WorkSpaces 풀 액티브 디렉터리 관리 - 아마존 WorkSpaces
Active Directory 컴퓨터 객체를 생성 및 관리할 수 있는 권한 부여조직 단위의 고유 이름 찾기사용자 지정 이미지에 대한 로컬 관리자 권한 부여사용자 유휴 시 스트리밍 세션 잠금도메인 트러스트를 사용하도록 WorkSpaces 풀 구성

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

WorkSpaces 풀 액티브 디렉터리 관리

WorkSpaces 풀이 포함된 Active Directory를 설치하고 사용하려면 다음과 같은 관리 작업이 필요합니다.

Active Directory 컴퓨터 객체를 생성 및 관리할 수 있는 권한 부여

WorkSpaces 풀이 Active Directory 컴퓨터 개체 작업을 수행할 수 있도록 하려면 충분한 권한을 가진 계정이 필요합니다. 가장 좋은 방법은 필요한 최소 권한만을 가진 계정을 사용하는 것입니다. Active Directory 조직 단위(OU)의 최소 권한은 다음과 같습니다.

  • 컴퓨터 객체 생성

  • 비밀번호 변경

  • 암호 재설정

  • 설명 쓰기

권한을 설정하려면 먼저 다음 작업을 수행해야 합니다.

  • 도메인에 가입된 컴퓨터 또는 EC2 인스턴스에 대한 액세스 권한을 확보하십시오.

  • Active Directory 사용자 및 컴퓨터 MMC 스냅인을 설치합니다. 자세한 내용은 Microsoft 설명서의 Windows 7용 원격 서버 관리 도구의 설치 또는 제거를 참조하십시오.

  • OU 보안 설정을 수정할 수 있는 권한이 부여된 도메인 사용자로 로그인합니다.

  • 권한을 위임할 사용자, 서비스 계정 또는 그룹을 생성하거나 식별합니다.

최소 권한을 설정하려면

  1. 도메인에서 또는 도메인 컨트롤러에서 Active Directory 사용자 및 컴퓨터를 엽니다.

  2. 왼쪽 탐색 창에서 도메인 조인 권한을 부여할 첫 번째 OU를 선택하고 컨텍스트(마우스 오른쪽 버튼 클릭) 메뉴를 연 다음 제어 위임을 선택합니다.

  3. [Delegation of Control Wizard] 페이지에서 [Next]와 [Add]를 차례대로 선택합니다.

  4. 사용자, 컴퓨터 또는 그룹 선택에서 사전 생성된 사용자, 서비스 계정 또는 그룹을 선택한 다음 확인을 선택합니다.

  5. 위임할 작업 페이지에서 위임할 사용자 지정 작업 만들기를 선택하고 다음을 선택합니다.

  6. [Only the following objects in the folder]와 [Computer objects]를 차례대로 선택합니다.

  7. [Create selected objects in this folder]와 [Next]를 차례대로 선택합니다.

  8. [Permissions]에서 [Read], [Write], [Change Password], [Reset Password], [Next]를 차례대로 선택합니다.

  9. Completing the Delegation of Control Wizard 페이지에서 정보를 확인하고 [Finish]를 선택합니다.

  10. 이러한 권한이 필요한 추가 OUs 항목에 대해 2~9단계를 반복합니다.

그룹에 권한을 위임한 경우에는 강력한 암호로 사용자 또는 서비스 계정을 생성한 다음 이 계정을 그룹에 추가합니다. 그러면 이 계정에 사용자를 디렉터리에 WorkSpaces 연결할 수 있는 충분한 권한이 부여됩니다. WorkSpaces Pools 디렉터리 구성을 생성할 때 이 계정을 사용하십시오.

조직 단위의 고유 이름 찾기

Active Directory 도메인을 WorkSpaces 풀에 등록할 때는 OU (조직 구성 단위) 고유 이름을 제공해야 합니다. 이를 위해 OU를 생성합니다. 기본 컴퓨터 컨테이너는 OU가 아니므로 WorkSpaces 풀에서 사용할 수 없습니다. 다음은 고유 이름을 가져오는 방법을 나타낸 절차입니다.

참고

고유 이름은 OU=로 시작해야 하며 그렇지 않은 경우 컴퓨터 객체에 사용할 수 없습니다.

이 절차를 완료하기 전에 먼저 다음을 수행해야 합니다.

  • 도메인에 가입된 컴퓨터 또는 EC2 인스턴스에 대한 액세스 권한을 확보하십시오.

  • Active Directory 사용자 및 컴퓨터 MMC 스냅인을 설치합니다. 자세한 내용은 Microsoft 설명서의 Windows 7용 원격 서버 관리 도구의 설치 또는 제거를 참조하십시오.

  • OU 보안 속성을 읽을 수 있는 권한이 부여된 도메인 사용자로 로그인합니다.

OU의 고유 이름을 찾으려면

  1. 도메인에서 또는 도메인 컨트롤러에서 Active Directory 사용자 및 컴퓨터를 엽니다.

  2. [View] 아래에서 [Advanced Features]가 활성화되어 있는지 확인합니다.

  3. 왼쪽 탐색 창에서 WorkSpaces 컴퓨터 개체에 사용할 첫 번째 OU를 선택하고 컨텍스트 (마우스 오른쪽 단추 클릭) 메뉴를 연 다음 속성을 선택합니다.

  4. [Attribute Editor]를 선택합니다.

  5. 특성에서 보기를 선택합니다. distinguishedName

  6. 에서 고유 이름을 선택하고 컨텍스트 메뉴를 연 다음 복사를 선택합니다.

사용자 지정 이미지에 대한 로컬 관리자 권한 부여

기본적으로 Active Directory 도메인 사용자에게는 이미지에 대한 로컬 관리자 권한이 없습니다. 디렉터리의 그룹 정책 기본 설정을 사용하거나 이미지의 로컬 관리자 계정을 사용하여 수동으로 이러한 권한을 부여할 수 있습니다. 도메인 사용자에게 로컬 관리자 권한을 부여하면 해당 사용자가 WorkSpaces 풀에 응용 프로그램을 설치하고 사용자 지정 이미지를 만들 수 있습니다.

그룹 정책 기본 설정 사용

그룹 정책 기본 설정을 사용하여 Active Directory 사용자 또는 그룹과 지정된 OU의 모든 컴퓨터 객체에 로컬 관리자 권한을 부여할 수 있습니다. 로컬 관리자 권한을 부여할 Active Directory 사용자나 그룹이 이미 존재해야 합니다. 그룹 정책 기본 설정을 사용하려면 먼저 다음을 수행해야 합니다.

  • 도메인에 가입된 컴퓨터 또는 EC2 인스턴스에 대한 액세스 권한을 얻으십시오.

  • 그룹 정책 관리 콘솔 (GPMC) MMC 스냅인을 설치합니다. 자세한 내용은 Microsoft 설명서의 Windows 7용 원격 서버 관리 도구의 설치 또는 제거를 참조하십시오.

  • 그룹 정책 개체 (GPOs) 를 만들 권한이 있는 도메인 사용자로 로그인합니다. GPOs해당 링크OUs.

그룹 정책 기본 설정을 사용하여 로컬 관리자 권한을 부여하려면

  1. 디렉터리나 도메인 컨트롤러에서 관리자 권한으로 명령 프롬프트를 열고 를 입력한 다음 키를 누릅니다ENTER. gpmc.msc

  2. 왼쪽 콘솔 트리에서 새 GPO OU를 만들거나 기존 GPO OU를 사용할 OU를 선택하고 다음 중 하나를 수행하십시오.

    • 컨텍스트 (마우스 오른쪽 버튼 클릭) 메뉴를 열고 [이 GPO 도메인에서 만들기], [여기에 연결] 을 GPO 선택하여 새 도메인을 생성합니다. [Name] 에는 이를 GPO 설명하는 이름을 입력합니다.

    • 기존 GPO 이름을 선택합니다.

  3. 의 컨텍스트 메뉴를 열고 편집을 선택합니다. GPO

  4. 콘솔 트리에서 컴퓨터 구성, 기본 설정, Windows 설정, 제어판 설정로컬 사용자 및 그룹을 선택합니다.

  5. 로컬 사용자 및 그룹을 선택하고 컨텍스트 메뉴를 연 다음, 새로 만들기, 로컬 그룹을 차례로 선택합니다.

  6. [Action]에서 [Update]를 선택합니다.

  7. [Group name]에서 [Administrators (built-in)]를 선택합니다.

  8. 멤버에서 추가...를 선택하고 스트리밍 인스턴스에 대한 로컬 관리자 권한을 할당할 Active Directory 사용자 계정 또는 그룹을 지정합니다. [Action]에서 [Add to this group]과 [OK]를 차례대로 선택합니다.

  9. 이를 다른 GPO OUs OU에 적용하려면 추가 OU를 선택하고 컨텍스트 메뉴를 연 다음 기존 OU와 연결을 선택합니다GPO.

  10. 2단계에서 지정한 새 GPO 이름 또는 기존 이름을 사용하여 스크롤하여 를 찾은 다음 GPO 확인을 선택합니다.

  11. 이 기본 설정을 적용해야 OUs 하는 추가 항목에 대해서는 9단계와 10단계를 반복합니다.

  12. 확인을 선택하여 New Local Group Properties(새 로컬 그룹 속성) 대화 상자를 닫습니다.

  13. 확인을 다시 선택하여 를 닫습니다GPMC.

에 새 환경 설정을 적용하려면 실행 중인 이미지 빌더 또는 플릿을 중지했다가 다시 시작해야 합니다. GPO 8단계에서 지정한 Active Directory 사용자 및 그룹에게는 연결된 OU의 이미지 빌더 및 플릿에 대한 로컬 관리자 권한이 자동으로 부여됩니다. GPO

의 로컬 관리자 그룹을 사용하여 이미지 WorkSpace 만들기

Active Directory 사용자 또는 그룹에 이미지에 대한 로컬 관리자 권한을 부여하려면 이미지의 로컬 관리자 그룹에 해당 사용자 또는 그룹을 수동으로 추가할 수 있습니다.

단, 로컬 관리자 권한을 부여할 Active Directory 사용자 또는 그룹이 사전에 존재해야 합니다.

  1. 이미지를 만드는 WorkSpace 데 사용하는 장치에 연결하십시오. 실행 중이고 도메인에 가입되어 WorkSpace 있어야 합니다.

  2. 시작, 관리 도구를 차례로 선택하고 나서 컴퓨터 관리를 두 번 클릭합니다.

  3. 왼쪽 탐색 창에서 [Local Users and Groups]를 선택하고 [Groups] 폴더를 엽니다.

  4. [Administrators] 그룹을 열고 [Add...]를 선택합니다.

  5. 로컬 관리자 권한을 할당할 Active Directory 사용자 또는 그룹을 모두 선택한 다음 [OK]를 선택합니다. 확인을 다시 선택하여 관리자 속성 대화 상자를 닫습니다.

  6. 컴퓨터 관리를 닫습니다.

  7. Active Directory 사용자로 로그인하고 해당 사용자에게 에 대한 로컬 관리자 권한이 있는지 테스트하려면 관리자 명령, 사용자 전환을 선택한 다음 관련 사용자의 자격 증명을 입력합니다. WorkSpaces

사용자 유휴 시 스트리밍 세션 잠금

WorkSpaces 풀은 사용자가 지정된 시간 동안 유휴 상태가 된 후 스트리밍 세션을 GPMC 잠그도록 에서 구성한 설정을 사용합니다. 를 GPMC 사용하려면 먼저 다음을 수행해야 합니다.

  • 도메인에 가입된 컴퓨터 또는 EC2 인스턴스에 대한 액세스 권한을 얻으십시오.

  • 를 설치합니다GPMC. 자세한 내용은 Microsoft 설명서의 Windows 7용 원격 서버 관리 도구의 설치 또는 제거를 참조하십시오.

  • 생성 권한이 있는 도메인 사용자로 GPOs 로그인합니다. GPOs적절한 링크OUs.

사용자 유휴 시 스트리밍 인스턴스를 자동으로 잠그려면

  1. 디렉터리나 도메인 컨트롤러에서 관리자 권한으로 명령 프롬프트를 열고 를 입력한 다음 키를 누릅니다ENTER. gpmc.msc

  2. 왼쪽 콘솔 트리에서 새 GPO OU를 만들거나 기존 GPO OU를 사용할 OU를 선택하고 다음 중 하나를 수행하십시오.

    • 컨텍스트 (마우스 오른쪽 버튼 클릭) 메뉴를 열고 [이 GPO 도메인에서 만들기], [여기에 연결] 을 GPO 선택하여 새 도메인을 생성합니다. [Name] 에는 이를 GPO 설명하는 이름을 입력합니다.

    • 기존 GPO 이름을 선택합니다.

  3. 의 컨텍스트 메뉴를 열고 편집을 선택합니다. GPO

  4. 사용자 구성에서 정책, 관리 템플릿, 제어판을 차례로 확장하고 나서 개인 설정을 선택합니다.

  5. 화면 보호기 사용을 두 번 클릭합니다.

  6. 화면 보호기 사용 정책 설정에서 사용을 선택합니다.

  7. 적용을 선택하고 확인을 선택합니다.

  8. 특정 화면 보호기 강제 적용을 두 번 클릭합니다.

  9. 특정 화면 보호기 강제 적용 정책 설정에서 사용을 선택합니다.

  10. 화면 보호기 실행 파일scrnsave.scr을 입력합니다. 이 설정이 활성화되면 사용자의 바탕 화면에 검은색 화면 보호기가 표시됩니다.

  11. 적용을 선택하고 확인을 선택합니다.

  12. Password protect the screen saver(화면 보호기 암호로 보호)를 두 번 클릭합니다.

  13. Password protect the screen saver(화면 보호기 암호로 보호) 정책 설정에서 사용을 선택합니다.

  14. 적용을 선택하고 확인을 선택합니다.

  15. 화면 보호기 시간 제한을 두 번 클릭합니다.

  16. 화면 보호기 시간 제한 정책 설정에서 사용을 선택합니다.

  17. 에 화면 보호기가 적용되기 전 사용자가 유휴 상태로 있어야 하는 기간을 지정합니다. 유휴 시간을 10분으로 설정하려면 600초를 지정합니다.

  18. 적용을 선택하고 확인을 선택합니다.

  19. 콘솔 트리의 사용자 구성에서 정책, 관리 템플릿, 시스템을 차례로 확장한 다음 Ctrl+Alt+Del 옵션을 선택합니다.

  20. 컴퓨터 잠금 사용 안 함을 두 번 클릭합니다.

  21. 컴퓨터 잠금 사용 안 함 정책 설정에서 사용 안 함을 선택합니다.

  22. 적용을 선택하고 확인을 선택합니다.

도메인 트러스트를 사용하도록 WorkSpaces 풀 구성

WorkSpaces 풀은 파일 서버, 응용 프로그램 및 컴퓨터 개체와 같은 네트워크 리소스가 한 도메인에 있고 사용자 개체가 다른 도메인에 있는 Active Directory 도메인 환경을 지원합니다. 컴퓨터 개체 작업에 사용되는 도메인 서비스 계정은 WorkSpaces Pools 컴퓨터 개체와 같은 도메인에 있지 않아도 됩니다.

디렉터리 구성을 생성할 때는 파일 서버, 애플리케이션, 컴퓨터 객체 및 기타 네트워크 리소스가 상주하는 Active Directory 도메인의 컴퓨터 객체를 관리할 수 있는 권한을 가진 서비스 계정을 지정합니다.

최종 사용자의 Active Directory 계정은 다음과 같은 경우에 "인증 허용(Allowed to Authenticate)" 권한이 필요합니다.

  • WorkSpaces 풀 컴퓨터 개체

  • 도메인에 대한 도메인 컨트롤러

자세한 내용은 Active Directory 컴퓨터 객체를 생성 및 관리할 수 있는 권한 부여 단원을 참조하십시오.