翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
WorkSpaces プール Active Directory 管理
WorkSpaces プールで Active Directory をセットアップして使用するには、以下の管理タスクが必要です。
タスク
アクティブディレクトリコンピュータオブジェクトを作成および管理するための許可の付与
WorkSpaces プールが Active Directory コンピュータオブジェクトオペレーションを実行できるようにするには、十分なアクセス許可を持つアカウントが必要です。ベストプラクティスとして、必要最小限のアクセス許可のみを持つアカウントを使用します。最小限のアクティブディレクトリ組織単位 (OU) 許可は以下のとおりです。
-
コンピュータオブジェクトの作成
-
パスワードの変更
-
[Reset Password] (パスワードのリセット)
-
説明の書き込み
アクセス許可をセットアップする前に、まず以下の操作を行う必要があります。
-
ドメインに参加しているコンピュータまたはEC2インスタンスへのアクセスを取得します。
-
Active Directory ユーザーとコンピュータのMMCスナップインをインストールします。詳細については、Microsoft ドキュメントの「Installing or Removing Remote Server Administration Tools for Windows 7
」を参照してください。 -
適切なアクセス権限を持つドメインユーザーとしてログインし、OU のセキュリティ設定を変更します。
-
アクセス権限を委任するユーザーアカウント、サービスアカウント、またはグループを作成または指定します。
最小限のアクセス権限をセットアップするには
-
ドメインまたはドメインコントローラーで [Active Directory Users and Computers] (アクティブディレクトリユーザーとコンピュータ) を開きます。
-
左のナビゲーションペインで、ドメイン参加権限を提供する最初の OU を選択して、コンテキスト (右クリック) メニューを開き、[制御の委任] を選択します。
-
[Delegation of Control Wizard] ページで、[Next]、[Add] の順に選択します。
-
[ユーザー、コンピュータ、グループの選択] で、事前に作成したユーザーアカウント、サービスアカウント、またはグループを選択し、[OK] を選択します。
-
[Tasks to Delegate] (委任するタスク) ページで、[Create a custom task to delegate] (委任するカスタムタスクの作成) を選択し、[Next (次へ) を選択します。
-
[Only the following objects in the folder]、[Computer objects] を選択します。
-
[Create selected objects in this folder]、[Next] を選択します。
-
[Permissions] で、[Read]、[Write]、[Change Password]、[Reset Password]、[Next] の順に選択します。
-
[Completing the Delegation of Control Wizard] ページで情報を確認し、[Finish] を選択します。
-
これらのアクセス許可を必要とする追加の についてはOUs、ステップ 2~9 を繰り返します。
グループにアクセス権限を委任した場合は、強力なパスワードを持つユーザーアカウントまたはサービスアカウントを作成し、そのアカウントをグループに追加します。このアカウントには、 を ディレクトリに接続するための十分な権限 WorkSpaces があります。 WorkSpaces プールディレクトリ設定を作成するときは、このアカウントを使用します。
組織単位の識別子名を検索する
Active Directory ドメインを WorkSpaces プールに登録するときは、組織単位 (OU) の識別名を指定する必要があります。この目的のために OU を作成します。デフォルトのコンピュータコンテナは OU ではなく、 WorkSpaces プールでは使用できません。以下に、この名前を取得する手順を示します。
注記
識別子名は、OU=
で始まる必要があります。また、その名前をコンピュータオブジェクトに使用することはできません。
この手順を完了するには、まず以下の操作を行う必要があります。
-
ドメインに参加しているコンピュータまたはEC2インスタンスへのアクセスを取得します。
-
Active Directory ユーザーとコンピュータのMMCスナップインをインストールします。詳細については、Microsoft ドキュメントの「Installing or Removing Remote Server Administration Tools for Windows 7
」を参照してください。 -
適切なアクセス権限を持つドメインユーザーとしてログインし、OU のセキュリティプロパティを読み取ります。
OU 識別子名を確認するには
-
ドメインまたはドメインコントローラーで [Active Directory Users and Computers] (アクティブディレクトリユーザーとコンピュータ) を開きます。
-
[View] で、[Advanced Features] が有効になっていることを確認します。
-
左側のナビゲーションペインで、 WorkSpaces コンピュータオブジェクトに使用する最初の OU を選択し、コンテキスト (右クリック) メニューを開き、プロパティ を選択します。
-
[Attribute Editor] を選択します。
-
属性 で、 に を表示 distinguishedNameを選択します。
-
[値] で識別子名を選択し、コンテキストメニューを開き、[コピー] を選択します。
カスタムイメージに対するローカル管理者権限の付与
デフォルトでは、Active Directory ドメインユーザーにはイメージに対するローカル管理者権限がありません。これらの権限は、ディレクトリでグループポリシー設定を使用するか、イメージのローカル管理者アカウントを使用して手動で付与できます。ドメインユーザーにローカル管理者権限を付与すると、そのユーザーは にアプリケーションをインストールし、 WorkSpaces プールにカスタムイメージを作成できます。
グループポリシー設定を使用する
ローカル管理者権限をアクティブディレクトリのユーザーやグループに付与したり、または指定された OU のすべてのコンピュータオブジェクトに付与したりするには、グループポリシー設定を使用します。ローカル管理者のアクセス許可を付与するアクティブディレクトリユーザーまたはグループが既に存在している必要があります。グループポリシー設定を使用するには、まず、以下の操作を行う必要があります。
-
ドメインに参加しているコンピュータまたはEC2インスタンスへのアクセスを取得します。
-
グループポリシー管理コンソール (GPMC) のMMCスナップインをインストールします。詳細については、Microsoft ドキュメントの「Installing or Removing Remote Server Administration Tools for Windows 7
」を参照してください。 -
グループポリシーオブジェクト () を作成するアクセス許可を持つドメインユーザーとしてログインしますGPOs。適切な GPOsにリンクしますOUs。
グループポリシー設定を使用して、ローカル管理者のアクセス許可を付与するには
-
ディレクトリまたはドメインコントローラーで、管理者としてコマンドプロンプトを開き、 と入力して
gpmc.msc
、 を押しますENTER。 -
左側のコンソールツリーで、新しい を作成する OU GPOまたは既存の を使用する OU を選択しGPO、次のいずれかを実行します。
-
コンテキスト (右クリック) メニューGPOを開き、このドメインGPOで を作成する を選択して新しい を作成します。ここでリンクします。名前 には、この のわかりやすい名前を指定しますGPO。
-
既存の を選択しますGPO。
-
-
のコンテキストメニューを開きGPO、編集 を選択します。
-
コンソールツリーで、[Computer Configuration] (コンピュータの構成)、[設定]、[Windows Settings] (Windows 設定)、[Control Panel Settings] (コントロールパネル設定)、[Local Users and Groups] (ローカルユーザーおよびグループ) の順に選択します。
-
[Local Users and Groups] (ローカルユーザーおよびグループ) を選択して、コンテキストメニューを開き、[新規]、[Local Group] (ローカルグループ) の順に選択します。
-
[Action] で、[Update] を選択します。
-
[Group name] で、[Administrators(built-in)] を選択します。
-
[メンバー] で、[追加] を選択して、ストリーミングインスタンスに対するローカル管理者権限を割り当てるアクティブディレクトリユーザーアカウントまたはグループを指定します。[Action] で、[Add to this group] を選択し、[OK] を選択します。
-
これをGPO他の に適用するにはOUs、追加の OU を選択し、コンテキストメニューを開き、既存の をリンクGPOを選択します。
-
ステップ 2 で指定した新規または既存のGPO名前を使用して、スクロールして を検索しGPO、OK を選択します。
-
この設定が必要な追加 についてはOUs、ステップ 9 と 10 を繰り返します。
-
再度 [OK] を選択して、[New Local Group Properties] (新規のローカルグループプロパティ) ダイアログボックスを閉じます。
-
もう一度 OK を選択して、 を閉じますGPMC。
新しい設定を に適用するにはGPO、実行中の Image Builder またはフリートを停止して再起動する必要があります。ステップ 8 で指定した Active Directory ユーザーとグループには、 GPOがリンクされている OU 内の Image Builder とフリートに対するローカル管理者権限が自動的に付与されます。
でローカル管理者グループ WorkSpace を使用してイメージを作成する
Active Directory ユーザーまたはグループにイメージに対するローカル管理者権限を付与するには、イメージ上のローカル管理者グループにこれらのユーザーまたはグループを手動で追加できます。
ローカル管理者権限を付与するアクティブディレクトリユーザーまたはグループが既に存在している必要があります。
-
イメージの構築 WorkSpace に使用する に接続します。は実行中で、ドメインに参加している WorkSpace 必要があります。
-
[開始]、[管理ツール] の順に選択し、[コンピュータの管理] をダブルクリックします。
-
左のナビゲーションペインで、[Local Users and Groups] を選択して [Groups] フォルダを開きます。
-
[Administrators] グループを開いて [Add...] を選択します。
-
ローカル管理者権限を割り当てるアクティブディレクトリユーザーまたはグループをすべて選択して、[OK] を選択します。再度 [OK] を選択して、[管理者プロパティ] ダイアログボックスを閉じます。
-
コンピュータの管理を閉じます。
-
Active Directory ユーザーとしてログインし、そのユーザーに に対するローカル管理者権限があるかどうかをテストするには WorkSpaces、Admin Commands 、 Switch user を選択し、関連するユーザーの認証情報を入力します。
ユーザーがアイドル状態の場合にストリーミングセッションをロックする
WorkSpaces プールは、ユーザーが指定した時間アイドル状態になった後にストリーミングセッションをロックGPMCするように で設定した設定に依存します。を使用するにはGPMC、まず次の操作を行う必要があります。
-
ドメインに参加しているコンピュータまたはEC2インスタンスへのアクセスを取得します。
-
をインストールしますGPMC。詳細については、Microsoft ドキュメントの「Installing or Removing Remote Server Administration Tools for Windows 7
」を参照してください。 -
を作成するアクセス許可を持つドメインユーザーとしてログインしますGPOs。適切な GPOsにリンクしますOUs。
ユーザーがアイドル状態のときに自動的にストリーミングインスタンスをロックするには
-
ディレクトリまたはドメインコントローラーで、管理者としてコマンドプロンプトを開き、 と入力して
gpmc.msc
、 を押しますENTER。 -
左側のコンソールツリーで、新しい を作成する OU GPOまたは既存の を使用する OU を選択しGPO、次のいずれかを実行します。
-
コンテキスト (右クリック) メニューGPOを開き、このドメインGPOで を作成する を選択し、ここでリンクして新しい を作成します。名前 には、この のわかりやすい名前を指定しますGPO。
-
既存の を選択しますGPO。
-
-
のコンテキストメニューを開きGPO、編集 を選択します。
-
[User Configuration] (ユーザーの構成) を [ポリシー]、[Administrative Templates] (管理用テンプレート)、[コントロールパネル] の順に展開し、[Personalization] (パーソナライズ) を選択します。
-
[スクリーンセーバーの有効化] をダブルクリックします。
-
[Enable screen saver] (スクリーンセーバーの有効化) ポリシー設定で、[有効] を選択します。
-
[適用]、[OK] の順に選択します。
-
[スクリーンセーバーの指定] をダブルクリックします。
-
[Force specific screen saver] (スクリーンセーバーの指定) ポリシー設定で、[有効] を選択します。
-
[Screen saver executable name (スクリーンセーバーの実行ファイル名)] に
scrnsave.scr
と入力します。この設定が有効になると、システムによってユーザーのデスクトップに黒いスクリーンセーバーが表示されます。 -
[適用]、[OK] の順に選択します。
-
[スクリーンセーバーのパスワード保護] をダブルクリックします。
-
[Password protect the screen saver] (スクリーンセーバーのパスワード保護) ポリシー設定で、[有効] を選択します。
-
[適用]、[OK] の順に選択します。
-
[スクリーンセーバーのタイムアウト] をダブルクリックします。
-
[Screen saver timeout] (スクリーンセーバーのタイムアウト) ポリシー設定で、[有効] を選択します。
-
[Seconds] (秒) に、スクリーンセーバーが適用されるまでのユーザーのアイドル時間の長さを指定します。アイドル時間を 10 分に設定するには、600 秒を指定します。
-
[適用]、[OK] の順に選択します。
-
コンソールツリーの [User Configuration] (ユーザーの構成) を、[ポリシー]、[Administrative Templates] (管理用テンプレート)、[システム] の順に展開し、[Ctrl+Alt+Del Options] を選択します。
-
[コンピュータのロック解除] をダブルクリックします。
-
[Remove Lock Computer] (コンピュータのロック解除) ポリシー設定で、[無効] を選択します。
-
[適用]、[OK] の順に選択します。
ドメイントラストを使用するように WorkSpaces プールを設定する
WorkSpaces プールは、ファイルサーバー、アプリケーション、コンピュータオブジェクトなどのネットワークリソースが 1 つのドメインに存在し、ユーザーオブジェクトが別のドメインに存在する Active Directory ドメイン環境をサポートします。コンピュータオブジェクト操作に使用されるドメインサービスアカウントは、 WorkSpaces Pools コンピュータオブジェクトと同じドメインに存在する必要はありません。
ディレクトリ設定を作成する際、適切なアクセス許可を持つサービスアカウントを指定して、サーバー、アプリケーション、コンピュータオブジェクト、その他のネットワークリソースが存在するアクティブディレクトリドメインのコンピュータオブジェクトを管理します。
エンドユーザーアクティブディレクトリアカウントには、以下に対して「Allowed to Authenticate」許可が必要です。
-
WorkSpaces プールコンピュータオブジェクト
-
ドメインのドメインコントローラー
詳細については、「アクティブディレクトリコンピュータオブジェクトを作成および管理するための許可の付与」を参照してください。