WorkSpaces Pools の Active Directory 管理

WorkSpaces Pools で Active Directory をセットアップして使用するには、次の管理タスクを行う必要があります。

アクティブディレクトリコンピュータオブジェクトを作成および管理するための許可の付与

WorkSpaces Pools に Active Directory コンピュータオブジェクト操作の実行を許可するには、十分なアクセス許可を持つアカウントが必要です。ベストプラクティスとして、必要最小限のアクセス許可のみを持つアカウントを使用します。最小限のアクティブディレクトリ組織単位 (OU) 許可は以下のとおりです。

• コンピュータオブジェクトの作成

• パスワードの変更

• [Reset Password] (パスワードのリセット)

• 説明の書き込み

アクセス許可をセットアップする前に、まず以下の操作を行う必要があります。

• ドメインに参加済みのコンピュータまたは EC2 インスタンスにアクセスします。

• Active Directory User and Computers MMC スナップインをインストールします。詳細については、Microsoft ドキュメントの「Installing or Removing Remote Server Administration Tools for Windows 7」を参照してください。

• 適切なアクセス権限を持つドメインユーザーとしてログインし、OU のセキュリティ設定を変更します。

• アクセス権限を委任するユーザーアカウント、サービスアカウント、またはグループを作成または指定します。

最小限のアクセス権限をセットアップするには

1. ドメインまたはドメインコントローラーで [Active Directory Users and Computers] (アクティブディレクトリユーザーとコンピュータ) を開きます。

2. 左のナビゲーションペインで、ドメイン参加権限を提供する最初の OU を選択して、コンテキスト (右クリック) メニューを開き、[制御の委任] を選択します。

3. [Delegation of Control Wizard] ページで、[Next]、[Add] の順に選択します。

4. [ユーザー、コンピュータ、グループの選択] で、事前に作成したユーザーアカウント、サービスアカウント、またはグループを選択し、[OK] を選択します。

5. [Tasks to Delegate] (委任するタスク) ページで、[Create a custom task to delegate] (委任するカスタムタスクの作成) を選択し、[Next (次へ) を選択します。

6. [Only the following objects in the folder]、[Computer objects] を選択します。

7. [Create selected objects in this folder]、[Next] を選択します。

8. [Permissions] で、[Read]、[Write]、[Change Password]、[Reset Password]、[Next] の順に選択します。

9. [Completing the Delegation of Control Wizard] ページで情報を確認し、[Finish] を選択します。

10. これらのアクセス権限を必要とする追加の OU に対して、ステップ 2 ～ 9 を繰り返します。

グループにアクセス権限を委任した場合は、強力なパスワードを持つユーザーアカウントまたはサービスアカウントを作成し、そのアカウントをグループに追加します。こうすることで、ディレクトリに WorkSpaces を接続するための十分な権限がこのアカウントに与えられます。WorkSpaces Pools ディレクトリ設定を作成するときはこのアカウントを使用します。

組織単位の識別子名を検索する

WorkSpaces Pools で Active Directory ドメインを登録する場合は､組織単位 (OU) の識別名が必要です。この目的のために OU を作成します。デフォルトのコンピュータコンテナは OU ではなく、WorkSpaces Pools で使用することはできません。以下に、この名前を取得する手順を示します。

注記

識別子名は、OU= で始まる必要があります。また、その名前をコンピュータオブジェクトに使用することはできません。

この手順を完了するには、まず以下の操作を行う必要があります。

• ドメインに参加済みのコンピュータまたは EC2 インスタンスにアクセスします。

• Active Directory User and Computers MMC スナップインをインストールします。詳細については、Microsoft ドキュメントの「Installing or Removing Remote Server Administration Tools for Windows 7」を参照してください。

• 適切なアクセス権限を持つドメインユーザーとしてログインし、OU のセキュリティプロパティを読み取ります。

OU 識別子名を確認するには

1. ドメインまたはドメインコントローラーで [Active Directory Users and Computers] (アクティブディレクトリユーザーとコンピュータ) を開きます。

2. [View] で、[Advanced Features] が有効になっていることを確認します。

3. 左のナビゲーションペインで、WorkSpaces コンピュータオブジェクトに使用する最初の OU を選択し、コンテキスト (右クリック) メニューを開いて [プロパティ] を選択します。

4. [Attribute Editor] を選択します。

5. [Attributes] の下の [distinguishedName] で、[View] を選択します。

6. [値] で識別子名を選択し、コンテキストメニューを開き、[コピー] を選択します。

カスタムイメージのローカル管理者権限を付与する

デフォルトでは、Active Directory ドメインユーザーにイメージのローカル管理者権限はありません。この権限を付与するには、ディレクトリのグループポリシーの設定を使用するか、手動でイメージのローカル管理者アカウントを使用します。ローカル管理者権限をドメインユーザーに付与すると、それらのユーザーは、WorkSpaces Pools でアプリケーションをインストールしたり、カスタムイメージを作成したりできます。

内容

• グループポリシー設定を使用する

• WorkSpace でローカル管理者グループを使用してイメージを作成する

グループポリシー設定を使用する

ローカル管理者権限をアクティブディレクトリのユーザーやグループに付与したり、または指定された OU のすべてのコンピュータオブジェクトに付与したりするには、グループポリシー設定を使用します。ローカル管理者のアクセス許可を付与するアクティブディレクトリユーザーまたはグループが既に存在している必要があります。グループポリシー設定を使用するには、まず、以下の操作を行う必要があります。

• ドメインに参加済みのコンピュータまたは EC2 インスタンスにアクセスします。

• グループポリシーマネジメントコンソール (GPMC) の MMC スナップインをインストールします。詳細については、Microsoft ドキュメントの「Installing or Removing Remote Server Administration Tools for Windows 7」を参照してください。

• アクセス許可を持つドメインユーザーとしてログインし、グループポリシーオブジェクト (GPO) を作成します。GPO を適切な OU にリンクします。

グループポリシー設定を使用して、ローカル管理者のアクセス許可を付与するには

1. ディレクトリまたはドメインコントローラーで、管理者としてコマンドプロンプトを開き、gpmc.msc と入力し、ENTER キーを押します。

2. 左のコンソールツリーで、新しい GPO を作成する OU、または既存の GPO を使用する OU を選択して、以下のいずれかの操作を行います。

   • コンテキスト (右クリック) メニューを開き、[Create a GPO in this domain, Link it here] を選択して、新しい GPO を作成します。[Name] に、この GPO のわかりやすい名前を入力します。

   • 既存の GPO を選択します。

3. GPO のコンテキストメニューを開き、[編集] を選択します。

4. コンソールツリーで、[Computer Configuration] (コンピュータの構成)、[設定]、[Windows Settings] (Windows 設定)、[Control Panel Settings] (コントロールパネル設定)、[Local Users and Groups] (ローカルユーザーおよびグループ) の順に選択します。

5. [Local Users and Groups] (ローカルユーザーおよびグループ) を選択して、コンテキストメニューを開き、[新規]、[Local Group] (ローカルグループ) の順に選択します。

6. [Action] で、[Update] を選択します。

7. [Group name] で、[Administrators(built-in)] を選択します。

8. [メンバー] で、[追加] を選択して、ストリーミングインスタンスに対するローカル管理者権限を割り当てるアクティブディレクトリユーザーアカウントまたはグループを指定します。[Action] で、[Add to this group] を選択し、[OK] を選択します。

9. この GPO を他の OU に適用するには、追加の OU を選択して、コンテキストメニューを開き、[Link an Existing GPO] (既存の GPO のリンク) を選択します。

10. ステップ 2 で指定した新規または既存の GPO 名を使用して、GPO までスクロールし、[OK] を選択します。

11. この設定が必要な追加の OU に対して、ステップ 9 および 10 を繰り返します。

12. 再度 [OK] を選択して、[New Local Group Properties] (新規のローカルグループプロパティ) ダイアログボックスを閉じます。

13. 再度 [OK] を選択し、GPMC を閉じます。

新しい設定を GPO に適用するには、実行中の Image Builder またはフロートを停止して再起動する必要があります。GPO がリンクされている OU の Image Builder およびフリートのローカル管理者権限が、ステップ 8 で指定したアクティブディレクトリユーザーおよびグループに自動的に付与されます。

WorkSpace でローカル管理者グループを使用してイメージを作成する

Active Directory ユーザーまたはグループにイメージのローカル管理者権限を付与するには、これらのユーザーまたはグループをイメージのローカル管理者グループに手動で追加します。

ローカル管理者権限を付与するアクティブディレクトリユーザーまたはグループが既に存在している必要があります。

1. イメージのビルドに使用する WorkSpace に接続します。WorkSpace が実行中でありドメイン参加済みである必要があります。

2. [開始]、[管理ツール] の順に選択し、[コンピュータの管理] をダブルクリックします。

3. 左のナビゲーションペインで、[Local Users and Groups] を選択して [Groups] フォルダを開きます。

4. [Administrators] グループを開いて [Add...] を選択します。

5. ローカル管理者権限を割り当てるアクティブディレクトリユーザーまたはグループをすべて選択して、[OK] を選択します。再度 [OK] を選択して、[管理者プロパティ] ダイアログボックスを閉じます。

6. コンピュータの管理を閉じます。

7. Active Directory ユーザーとしてログインし、そのユーザーに WorkSpaces のローカル管理者権限があるかどうかを確認するには、[管理者コマンド]、[ユーザーの切り替え] の順に選択し、該当するユーザーの認証情報を入力します。

ユーザーがアイドル状態の場合にストリーミングセッションをロックする

WorkSpaces Pools では、GPMC の設定を使用して、ユーザーが一定時間アイドル状態になったときにストリーミングセッションをロックできます。GPMC を使用するには、まず、以下の操作を行う必要があります。

• ドメインに参加済みのコンピュータまたは EC2 インスタンスにアクセスします。

• GPMC をインストールします。詳細については、Microsoft ドキュメントの「Installing or Removing Remote Server Administration Tools for Windows 7」を参照してください。

• アクセス許可を持つドメインとしてログインし、GPO を作成します。GPO を適切な OU にリンクします。

ユーザーがアイドル状態のときに自動的にストリーミングインスタンスをロックするには

1. ディレクトリまたはドメインコントローラーで、管理者としてコマンドプロンプトを開き、gpmc.msc と入力し、ENTER キーを押します。

2. 左のコンソールツリーで、新しい GPO を作成する OU、または既存の GPO を使用する OU を選択して、以下のいずれかの操作を行います。

   • コンテキスト (右クリック) メニューを開き、[Create a GPO in this domain, Link it here] を選択して、新しい GPO を作成します。[Name] に、この GPO のわかりやすい名前を入力します。

   • 既存の GPO を選択します。

3. GPO のコンテキストメニューを開き、[編集] を選択します。

4. [User Configuration] (ユーザーの構成) を [ポリシー]、[Administrative Templates] (管理用テンプレート)、[コントロールパネル] の順に展開し、[Personalization] (パーソナライズ) を選択します。

5. [スクリーンセーバーの有効化] をダブルクリックします。

6. [Enable screen saver] (スクリーンセーバーの有効化) ポリシー設定で、[有効] を選択します。

7. [適用]、[OK] の順に選択します。

8. [スクリーンセーバーの指定] をダブルクリックします。

9. [Force specific screen saver] (スクリーンセーバーの指定) ポリシー設定で、[有効] を選択します。

10. [Screen saver executable name (スクリーンセーバーの実行ファイル名)] に scrnsave.scr と入力します。この設定が有効になると、システムによってユーザーのデスクトップに黒いスクリーンセーバーが表示されます。

11. [適用]、[OK] の順に選択します。

12. [スクリーンセーバーのパスワード保護] をダブルクリックします。

13. [Password protect the screen saver] (スクリーンセーバーのパスワード保護) ポリシー設定で、[有効] を選択します。

14. [適用]、[OK] の順に選択します。

15. [スクリーンセーバーのタイムアウト] をダブルクリックします。

16. [Screen saver timeout] (スクリーンセーバーのタイムアウト) ポリシー設定で、[有効] を選択します。

17. [Seconds] (秒) に、スクリーンセーバーが適用されるまでのユーザーのアイドル時間の長さを指定します。アイドル時間を 10 分に設定するには、600 秒を指定します。

18. [適用]、[OK] の順に選択します。

19. コンソールツリーの [User Configuration] (ユーザーの構成) を、[ポリシー]、[Administrative Templates] (管理用テンプレート)、[システム] の順に展開し、[Ctrl+Alt+Del Options] を選択します。

20. [コンピュータのロック解除] をダブルクリックします。

21. [Remove Lock Computer] (コンピュータのロック解除) ポリシー設定で、[無効] を選択します。

22. [適用]、[OK] の順に選択します。

ドメイン信頼関係を使用するように WorkSpaces Pools を設定する

WorkSpaces Pools は、あるドメインにファイルサーバー、アプリケーション、コンピュータオブジェクトなどのネットワークリソースが存在し、別のドメインにユーザーオブジェクトが存在する Active Directory ドメイン環境をサポートします。コンピュータオブジェクト操作に使用するドメインサービスアカウントが、WorkSpaces Pools コンピュータオブジェクトと同じドメインにある必要はありません。

ディレクトリ設定を作成する際、適切なアクセス許可を持つサービスアカウントを指定して、サーバー、アプリケーション、コンピュータオブジェクト、その他のネットワークリソースが存在するアクティブディレクトリドメインのコンピュータオブジェクトを管理します。

エンドユーザーアクティブディレクトリアカウントには、以下に対して「Allowed to Authenticate」許可が必要です。

• WorkSpaces Pools コンピュータオブジェクト

• ドメインのドメインコントローラー

詳細については、「アクティブディレクトリコンピュータオブジェクトを作成および管理するための許可の付与」を参照してください。