AppStream 2.0 でのアクティブディレクトリ管理 - Amazon AppStream 2.0

AppStream 2.0 でのアクティブディレクトリ管理

AppStream 2.0 でアクティブディレクトリをセットアップして使用するには、次の管理タスクを行う必要があります。

アクティブディレクトリコンピュータオブジェクトを作成および管理するための許可の付与

AppStream 2.0 にアクティブディレクトリコンピュータオブジェクト操作の実行を許可するには、十分なアクセス許可を持つアカウントが必要です。ベストプラクティスとして、必要最小限のアクセス許可のみを持つアカウントを使用します。最小限のアクティブディレクトリ組織単位 (OU) 許可は以下のとおりです。

  • コンピュータオブジェクトの作成

  • パスワードの変更

  • パスワードのリセット

  • 説明の書き込み

アクセス許可をセットアップする前に、まず以下の操作を行う必要があります。

  • ドメインに参加済みのコンピュータまたは EC2 インスタンスにアクセスします。

  • Active Directory User and Computers MMC スナップインをインストールします。詳細については、Microsoft ドキュメントの「Installing or Removing Remote Server Administration Tools for Windows 7」を参照してください。

  • 適切なアクセス権限を持つドメインユーザーとしてログインし、OU のセキュリティ設定を変更します。

  • アクセス権限を委任するユーザーアカウント、サービスアカウント、またはグループを作成または指定します。

最小限のアクセス権限をセットアップするには

  1. ドメインまたはドメインコントローラーで [Active Directory Users and Computers] (アクティブディレクトリユーザーとコンピュータ) を開きます。

  2. 左のナビゲーションペインで、ドメイン参加権限を提供する最初の OU を選択して、コンテキスト (右クリック) メニューを開き、[Delegate Control] (制御の委任) を選択します。

  3. [Delegation of Control Wizard] ページで、[Next]、[Add] の順に選択します。

  4. [Select Users, Computers, or Groups] (ユーザー、コンピュータ、グループの選択) で、事前に作成したユーザーアカウント、サービスアカウント、またはグループを選択し、[OK] を選択します。

  5. [Tasks to Delegate] (委任するタスク) ページで、[Create a custom task to delegate] (委任するカスタムタスクの作成)、[次へ] の順に選択します。

  6. [Only the following objects in the folder]、[Computer objects] を選択します。

  7. [Create selected objects in this folder]、[Next] を選択します。

  8. [Permissions] で、[Read]、[Write]、[Change Password]、[Reset Password]、[Next] の順に選択します。

  9. [Completing the Delegation of Control Wizard] ページで情報を確認し、[Finish] を選択します。

  10. これらのアクセス権限を必要とする追加の OU に対して、ステップ 2 ~ 9 を繰り返します。

グループにアクセス権限を委任した場合は、強力なパスワードを持つユーザーアカウントまたはサービスアカウントを作成し、そのアカウントをグループに追加します。こうすることで、ディレクトリにストリーミングインスタンスを接続するための十分な権限がこのアカウントに与えられます。AppStream 2.0 ディレクトリ設定を作成するときはこのアカウントを使用します。

組織単位の識別子名を検索する

AppStream 2.0 にアクティブディレクトリドメインを登録するときは、組織単位 (OU) 識別名を提供する必要があります。この目的のために OU を作成します。デフォルトのコンピュータコンテナは OU ではなく、AppStream 2.0 で使用することはできません。以下に、この名前を取得する手順を示します。

注記

識別子名は、OU= で始まる必要があります。また、その名前をコンピュータオブジェクトに使用することはできません。

この手順を完了するには、まず以下の操作を行う必要があります。

  • ドメインに参加済みのコンピュータまたは EC2 インスタンスにアクセスします。

  • Active Directory User and Computers MMC スナップインをインストールします。詳細については、Microsoft ドキュメントの「Installing or Removing Remote Server Administration Tools for Windows 7」を参照してください。

  • 適切なアクセス権限を持つドメインユーザーとしてログインし、OU のセキュリティプロパティを読み取ります。

OU 識別子名を確認するには

  1. ドメインまたはドメインコントローラーで [Active Directory Users and Computers] (アクティブディレクトリユーザーとコンピュータ) を開きます。

  2. [View] で、[Advanced Features] が有効になっていることを確認します。

  3. 左のナビゲーションペインで、AppStream 2.0 ストリーミングインスタンスのコンピュータオブジェクトに使用する最初の OU を選択し、コンテキスト (右クリック) メニューを開き、[Properties (プロパティ)] を選択します。

  4. [Attribute Editor] を選択します。

  5. [Attributes] の下の [distinguishedName] で、[View] を選択します。

  6. [] で識別子名を選択し、コンテキストメニューを開き、[コピー] を選択します。

Image Builder のローカル管理者権限を付与する

デフォルトで、アクティブディレクトリドメインユーザーに Image Builder インスタンスのローカル管理者権限はありません。このアクセス権限を付与するには、ディレクトリのグループポリシーの設定を使用するか、手動で Image Builder のローカル管理者アカウントを使用します。ローカル管理者権限をドメインユーザーに付与すると、それらのユーザーは、AppStream 2.0 の Image Builder にアプリケーションをインストールしたり、画像を作成したりできます。

グループポリシー設定を使用する

ローカル管理者権限をアクティブディレクトリのユーザーやグループに付与したり、または指定された OU のすべてのコンピュータオブジェクトに付与したりするには、グループポリシー設定を使用します。ローカル管理者のアクセス許可を付与するアクティブディレクトリユーザーまたはグループが既に存在している必要があります。グループポリシー設定を使用するには、まず、以下の操作を行う必要があります。

  • ドメインに参加済みのコンピュータまたは EC2 インスタンスにアクセスします。

  • グループポリシーマネジメントコンソール (GPMC) の MMC スナップインをインストールします。詳細については、Microsoft ドキュメントの「Installing or Removing Remote Server Administration Tools for Windows 7」を参照してください。

  • アクセス許可を持つドメインユーザーとしてログインし、グループポリシーオブジェクト (GPO) を作成します。GPO を適切な OU にリンクします。

グループポリシー設定を使用して、ローカル管理者のアクセス許可を付与するには

  1. ディレクトリまたはドメインコントローラーで、管理者としてコマンドプロンプトを開き、gpmc.msc と入力し、ENTER キーを押します。

  2. 左のコンソールツリーで、新しい GPO を作成する OU、または既存の GPO を使用する OU を選択して、以下のいずれかの操作を行います。

    • コンテキスト (右クリック) メニューを開き、[Create a GPO in this domain, Link it here] を選択して、新しい GPO を作成します。[Name] に、この GPO のわかりやすい名前を入力します。

    • 既存の GPO を選択します。

  3. GPO のコンテキストメニューを開き、[編集] を選択します。

  4. コンソールツリーで、[Computer Configuration] (コンピュータの構成)、[設定]、[Windows Settings] (Windows 設定)、[Control Panel Settings] (コントロールパネル設定)、[Local Users and Groups] (ローカルユーザーおよびグループ) の順に選択します。

  5. [Local Users and Groups] (ローカルユーザーおよびグループ) を選択して、コンテキストメニューを開き、[新規]、[Local Group] (ローカルグループ) の順に選択します。

  6. [Action] で、[Update] を選択します。

  7. [Group name] で、[Administrators(built-in)] を選択します。

  8. [Members] で、[Add...] を選択して、ストリーミングインスタンスに対するローカル管理者権限を割り当てるアクティブディレクトリユーザーアカウントまたはグループを指定します。[Action] で、[Add to this group] を選択し、[OK] を選択します。

  9. この GPO を他の OU に適用するには、追加の OU を選択して、コンテキストメニューを開き、[Link an Existing GPO] (既存の GPO のリンク) を選択します。

  10. ステップ 2 で指定した新規または既存の GPO 名を使用して、GPO までスクロールし、[OK] を選択します。

  11. この設定が必要な追加の OU に対して、ステップ 9 および 10 を繰り返します。

  12. 再度 [OK] を選択して、[New Local Group Properties] (新規のローカルグループプロパティ) ダイアログボックスを閉じます。

  13. 再度 [OK] を選択し、GPMC を閉じます。

新しい設定を GPO に適用するには、実行中の Image Builder またはフロートを停止して再起動する必要があります。GPO がリンクされている OU の Image Builder およびフリートのローカル管理者権限が、ステップ 8 で指定したアクティブディレクトリユーザーおよびグループに自動的に付与されます。

Image Builder でローカル管理者グループを使用する

Image Builder でアクティブディレクトリユーザーまたはグループのローカル管理者権限を付与するには、これらのユーザーまたはグループを Image Builder のローカル管理者グループに手動で追加します。これらの権限を使用してイメージから作成された Image Builder で、同様の権限を管理します。

ローカル管理者権限を付与するアクティブディレクトリユーザーまたはグループが既に存在している必要があります。

アクティブディレクトリユーザーまたはグループを Image Builder のローカル管理者グループに追加するには

  1. AppStream 2.0 コンソールを https://console.aws.amazon.com/appstream2 で開きます。

  2. 管理者モードで Image Builder に接続します。Image Builder は実行中でありドメイン参加済みである必要があります。詳細については、「チュートリアル: アクティブディレクトリのセットアップ」を参照してください。

  3. [開始]、[管理ツール] の順に選択し、[コンピュータの管理] をダブルクリックします。

  4. 左のナビゲーションペインで、[Local Users and Groups] を選択して [Groups] フォルダを開きます。

  5. [Administrators] グループを開いて [Add...] を選択します。

  6. ローカル管理者権限を割り当てるアクティブディレクトリユーザーまたはグループをすべて選択して、[OK] を選択します。再度 [OK] を選択して、[管理者プロパティ] ダイアログボックスを閉じます。

  7. コンピュータの管理を閉じます。

  8. アクティブディレクトリユーザーとしてログインし、テストユーザーに Image Builder のローカル管理者権限があることを確認するには、[Admin Commands] (管理者コマンド)、[Switch user] (ユーザーの切り替え) の順に選択し、該当するユーザーの認証情報を入力します。

ドメインの参加に使用するサービスアカウントの更新

ドメインの参加向けに AppStream 2.0 が使用するサービスアカウントを更新するには、2 つのサービスアカウントを別々に使用して、Image Builder およびフリートをアクティブディレクトリドメインに参加させることをお勧めします。2 つの異なるサービスアカウントを使用することで、サービスアカウントを更新する必要がある場合 (例: パスワードの失効時) にサービスを中断しなくてすみます。

サービスアカウントを更新するには

  1. アクティブディレクトリグループを作成し、グループに適切な許可を委任します。

  2. サービスアカウントを新しいアクティブディレクトリグループに追加します。

  3. 必要に応じて、AppStream 2.0 Directory Config オブジェクトを編集するには、新しいサービスアカウントのユーザー名とパスワードを入力します。

新しいサービスアカウントを使用してアクティブディレクトリグループをセットアップすると、新しいストリーミングインスタンス操作では新しいサービスアカウントが使用されるのに対し、処理中のストリーミングインスタンス操作では、中断されることなく古いアカウントが引き続き使用されます。

処理中のストリーミングインスタンスオペレーションが完了するまでのサービスアカウントの重複時間は短時間 (1 日以内) です。重複期間が必要なのは、重複期間中に古いサービスアカウントのパスワードを削除または変更できないためです。これを行うと既存のオペレーションが失敗することがあります。

ユーザーがアイドル状態の場合にストリーミングセッションをロックする

AppStream 2.0 では、GPMC の設定が使用されるため、一定の時間が経過してユーザーがアイドル状態になるとストリーミングセッションはロックされます。GPMC を使用するには、まず、以下の操作を行う必要があります。

  • ドメインに参加済みのコンピュータまたは EC2 インスタンスにアクセスします。

  • GPMC をインストールします。詳細については、Microsoft ドキュメントの「Installing or Removing Remote Server Administration Tools for Windows 7」を参照してください。

  • アクセス許可を持つドメインとしてログインし、GPO を作成します。GPO を適切な OU にリンクします。

ユーザーがアイドル状態のときに自動的にストリーミングインスタンスをロックするには

  1. ディレクトリまたはドメインコントローラーで、管理者としてコマンドプロンプトを開き、gpmc.msc と入力し、ENTER キーを押します。

  2. 左のコンソールツリーで、新しい GPO を作成する OU、または既存の GPO を使用する OU を選択して、以下のいずれかの操作を行います。

    • コンテキスト (右クリック) メニューを開き、[Create a GPO in this domain, Link it here] を選択して、新しい GPO を作成します。[Name] に、この GPO のわかりやすい名前を入力します。

    • 既存の GPO を選択します。

  3. GPO のコンテキストメニューを開き、[編集] を選択します。

  4. [User Configuration] (ユーザーの構成) を [ポリシー]、[Administrative Templates] (管理用テンプレート)、[コントロールパネル] の順に展開し、[Personalization] (パーソナライズ) を選択します。

  5. [Enable screen saver] (スクリーンセーバーの有効化) をダブルクリックします。

  6. [Enable screen saver] (スクリーンセーバーの有効化) ポリシー設定で、[有効] を選択します。

  7. [Apply] (適用)、[OK] の順に選択します。

  8. [Force specific screen saver] (スクリーンセーバーの指定) をダブルクリックします。

  9. [Force specific screen saver] (スクリーンセーバーの指定) ポリシー設定で、[有効] を選択します。

  10. [Screen saver executable name (スクリーンセーバーの実行ファイル名)] に scrnsave.scr と入力します。この設定が有効になると、システムによってユーザーのデスクトップに黒いスクリーンセーバーが表示されます。

  11. [Apply] (適用)、[OK] の順に選択します。

  12. [Password protect the screen saver] (スクリーンセーバーのパスワード保護) をダブルクリックします。

  13. [Password protect the screen saver] (スクリーンセーバーのパスワード保護) ポリシー設定で、[有効] を選択します。

  14. [Apply] (適用)、[OK] の順に選択します。

  15. [Screen saver timeout] (スクリーンセーバーのタイムアウト) をダブルクリックします。

  16. [Screen saver timeout] (スクリーンセーバーのタイムアウト) ポリシー設定で、[有効] を選択します。

  17. [Seconds] (秒) に、スクリーンセーバーが適用されるまでのユーザーのアイドル時間の長さを指定します。アイドル時間を 10 分に設定するには、600 秒を指定します。

  18. [Apply] (適用)、[OK] の順に選択します。

  19. コンソールツリーの [User Configuration] (ユーザーの構成) を、[ポリシー]、[Administrative Templates] (管理用テンプレート)、[システム] の順に展開し、[Ctrl+Alt+Del Options] を選択します。

  20. [Remove Lock Computer] (コンピュータのロック解除) をダブルクリックします。

  21. [Remove Lock Computer] (コンピュータのロック解除) ポリシー設定で、[無効] を選択します。

  22. [Apply] (適用)、[OK] の順に選択します。

ディレクトリ設定を編集する

AppStream 2.0 ディレクトリ設定が作成された後、これを編集して組織単位を追加、削除、変更したり、サービスアカウントのユーザー名を更新したり、サービスアカウントのパスワードを更新したりできます。

ディレクトリ設定を更新するには

  1. AppStream 2.0 コンソールを https://console.aws.amazon.com/appstream2 で開きます。

  2. 左のナビゲーションペインで、[Directory Configs] を選択し編集するディレクトリ設定を選択します。

  3. [Actions]、[Edit] の順に選択します。

  4. 変更するフィールドを更新します。追加の OU を追加するには、最上位の OU フィールドの横にあるプラス記号 (+) を選択します。OU フィールドを削除するには、フィールドの横にある [x] を選択します。

    注記

    少なくとも 1 つの OU が必要です。現在使用されている OU を削除することはできません。

  5. 変更を保存するには、[Update Directory Config] を選択します。

  6. [Details] タブの情報を、変更が反映されるように更新する必要があります。

サービスアカウントのユーザー名とパスワードの変更は、処理中のストリーミングインスタンスオペレーションに影響しません。新しいストリーミングインスタンスオペレーションでは更新された認証情報が使用されます。詳細については、「ドメインの参加に使用するサービスアカウントの更新」を参照してください。

ディレクトリ設定を削除する

不要な AppStream 2.0 ディレクトリ設定は削除できます。Image Builder またはフリートに関連付けられているディレクトリ設定は削除できません。

ディレクトリ設定を削除するには

  1. AppStream 2.0 コンソールを https://console.aws.amazon.com/appstream2 で開きます。

  2. 左のナビゲーションペインで、[Directory Configs] を選択し削除するディレクトリ設定を選択します。

  3. [ Actions] で、[Delete ] を選択します。

  4. ポップアップメッセージの名前を確認し、[Delete] を選択します。

  5. [Update Directory Config] を選択します。

ドメインの信頼度を使用するように AppStream 2.0 を構成する

AppStream 2.0 は、あるドメインにファイルサーバー、アプリケーション、コンピュータオブジェクトなどのネットワークリソースが存在し、別のドメインにユーザーオブジェクトが存在するアクティブディレクトリドメイン環境をサポートします。コンピュータオブジェクトオペレーションに使用するドメインサービスアカウントが、AppStream 2.0 コンピュータオブジェクトと同じドメインにある必要はありません。

ディレクトリ設定を作成する際、適切なアクセス許可を持つサービスアカウントを指定して、サーバー、アプリケーション、コンピュータオブジェクト、その他のネットワークリソースが存在するアクティブディレクトリドメインのコンピュータオブジェクトを管理します。

エンドユーザーアクティブディレクトリアカウントには、以下に対して「Allowed to Authenticate」許可が必要です。

  • AppStream 2.0 コンピュータオブジェクト

  • ドメインのドメインコントローラー

詳細については、「アクティブディレクトリコンピュータオブジェクトを作成および管理するための許可の付与」を参照してください。

アクティブディレクトリでの AppStream 2.0 コンピュータオブジェクトの管理

AppStream 2.0 によって、コンピュータオブジェクトがアクティブディレクトリから削除されることはありません。これらのコンピュータオブジェクトはディレクトリで簡単に特定できます。ディレクトリ内の各コンピュータオブジェクトは、Description 属性で作成されます。この属性では、フリートまたは Image Builder インスタンスとその名前を指定します。

コンピュータオブジェクトの Description 例
タイプ 名前 Description 属性

フリート

ExampleFleet

AppStream 2.0 - fleet:ExampleFleet

Image Builder

ExampleImageBuilder

AppStream 2.0 - image-builder:ExampleImageBuilder

AppStream 2.0 によって作成された非アクティブなコンピュータオブジェクトを識別して削除するには、次の dsquery computer および dsrm コマンドを使用します。詳細については、Microsoft ドキュメントの Dsquery computerDsrm を参照してください。

dsquery コマンドは、一定期間非アクティブなコンピュータオブジェクトを識別します。また、次の形式が使用されます。さらに、dsquery コマンドは、AppStream 2.0 オブジェクトのみが表示されるように、-desc "AppStream 2.0*" パラメータを使用して実行されます。

dsquery computer "OU-distinguished-name" -desc "AppStream 2.0*" -inactive number-of-weeks-since-last-login
  • OU-distinguished-name は組織単位の識別名です。詳細については、「組織単位の識別子名を検索する」を参照してください。OU-distinguished-name パラメータを指定しない場合、ディレクトリ全体が検索されます。

  • number-of-weeks-since-last-log-in は、アイドル状態の定義方法に基づく任意の値です。

たとえば、次のコマンドでは、過去 2 週間以内にログインされていない OU=ExampleOU,DC=EXAMPLECO,DC=COM 組織単位内のすべてのコンピュータオブジェクトが表示されます。

dsquery computer OU=ExampleOU,DC=EXAMPLECO,DC=COM -desc "AppStream 2.0*" -inactive 2

一致が検出された場合、結果は 1 つまたは複数のオブジェクト名です。dsrm コマンドは指定したオブジェクトを削除し、次の形式を使用します。

dsrm objectname

ここで、objectnamedsquery コマンドの出力で取得された完全なオブジェクト名です。たとえば、上記の dsquery コマンドの結果が「ExampleComputer」という名前のコンピュータオブジェクトであるとすると、これを削除する dsrm コマンドは次のようになります。

dsrm "CN=ExampleComputer,OU=ExampleOU,DC=EXAMPLECO,DC=COM"

これらのコマンドは、パイプ (|) 演算子を使用してチェーン処理することができます。たとえば、それぞれに確認のプロンプトを表示しながらすべての AppStream 2.0 コンピュータオブジェクトを削除するには、次の形式を使用します。確認を無効にするには、-nopromptdsrm パラメータを追加します。

dsquery computer OU-distinguished-name -desc "AppStream 2.0*" –inactive number-of-weeks-since-last-log-in | dsrm