimina).

5. Scegliere Update Directory Config (Aggiorna Directory Config).

Configurazione AppStream 2.0 per l'utilizzo di Domain Trust

AppStream 2.0 supporta ambienti di dominio Active Directory in cui le risorse di rete come file server, applicazioni e oggetti informatici risiedono in un dominio e gli oggetti utente in un altro. L'account del servizio di dominio utilizzato per le operazioni sugli oggetti informatici non deve necessariamente appartenere allo stesso dominio degli oggetti del computer AppStream 2.0.

Quando si crea la configurazione di directory, specificare un account di servizio che dispone delle autorizzazioni appropriate per gestire gli oggetti computer nel dominio di Active Directory in cui risiedono i file server, le applicazioni, gli oggetti computer e le altre risorse di rete.

Gli account di Active Directory dell'utente finale devono avere le autorizzazioni "Allowed to Authenticate" (Autorizzato all'autenticazione) per:

• AppStream oggetti informatici 2.0

• I controller di dominio per il dominio

Per ulteriori informazioni, consulta Concessione di autorizzazioni per creare e gestire oggetti computer di Active Directory.

Gestione degli oggetti informatici AppStream 2.0 in Active Directory

AppStream 2.0 non elimina gli oggetti del computer da Active Directory. Questi oggetti computer possono essere facilmente identificati nella directory. Ogni oggetto computer nella directory viene creato con l'attributo Description, che specifica un parco istanze o un'istanza e il nome dell'Image Builder.

Esempi di descrizione degli oggetti computer
Type	Nome	Attributo di descrizione
Parco istanze	ExampleFleet	AppStream 2.0 - fleet:ExampleFleet
Image Builder	ExampleImageBuilder	AppStream 2.0 - image-builder:ExampleImageBuilder

È possibile identificare ed eliminare gli oggetti informatici inattivi creati dalla AppStream versione 2.0 utilizzando dsquery computer i seguenti dsrm comandi. Per ulteriori informazioni, consulta le sezioni relative a computer Dsquery e Dsrm nella documentazione Microsoft.

Il comando dsquery identifica gli oggetti computer inattivi per un determinato periodo di tempo e usa il formato seguente. Il dsquery comando deve essere eseguito anche con il parametro -desc "AppStream 2.0*" per visualizzare solo oggetti AppStream 2.0.

dsquery computer "OU-distinguished-name" -desc "AppStream 2.0*" -inactive number-of-weeks-since-last-login

• OU-distinguished-name è il nome distinto dell'unità organizzativa. Per ulteriori informazioni, consulta Ricerca del nome distinto dell'unità organizzativa. Se non fornisci il OU-distinguished-name parametro, il comando esegue la ricerca nell'intera directory.

• number-of-weeks-since-last-log-in è il valore desiderato in base al modo in cui si definisce l'inattività.

Ad esempio, il comando seguente consente di visualizzare tutti gli oggetti computer dell'unità organizzativa OU=ExampleOU,DC=EXAMPLECO,DC=COM a cui non è stato effettuato l'accesso nelle ultime due settimane.

dsquery computer OU=ExampleOU,DC=EXAMPLECO,DC=COM -desc "AppStream 2.0*" -inactive 2

Il risultato della ricerca è di uno o più nomi di oggetto. Il comando dsrm elimina l'oggetto specificato e usa il formato seguente:

dsrm objectname

Dove objectname è il nome completo dell'oggetto dall'output del comando dsquery. Ad esempio, se il dsquery comando precedente restituisce un oggetto computer denominato "ExampleComputer«, il dsrm comando per eliminarlo sarebbe il seguente:

dsrm "CN=ExampleComputer,OU=ExampleOU,DC=EXAMPLECO,DC=COM"

È possibile concatenare questi comandi utilizzando l'operatore barra verticale (|). Ad esempio, per eliminare tutti gli oggetti del computer AppStream 2.0, richiedendo la conferma per ciascuno di essi, utilizzate il formato seguente. Aggiungere il parametro -noprompt per dsrm disattivare la conferma.

dsquery computer OU-distinguished-name -desc "AppStream 2.0*" –inactive number-of-weeks-since-last-log-in | dsrm