WorkSpaces Administração do Active Directory de pools

Configurar e usar o Active Directory com WorkSpaces pools envolve as seguintes tarefas administrativas.

Conceder permissões para criar e gerenciar objetos de computador do Active Directory

Para permitir que os WorkSpaces Pools executem operações de objetos de computador do Active Directory, você precisa de uma conta com permissões suficientes. Como uma melhor prática, use uma conta que tenha apenas os privilégios mínimos necessários. As permissões mínimas da unidade organizacional (UO) do Active Directory são as seguintes:

• Criar objetos de computador

• Alterar senha

• Redefinir senha

• Gravar descrição

Antes de configurar as permissões, é necessário fazer o seguinte:

• Obtenha acesso a um computador ou a uma EC2 instância associada ao seu domínio.

• Instale o MMC snap-in Usuários e Computadores do Active Directory. Para obter mais informações, consulte Instalar ou remover ferramentas de administração de servidores remotos para Windows 7 na documentação da Microsoft.

• Faça login como um usuário do domínio com as permissões apropriadas para modificar as configurações de segurança da UO.

• Crie ou identifique o usuário, a conta de serviço ou o grupo ao qual delegar permissões.

Para configurar permissões mínimas

1. Abra Active Directory Users and Computers (Usuários e computadores do Active Directory) em seu domínio ou no controlador de domínio.

2. No painel de navegação à esquerda, selecione a primeira UO para a qual fornecer privilégios de ingresso no domínio, abra o menu de contexto (clique com o botão direito do mouse) e selecione Delegate Control (Delegar controle).

3. Na página Delegation of Control Wizard, selecione Next, Add.

4. Em Select Users, Computers, or Groups, selecione o usuário, a conta do serviço ou o grupo pré-criado e escolha OK.

5. Na página Tasks to Delegate (Tarefas para delegar), selecione Create a custom task to delegate (Criar uma tarefa personalizada para delegar) e, em seguida, selecione Next (Avançar).

6. Selecione Only the following objects in the folder, Computer objects.

7. Selecione Create selected objects in this folder, Next.

8. Em Permissions, selecione Read, Write, Change Password, Reset Password, Next.

9. Na página Completing the Delegation of Control Wizard, verifique as informações e selecione Finish.

10. Repita as etapas de 2 a 9 para qualquer outra OUs que exija essas permissões.

Se você delegou permissões a um grupo, crie um usuário ou conta de serviço com uma senha forte e adicione essa conta ao grupo. Essa conta terá então privilégios suficientes para conectá-la WorkSpaces ao diretório. Use essa conta ao criar a configuração do diretório WorkSpaces Pools.

Localizar o nome distinto da unidade organizacional

Ao registrar seu domínio do Active Directory com WorkSpaces Pools, você deve fornecer um nome distinto de unidade organizacional (OU). Crie uma UO para essa finalidade. O contêiner Computers padrão não é uma UO e não pode ser usado por WorkSpaces pools. O procedimento a seguir mostra como obter esse nome.

nota

O nome distinto deve começar com OU= ou não poderá ser usado para objetos de computador.

Para concluir esse procedimento, primeiro, é necessário fazer o seguinte:

• Obtenha acesso a um computador ou a uma EC2 instância associada ao seu domínio.

• Instale o MMC snap-in Usuários e Computadores do Active Directory. Para obter mais informações, consulte Instalar ou remover ferramentas de administração de servidores remotos para Windows 7 na documentação da Microsoft.

• Faça login como um usuário do domínio com as permissões apropriadas para ler as propriedades de segurança da UO.

Para localizar o nome distinto de uma UO

1. Abra Active Directory Users and Computers (Usuários e computadores do Active Directory) em seu domínio ou no controlador de domínio.

2. Em View, verifique se a opção Advanced Features está habilitada.

3. No painel de navegação esquerdo, selecione a primeira UO a ser usada para objetos de WorkSpaces computador, abra o menu de contexto (clique com o botão direito do mouse) e escolha Propriedades.

4. Selecione Atribuir Editor.

5. Em Atributos, para distinguishedName, escolha Exibir.

6. Em Value (Valor), selecione o nome distinto, abra o menu de contexto e selecione Copy (Copiar).

Concedendo direitos de administrador local em imagens personalizadas

Por padrão, os usuários do domínio do Active Directory não têm direitos de administrador local sobre imagens. Você pode conceder esses direitos usando as preferências da Política de Grupo em seu diretório ou manualmente, usando a conta de administrador local em uma imagem. A concessão de direitos de administrador local a um usuário do domínio permite que esse usuário instale aplicativos e crie imagens personalizadas em WorkSpaces pools.

Conteúdo

• Uso de preferências da Política de grupo
• Usando o grupo Administradores local no WorkSpace para criar imagens

Uso de preferências da Política de grupo

As preferências da Política de grupo podem ser usadas para conceder direitos de administrador local a usuários ou grupos do Active Directory e a todos os objetos de computador na UO especificada. Os usuários ou grupos do Active Directory aos quais você deseja conceder permissões de administrador local já devem existir. Para usar as preferências da Política do grupo, você precisa fazer o seguinte primeiro:

• Obtenha acesso a um computador ou a uma EC2 instância associada ao seu domínio.

• Instale o MMC snap-in do Console de Gerenciamento de Política de Grupo (GPMC). Para obter mais informações, consulte Instalar ou remover ferramentas de administração de servidores remotos para Windows 7 na documentação da Microsoft.

• Faça login como um usuário do domínio com permissões para criar objetos de Política de Grupo (GPOs). Link GPOs para o apropriadoOUs.

Para usar as preferências da Política de grupo para conceder permissões de administrador local

1. No seu diretório ou em um controlador de domínio, abra o prompt de comando como administradorgpmc.msc, digite e pressioneENTER.

2. Na árvore do console à esquerda, selecione a OU na qual você criará uma nova GPO ou usará uma existente eGPO, em seguida, faça o seguinte:

   • Crie um novo GPO abrindo o menu de contexto (clique com o botão direito do mouse) e escolhendo Criar um GPO neste domínio, Vincule-o aqui. Em Nome, forneça um nome descritivo para issoGPO.

   • Selecione um existenteGPO.

3. Abra o menu de contexto do GPO e escolha Editar.

4. Na árvore do console, selecione Computer Configuration (Configuração do computador), Preferences (Preferências), Windows Settings (Configurações do Windows), Control Panel Settings (Configurações do Painel de controle) e Local Users and Groups (Usuários e grupos locais).

5. Selecione os Local Users and Groups (Usuários e grupos locais) marcados, abra o menu de contexto e selecione New (Novo), Local group (Grupo local).

6. Em Action, selecione Update.

7. Em Group name, selecione Administrators (built-in).

8. Em Members, selecione Add... e especifique os usuários ou grupos do Active Directory aos quais atribuir direitos de administrador local na instância de streaming. Em Action, selecione Add to this group e selecione OK.

9. Para aplicar isso GPO a outraOUs, selecione a OU adicional, abra o menu de contexto e escolha Vincular a uma existente GPO.

10. Usando o GPO nome novo ou existente que você especificou na etapa 2, vá até encontrar o GPO e escolha OK.

11. Repita as etapas 9 e 10 para obter outras OUs que devem ter essa preferência.

12. Clique em OK para fechar a caixa de diálogo New Local Group Properties (Propriedades do novo grupo local).

13. Escolha OK novamente para fechar GPMC o.

Para aplicar a nova preferência aoGPO, você deve interromper e reiniciar qualquer construtor de imagens ou frotas em execução. Os usuários e grupos do Active Directory que você especificou na etapa 8 recebem automaticamente direitos de administrador local nos criadores de imagens e frotas na OU à qual o GPO está vinculado.

Usando o grupo Administradores local no WorkSpace para criar imagens

Para conceder aos usuários ou grupos do Active Directory direitos de administrador local em uma imagem, você pode adicionar manualmente esses usuários ou grupos ao grupo Administradores local na imagem.

Os usuários ou grupos do Active Directory aos quais conceder direitos de administrador local já devem existir.

1. Conecte-se ao WorkSpace que você usa para criar imagens. O WorkSpace deve estar em execução e associado ao domínio.

2. Selecione Start (Iniciar), Administrative Tools (Ferramentas administrativas) e, em seguida, clique duas vezes em Computer Management (Gerenciamento de computador).

3. No painel de navegação à esquerda, selecione Local Users and Groups e abra a pasta Groups.

4. Abra o grupo Administrators e selecione Add....

5. Selecione todos os usuários ou grupos do Active Directory aos quais atribuir direitos de administrador local e selecione OK. Clique em OK novamente para fechar a caixa de diálogo Administrator Properties (Propriedades de administrador).

6. Feche o Computer Management (Gerenciamento de computador).

7. Para fazer login como usuário do Active Directory e testar se esse usuário tem direitos de administrador local no WorkSpaces, escolha Admin Commands, Switch user e insira as credenciais do usuário relevante.

Bloquear a sessão de streaming quando o usuário está ocioso

WorkSpaces Os pools dependem de uma configuração que você define no GPMC para bloquear a sessão de streaming após o usuário ficar ocioso por um determinado período de tempo. Para usar oGPMC, primeiro você precisará fazer o seguinte:

• Obtenha acesso a um computador ou a uma EC2 instância associada ao seu domínio.

• Instale GPMC o. Para obter mais informações, consulte Instalar ou remover ferramentas de administração de servidores remotos para Windows 7 na documentação da Microsoft.

• Faça login como usuário do domínio com permissões para criarGPOs. Link GPOs para o apropriadoOUs.

Para bloquear automaticamente a instância de streaming quando o usuário está ocioso

1. No seu diretório ou em um controlador de domínio, abra o prompt de comando como administradorgpmc.msc, digite e pressioneENTER.

2. Na árvore do console à esquerda, selecione a OU na qual você criará uma nova GPO ou usará uma existente eGPO, em seguida, faça o seguinte:

   • Crie um novo GPO abrindo o menu de contexto (clique com o botão direito do mouse) e escolhendo Criar um GPO neste domínio, Vincule-o aqui. Em Nome, forneça um nome descritivo para issoGPO.

   • Selecione um existenteGPO.

3. Abra o menu de contexto do GPO e escolha Editar.

4. Em User Configuration (Configuração do usuário), expanda Policies (Políticas), Administrative Templates (Modelos administrativos), Control Panel (Painel de controle) e, em seguida, selecione Personalization (Personalização).

5. Clique duas vezes em Enable screen saver (Ativar proteção de tela).

6. Na configuração Enable screen saver (Ativar proteção de tela) da política, escolha Enabled (Ativado).

7. Escolha Apply e, em seguida, escolha OK.

8. Clique duas vezes em Force specific screen saver (Forçar proteção de tela específica).

9. Na configuração Force specific screen saver (Forçar proteção de tela específica) da política, escolha Enabled (Ativado).

10. Em Screen saver executable name (Nome do arquivo executável da proteção de tela), digite scrnsave.scr. Quando essa configuração é habilitada, o sistema exibirá uma proteção de tela preta na área de trabalho do usuário.

11. Escolha Apply e, em seguida, escolha OK.

12. Clique duas vezes em Password protect the screen saver (Proteger a proteção de tela com senha).

13. Na configuração Password protect the screen saver (Proteger a proteção de tela com senha) da política, escolha Enabled (Ativado).

14. Escolha Apply e, em seguida, escolha OK.

15. Clique duas vezes em Screen saver timeout (Tempo limite da proteção de tela).

16. Na configuração Screen saver timeout (Tempo limite da proteção de tela) da política, escolha Enabled (Ativado).

17. Em Seconds (Segundos), especifique o período em que os usuários devem estar ociosos para que a proteção de tela seja aplicada. Para definir o tempo de inatividade como 10 minutos, especifique 600 segundos.

18. Escolha Apply e, em seguida, escolha OK.

19. Na árvore do console, em User Configuration (Configuração do usuário), expanda Policies (Políticas), Administrative Templates (Modelos administrativos), System (Sistema) e, em seguida, clique em Ctrl+Alt+Del Options (Opções de Ctrl+Alt+Del).

20. Clique duas vezes em Remove Lock Computer (Remover bloquear computador).

21. Na configuração de Remove Lock Computer (Remover bloquear computador) da política, selecione Disabled (Desabilitado).

22. Escolha Apply e, em seguida, escolha OK.

Configurando WorkSpaces pools para usar relações de confiança de domínio

WorkSpaces Os pools oferecem suporte a ambientes de domínio do Active Directory em que recursos de rede, como servidores de arquivos, aplicativos e objetos de computador, residem em um domínio e os objetos de usuário residem em outro. A conta de serviço de domínio usada para operações de objetos de computador não precisa estar no mesmo domínio que os objetos de computador WorkSpaces Pools.

Ao criar a configuração do diretório, especifique uma conta de serviço que tenha as permissões adequadas para gerenciar objetos de computador no domínio do Active Directory onde residem os servidores de arquivos, aplicativos, objetos de computador e outros recursos de rede.

Suas contas de usuário final do Active Directory devem ter as permissões “Allowed to Authenticate” (Permissão para Autenticar) referentes ao seguinte:

• WorkSpaces Agrupa objetos de computador

• Controladores de domínio do domínio

Para obter mais informações, consulte Conceder permissões para criar e gerenciar objetos de computador do Active Directory.