AppStream 2.0 Active Directory 관리 - Amazon AppStream 2.0

문서의 영문과 번역 사이에 충돌이 있는 경우에는 영문 버전을 따릅니다. 번역 버전은 기계 번역을 사용하여 제공합니다.

AppStream 2.0 Active Directory 관리

AppStream 2.0에서 Active Directory를 설정 및 사용하려면 다음 관리 작업을 수행해야 합니다.

Active Directory 컴퓨터 객체를 생성 및 관리할 수 있는 권한 부여

AppStream 2.0에서 Active Directory 컴퓨터 객체 작업을 실행하려면 충분한 권한이 부여된 계정이 필요합니다. 가장 좋은 방법은 필요한 최소 권한만을 가진 계정을 사용하는 것입니다. Active Directory 조직 단위(OU)의 최소 권한은 다음과 같습니다.

  • 컴퓨터 객체 생성

  • 비밀번호 변경

  • 비밀번호 재설정

  • 설명 쓰기

권한을 설정하려면 먼저 다음 작업을 수행해야 합니다.

  • 도메인에 조인되는 컴퓨터 또는 EC2 인스턴스에 대한 액세스 권한을 확보합니다.

  • Active Directory User and Computers MMC 스냅인을 설치합니다. 자세한 내용은 Microsoft 설명서의 Windows 7용 원격 서버 관리 도구의 설치 또는 제거를 참조하십시오.

  • OU 보안 설정을 수정할 수 있는 권한이 부여된 도메인 사용자로 로그인합니다.

  • 권한을 위임할 사용자 계정, 서비스 계정 또는 그룹을 생성하거나 식별합니다.

최소 권한을 설정하려면

  1. 도메인에서 또는 도메인 컨트롤러에서 Active Directory 사용자 및 컴퓨터를 엽니다.

  2. 왼쪽 탐색 창에서 도메인 조인 권한을 부여할 첫 번째 OU를 선택하고 컨텍스트(마우스 오른쪽 버튼 클릭) 메뉴를 연 다음 제어 위임을 선택합니다.

  3. [Delegation of Control Wizard] 페이지에서 [Next]와 [Add]를 차례대로 선택합니다.

  4. Select Users, Computers, or Groups(사용자, 컴퓨터 또는 그룹 선택)에서 사전 생성된 사용자 계정, 서비스 계정 또는 그룹을 선택한 다음 확인을 선택합니다.

  5. 위임할 작업 페이지에서 위임할 사용자 지정 작업 만들기를 선택하고 다음을 선택합니다.

  6. [Only the following objects in the folder]와 [Computer objects]를 차례대로 선택합니다.

  7. [Create selected objects in this folder]와 [Next]를 차례대로 선택합니다.

  8. [Permissions]에서 [Read], [Write], [Change Password], [Reset Password], [Next]를 차례대로 선택합니다.

  9. Completing the Delegation of Control Wizard 페이지에서 정보를 확인하고 [Finish]를 선택합니다.

  10. 이러한 권한이 필요한 OU가 더 있는 경우에는 2~9단계를 반복합니다.

그룹에 권한을 위임한 경우에는 강력한 암호로 사용자 또는 서비스 계정을 생성한 다음 이 계정을 그룹에 추가합니다. 그러면 이 계정은 스트리밍 인스턴스를 디렉터리에 연결할 수 있는 충분한 권한을 갖게 됩니다. AppStream 2.0 디렉터리 구성을 생성할 때도 이 계정을 사용할 수 있습니다.

조직 단위의 고유 이름 찾기

Active Directory 도메인을 AppStream 2.0에 등록할 때는 조직 단위(OU)의 고유 이름을 입력해야 합니다. 이를 위해 OU를 생성합니다. 기본 컴퓨터 컨테이너는 OU가 아니며 AppStream 2.0에서 사용할 수 없습니다. 다음은 고유 이름을 가져오는 방법을 나타낸 절차입니다.

참고

고유 이름은 OU=로 시작해야 하며 그렇지 않은 경우 컴퓨터 객체에 사용할 수 없습니다.

이 절차를 완료하기 전에 먼저 다음을 수행해야 합니다.

  • 도메인에 조인되는 컴퓨터 또는 EC2 인스턴스에 대한 액세스 권한을 확보합니다.

  • Active Directory User and Computers MMC 스냅인을 설치합니다. 자세한 내용은 Microsoft 설명서의 Windows 7용 원격 서버 관리 도구의 설치 또는 제거를 참조하십시오.

  • OU 보안 속성을 읽을 수 있는 권한이 부여된 도메인 사용자로 로그인합니다.

OU의 고유 이름을 찾으려면

  1. 도메인에서 또는 도메인 컨트롤러에서 Active Directory 사용자 및 컴퓨터를 엽니다.

  2. [View] 아래에서 [Advanced Features]가 활성화되어 있는지 확인합니다.

  3. 왼쪽 탐색 창에서 AppStream 2.0 스트리밍 인스턴스 객체에 사용할 첫 번째 OU를 선택하고 컨텍스트 메뉴(오른쪽 클릭)를 연 다음 속성을 선택합니다.

  4. [Attribute Editor]를 선택합니다.

  5. [Attributes ] 아래 있는 [distinguishedName]에서 [View ]를 선택합니다.

  6. 에서 고유 이름을 선택하고 컨텍스트 메뉴를 연 다음 복사를 선택합니다.

이미지 빌더에 대한 로컬 관리자 권한 부여

기본적으로 Active Directory 도메인 사용자는 이미지 빌더 인스턴스에 대한 로컬 관리자 권한이 없습니다. 하지만 이러한 권한은 디렉터리에서 그룹 정책 기본 설정을 사용하여 부여하거나, 또는 이미지 빌더의 로컬 관리자 계정에서 수동으로 부여할 수 있습니다. 도메인 사용자에 로컬 관리자 권한을 부여하면 사용자가 AppStream 2.0 이미지 빌더에서 애플리케이션을 설치하고 이미지를 생성할 수 있습니다.

그룹 정책 기본 설정 사용

그룹 정책 기본 설정을 사용하여 Active Directory 사용자 또는 그룹과 지정된 OU의 모든 컴퓨터 객체에 로컬 관리자 권한을 부여할 수 있습니다. 로컬 관리자 권한을 부여할 Active Directory 사용자나 그룹이 이미 존재해야 합니다. 그룹 정책 기본 설정을 사용하려면 먼저 다음을 수행해야 합니다.

  • 도메인에 조인되는 컴퓨터 또는 EC2 인스턴스에 대한 액세스 권한을 확보합니다.

  • 그룹 정책 관리 콘솔(GPMC) MMC 스냅인을 설치합니다. 자세한 내용은 Microsoft 설명서의 Windows 7용 원격 서버 관리 도구의 설치 또는 제거를 참조하십시오.

  • 권한을 가진 도메인 사용자로 로그인하여 그룹 정책 객체(GPO)를 생성합니다. GPO를 해당 OU에 연결합니다.

그룹 정책 기본 설정을 사용하여 로컬 관리자 권한을 부여하려면

  1. 디렉터리 또는 도메인 컨트롤러에서 명령 프롬프트를 관리자로 열고 gpmc.msc를 입력한 다음 ENTER를 누릅니다.

  2. 왼쪽 콘솔 트리에서 새 GPO를 생성할 OU를 선택하거나 기존 GPO를 사용하고 나서, 다음 중 하나를 수행합니다.

    • 컨텍스트(마우스 오른쪽 버튼 클릭) 메뉴를 열어서 Create a GPO in this domain, Link it here(이 도메인에서 GPO 생성, 여기에 연결)를 선택하여 새 GPO를 생성합니다. [Name]에 이 GPO를 설명하는 이름을 입력합니다.

    • 기존 GPO를 선택합니다.

  3. GPO의 컨텍스트 메뉴를 열고 편집을 선택합니다.

  4. 콘솔 트리에서 컴퓨터 구성, 기본 설정, Windows 설정, 제어판 설정로컬 사용자 및 그룹을 선택합니다.

  5. 로컬 사용자 및 그룹을 선택하고 컨텍스트 메뉴를 연 다음, 새로 만들기, 로컬 그룹을 차례로 선택합니다.

  6. [Action]에서 [Update]를 선택합니다.

  7. [Group name]에서 [Administrators (built-in)]를 선택합니다.

  8. [Members] 아래에서 [Add…]를 선택하고 스트리밍 인스턴스에 대한 로컬 관리자 권한을 할당할 Active Directory 사용자 계정 또는 그룹을 지정합니다. [Action]에서 [Add to this group]과 [OK]를 차례대로 선택합니다.

  9. 이 GPO를 다른 OU에 적용하려면 다른 OU를 선택하고 컨텍스트 메뉴를 연 다음 기존 GPO 연결을 선택합니다.

  10. 2단계에서 지정한 새 GPO 또는 기존 GPO 이름을 사용하여 스크롤해서 해당 GPO 위치로 이동하고 나서 확인을 선택합니다.

  11. 이 기본 설정을 지정해야 하는 추가 OU에 대해 9단계와 10단계를 반복합니다.

  12. 확인을 선택하여 New Local Group Properties(새 로컬 그룹 속성) 대화 상자를 닫습니다.

  13. 확인을 다시 선택하여 GPMC를 닫습니다.

새 기본 설정을 GPO에 적용하려면 실행 중인 모든 이미지 빌더나 플릿을 중지했다가 다시 시작해야 합니다. 8단계에서 지정한 Active Directory 사용자 및 그룹에 GPO가 연결된 OU의 이미지 빌더 및 플릿에 대한 로컬 관리자 권한이 자동으로 부여됩니다.

이미지 빌더에 로컬 관리자 그룹 사용

이미지 빌더에 대한 Active Directory 사용자 또는 그룹 로컬 관리자 권한을 부여하려면 이미지 빌더의 로컬 관리자 그룹에 이러한 사용자나 그룹을 수동으로 추가합니다. 이러한 권한을 가진 이미지에서 생성되는 이미지 빌더는 동일한 권한을 유지합니다.

단, 로컬 관리자 권한을 부여할 Active Directory 사용자 또는 그룹이 사전에 존재해야 합니다.

Active Directory 사용자나 그룹을 이미지 빌더의 로컬 관리자 그룹에 추가하려면

  1. https://console.aws.amazon.com/appstream2에서 AppStream 2.0 콘솔을 엽니다.

  2. 이미지 빌더에 관리자 모드로 연결합니다. 이때 이미지 빌더는 실행 중이고 도메인에 병합되어야 합니다. 자세한 내용은 자습서: Active Directory 설정 단원을 참조하십시오.

  3. 시작, 관리 도구를 차례로 선택하고 나서 컴퓨터 관리를 두 번 클릭합니다.

  4. 왼쪽 탐색 창에서 [Local Users and Groups]를 선택하고 [Groups] 폴더를 엽니다.

  5. [Administrators] 그룹을 열고 [Add...]를 선택합니다.

  6. 로컬 관리자 권한을 할당할 Active Directory 사용자 또는 그룹을 모두 선택한 다음 [OK]를 선택합니다. 확인을 다시 선택하여 관리자 속성 대화 상자를 닫습니다.

  7. 컴퓨터 관리를 닫습니다.

  8. Active Directory 사용자로 로그인하고 사용자가 이미지 빌더에 대한 로컬 관리자 권한이 있는지 여부를 테스트하려면 Admin Commands(관리자 명령)를 선택하고 사용자 전환을 선택한 다음 관련 사용자의 자격 증명을 입력합니다.

도메인 병합에 사용되는 서비스 계정 업데이트

AppStream 2.0이 도메인 조인에 사용하는 서비스 계정을 업데이트하려면 별도의 서비스 계정 두 개를 사용하여 이미지 빌더 및 플릿을 Active Directory 도메인에 조인하는 것이 좋습니다. 별도의 서비스 계정 두 개를 사용하면 암호 만료 등으로 서비스 계정을 업데이트해야 할 때 서비스를 중단할 필요가 없습니다.

서비스 계정을 업데이트하려면

  1. Active Directory 그룹을 생성한 후 이 그룹에게 올바른 권한을 위임합니다.

  2. 서비스 계정을 새로운 Active Directory 그룹에 추가합니다.

  3. 필요할 경우 새 서비스 계정에 대한 사용자 이름 및 암호를 입력하여 AppStream 2.0 디렉터리 구성 객체를 편집합니다.

새로운 서비스 계정을 사용하여 Active Directory 그룹 설정을 마친 후부터는 새로운 스트리밍 인스턴스 작업을 실행할 때마다 새로운 서비스 계정을 사용하는 반면 실행 중인 스트리밍 인스턴스 작업은 중단 없이 이전 계정을 계속해서 사용합니다.

실행 중인 스트리밍 인스턴스 작업을 마칠 때 서비스 계정이 중복되는 시간은 매우 짧아서 하루를 넘기지 않습니다. 중복 기간에 이전 서비스 계정의 암호를 삭제하거나 변경해서는 안 되기 때문에 중복 시간이 필요합니다. 그렇지 않으면 작업이 중단될 수 있습니다.

사용자 유휴 시 스트리밍 세션 잠금

AppStream 2.0은 사용자가 일정 시간 동안 유휴 상태로 있고 난 후 GPMC에서 구성하는 설정에 의존하여 스트리밍 세션을 잠급니다. GPMC를 사용하려면 먼저 다음을 수행해야 합니다.

  • 도메인에 조인되는 컴퓨터 또는 EC2 인스턴스에 대한 액세스 권한을 확보합니다.

  • GPMC를 설치합니다. 자세한 내용은 Microsoft 설명서의 Windows 7용 원격 서버 관리 도구의 설치 또는 제거를 참조하십시오.

  • GPO 생성 권한이 있는 도메인 사용자로 로그인합니다. GPO를 해당 OU에 연결합니다.

사용자 유휴 시 스트리밍 인스턴스를 자동으로 잠그려면

  1. 디렉터리 또는 도메인 컨트롤러에서 명령 프롬프트를 관리자로 열고 gpmc.msc를 입력한 다음 ENTER를 누릅니다.

  2. 왼쪽 콘솔 트리에서 새 GPO를 생성할 OU를 선택하거나 기존 GPO를 사용하고 나서, 다음 중 하나를 수행합니다.

    • 컨텍스트(마우스 오른쪽 버튼 클릭) 메뉴를 열어서 Create a GPO in this domain, Link it here(이 도메인에서 GPO 생성, 여기에 연결)를 선택하여 새 GPO를 생성합니다. [Name]에 이 GPO를 설명하는 이름을 입력합니다.

    • 기존 GPO를 선택합니다.

  3. GPO의 컨텍스트 메뉴를 열고 편집을 선택합니다.

  4. 사용자 구성에서 정책, 관리 템플릿, 제어판을 차례로 확장하고 나서 개인 설정을 선택합니다.

  5. 화면 보호기 사용을 두 번 클릭합니다.

  6. 화면 보호기 사용 정책 설정에서 사용을 선택합니다.

  7. [Apply]를 선택하고 [OK]를 선택합니다.

  8. 특정 화면 보호기 강제 적용을 두 번 클릭합니다.

  9. 특정 화면 보호기 강제 적용 정책 설정에서 사용을 선택합니다.

  10. 화면 보호기 실행 파일scrnsave.scr을 입력합니다. 이 설정이 활성화되면 사용자의 바탕 화면에 검은색 화면 보호기가 표시됩니다.

  11. [Apply]를 선택하고 [OK]를 선택합니다.

  12. Password protect the screen saver(화면 보호기 암호로 보호)를 두 번 클릭합니다.

  13. Password protect the screen saver(화면 보호기 암호로 보호) 정책 설정에서 사용을 선택합니다.

  14. [Apply]를 선택하고 [OK]를 선택합니다.

  15. 화면 보호기 시간 제한을 두 번 클릭합니다.

  16. 화면 보호기 시간 제한 정책 설정에서 사용을 선택합니다.

  17. 에 화면 보호기가 적용되기 전 사용자가 유휴 상태로 있어야 하는 기간을 지정합니다. 유휴 시간을 10분으로 설정하려면 600초를 지정합니다.

  18. [Apply]를 선택하고 [OK]를 선택합니다.

  19. 콘솔 트리의 사용자 구성에서 정책, 관리 템플릿, 시스템을 차례로 확장한 다음 Ctrl+Alt+Del 옵션을 선택합니다.

  20. 컴퓨터 잠금 사용 안 함을 두 번 클릭합니다.

  21. 컴퓨터 잠금 사용 안 함 정책 설정에서 사용 안 함을 선택합니다.

  22. [Apply]를 선택하고 [OK]를 선택합니다.

디렉터리 구성 편집

AppStream 2.0 디렉터리 구성을 생성한 이후에도 편집하여 조직 단위를 추가, 제거 또는 수정하거나, 서비스 계정 사용자 이름을 업데이트하거나, 혹은 서비스 계정 암호를 업데이트할 수 있습니다.

디렉터리 구성을 업데이트하려면

  1. https://console.aws.amazon.com/appstream2에서 AppStream 2.0 콘솔을 엽니다.

  2. 왼쪽 탐색 창에서 [Directory Configs]를 선택한 다음 편집할 디렉터리 구성을 선택합니다.

  3. [Actions], [Edit]를 선택합니다.

  4. 변경할 필드를 업데이트합니다. OU를 추가하려면 최상단 OU 필드 옆에 있는 더하기 기호([+])를 선택합니다. OU 필드를 제거하려면 해당 필드 오른쪽에 있는 [x]를 선택합니다.

    참고

    OU는 최소 1개 이상 필요합니다. 현재 사용 중인 OU는 제거할 수 없습니다.

  5. 변경 내용을 저장하려면 [Update Directory Config]를 선택합니다.

  6. 이제 [Details] 탭의 정보가 변경 내용을 반영하여 업데이트됩니다.

서비스 계정 사용자 이름 및 암호를 변경하더라도 실행 중인 스트리밍 인스턴스 작업에는 아무런 영향도 미치지 않습니다. 업데이트된 자격 증명은 새로운 스트리밍 인스턴스 작업에서 사용됩니다. 자세한 내용은 도메인 병합에 사용되는 서비스 계정 업데이트 단원을 참조하십시오.

디렉터리 구성 삭제

더 이상 필요 없는 AppStream 2.0 디렉터리 구성은 삭제할 수 있습니다. 단, 이미지 빌더나 플릿에 연결되어 있는 디렉터리 구성은 삭제하지 못합니다.

디렉터리 구성을 삭제하려면

  1. https://console.aws.amazon.com/appstream2에서 AppStream 2.0 콘솔을 엽니다.

  2. 왼쪽 탐색 창에서 [Directory Configs]를 선택한 다음 삭제할 디렉터리 구성을 선택합니다.

  3. [Actions], [Delete]를 선택합니다.

  4. 팝업 메시지에서 이름을 확인한 후 [Delete]를 선택합니다.

  5. [Update Directory Config]를 선택합니다.

도메인 신뢰를 사용하도록 AppStream 2.0 구성

AppStream 2.0은 Active Directory 도메인 환경을 지원합니다. 이 도메인 환경에서는 파일 서버, 애플리케이션, 컴퓨터 객체 같은 네트워크 리소스가 한 도메인에 속하고, 사용자 객체가 다른 도메인에 속합니다. 컴퓨터 객체 작업에 사용되는 도메인 서비스 계정은 AppStream 2.0 컴퓨터 객체와 동일한 도메인에 속하지 않아도 됩니다.

디렉터리 구성을 생성할 때는 파일 서버, 애플리케이션, 컴퓨터 객체 및 기타 네트워크 리소스가 상주하는 Active Directory 도메인의 컴퓨터 객체를 관리할 수 있는 권한을 가진 서비스 계정을 지정합니다.

최종 사용자의 Active Directory 계정은 다음과 같은 경우에 "인증 허용(Allowed to Authenticate)" 권한이 필요합니다.

  • AppStream 2.0 컴퓨터 객체

  • 도메인에 대한 도메인 컨트롤러

자세한 내용은 Active Directory 컴퓨터 객체를 생성 및 관리할 수 있는 권한 부여 단원을 참조하십시오.

Active Directory의 AppStream 2.0 컴퓨터 객체 관리

AppStream 2.0은 Active Directory의 컴퓨터 객체를 삭제하지 않습니다. 이 컴퓨터 객체는 디렉터리에서 쉽게 식별할 수 있습니다. 디렉터리의 컴퓨터 객체는 각각 플릿 또는 이미지 빌더 인스턴스와 이름을 지정하는 Description 속성으로 생성됩니다.

컴퓨터 객체 설명 예
Type 이름 Description 속성

플릿

ExampleFleet

AppStream 2.0 - fleet:ExampleFleet

이미지 빌더

ExampleImageBuilder

AppStream 2.0 - image-builder:ExampleImageBuilder

AppStream 2.0에서 생성된 비활성 컴퓨터 객체는 dsquery computerdsrm 명령을 사용하여 식별하고 삭제할 수 있습니다. 자세한 내용은 Microsoft 설명서의 Dsquery computerDsrm을 참조하십시오.

dsquery 명령은 일정 기간 비활성 상태인 컴퓨터 객체를 식별하며 다음 형식을 따릅니다. 또한 dsquery 명령을 -desc "AppStream 2.0*" 파라미터와 함께 실행하면 AppStream 2.0 객체만 표시할 수 있습니다.

dsquery computer "OU-distinguished-name" -desc "AppStream 2.0*" -inactive number-of-weeks-since-last-login
  • OU-distinguished-name은 조직 단위의 고유 이름입니다. 자세한 내용은 조직 단위의 고유 이름 찾기 단원을 참조하십시오. 명령에 OU-distinguished-name 파라미터를 입력하지 않으면 전체 디렉터리를 검색합니다.

  • number-of-weeks-since-last-log-in은 비활성 정의 방식을 정의하는 데 기준으로 사용할 값입니다.

예를 들어 다음 명령은 OU=ExampleOU,DC=EXAMPLECO,DC=COM 조직 단위에서 지난 2주간 로그인하지 않은 모든 컴퓨터 객체를 표시합니다.

dsquery computer OU=ExampleOU,DC=EXAMPLECO,DC=COM -desc "AppStream 2.0*" -inactive 2

일치하는 결과가 발견되면 객체 이름이 1개 이상 있습니다. dsrm 명령은 지정한 객체를 삭제하며, 다음 형식을 따릅니다.

dsrm objectname

여기에서 objectnamedsquery 명령으로 출력되는 전체 객체 이름입니다. 예를 들어 위의 dsquery 명령에서 반환되는 컴퓨터 객체 이름이 "ExampleComputer"라면 삭제하기 위한 dsrm 명령은 다음과 같습니다.

dsrm "CN=ExampleComputer,OU=ExampleOU,DC=EXAMPLECO,DC=COM"

이 두 가지 명령은 파이프(|) 연산자를 사용하여 함께 묶을 수 있습니다. 예를 들어 AppStream 2.0 컴퓨터 객체를 모두 삭제하면서 각각 삭제 확인 메시지를 표시하려면 다음과 같은 형식을 사용하십시오. -noprompt 파라미터를 dsrm에 추가하면 확인 메시지가 표시되지 않습니다.

dsquery computer OU-distinguished-name -desc "AppStream 2.0*" –inactive number-of-weeks-since-last-log-in | dsrm