本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AppStream 2.0 活动目录管理
在 AppStream 2.0 中设置和使用 Active Directory 涉及以下管理任务。
任务
授予创建和管理 Active Directory 计算机对象的权限
要允许 AppStream 2.0 执行 Active Directory 计算机对象操作,您需要一个具有足够权限的帐户。最佳实践是使用仅具有所需最低权限的账户。最低的 Active Directory 组织单位 (OU) 权限如下所示:
-
创建计算机对象
-
更改密码
-
重置密码
-
编写描述
在设置权限之前,需要先完成以下任务:
-
获取对已加入您域的计算机或EC2实例的访问权限。
-
安装 Active Directory 用户和计算机MMC管理单元。有关更多信息,请参阅 Microsoft 文档中的安装或删除适用于 Windows 7 的远程服务器管理工具
。 -
以拥有适当权限的域用户身份登录并修改 OU 安全设置。
-
创建或标识要向其委派权限的用户、服务账户或组。
设置最低权限
-
在域中或域控制器上打开 Active Directory Users and Computers (Active Directory 用户和计算机)。
-
在左侧导航窗格中,选择要在其中提供域加入权限的第一个 OU,打开上下文 (右键单击) 菜单,然后选择 Delegate Control (委派控制)。
-
在控制委派向导页面上,依次选择下一步和添加。
-
对于选择用户、计算机或组,选择先前创建的用户、服务账户或组,然后选择确定。
-
在 Tasks to Delegate (要委派的任务) 页面上,选择 Create a custom task to delegate (创建要委派的自定义任务),然后选择 Next (下一步)。
-
依次选择只是在这个文件夹中的下列对象和计算机对象。
-
依次选择在这个文件夹中创建所选对象和下一步。
-
对于权限,选择读取、写入、更改密码、重置密码,然后选择下一步。
-
在完成控制委派向导页面上,验证信息并选择完成。
-
对于其他需要这些权限的用户OUs,请重复步骤 2-9。
如果您将权限委派给组,则创建具有强密码的用户或服务账户,并将该账户添加到组中。这样该账户将拥有足够的权限将流实例连接到目录。创建 AppStream 2.0 目录配置时使用此帐户。
查找组织单位的可分辨名称
使用 AppStream 2.0 注册 Active Directory 域时,必须提供组织单位 (OU) 的可分辨名称。为此目的创建一个 OU。默认 “计算机” 容器不是 OU,无法在 AppStream 2.0 版本中使用。以下步骤演示如何获得此名称。
注意
可分辨名称必须以 OU= 开头,否则不能用于计算机对象。
需要先执行以下操作,然后才能完成此过程:
-
获取对已加入您域的计算机或EC2实例的访问权限。
-
安装 Active Directory 用户和计算机MMC管理单元。有关更多信息,请参阅 Microsoft 文档中的安装或删除适用于 Windows 7 的远程服务器管理工具
。 -
以拥有适当权限的域用户身份登录并读取 OU 安全属性。
查找 OU 的可分辨名称
-
在域中或域控制器上打开 Active Directory Users and Computers (Active Directory 用户和计算机)。
-
在查看下,确保高级功能已启用。
-
在左侧导航窗格中,选择要用于 AppStream 2.0 流媒体实例计算机对象的第一个 OU,打开上下文(右键单击)菜单,然后选择 “属性”。
-
选择属性编辑器。
-
在 “属性” 下 distinguishedName,选择 “查看”。
-
对于 Value (值),选择可分辨名称,打开上下文 (右键单击) 菜单,然后选择 Copy (复制)。
在映像生成器上授予本地管理员权限
默认情况下,Active Directory 域用户对于映像生成器实例不具有本地管理员权限。可以通过使用目录中的组策略首选项,或通过在映像生成器上使用本地管理员账户手动授予这些权限。向域用户授予本地管理员权限允许该用户在 2.0 映像生成器上安装应用程序并在 AppStream 2.0 映像生成器中创建映像。
使用组策略首选项
可以使用组策略首选项为 Active Directory 用户或组以及指定 OU 中的所有计算机对象授予本地管理员权限。Active Directory 用户或组必须存在才能向其授予本地管理员权限。要使用组策略首选项,需要先执行以下操作:
-
获取对已加入您域的计算机或EC2实例的访问权限。
-
安装组策略管理控制台 (GPMC) 管理MMC单元。有关更多信息,请参阅 Microsoft 文档中的安装或删除适用于 Windows 7 的远程服务器管理工具
。 -
以具有创建组策略对象权限的域用户身份登录 (GPOs)。链接GPOs到相应的OUs。
使用组策略首选项授予本地管理员权限
-
在您的目录或域控制器上,以管理员身份打开命令提示符,键入
gpmc.msc,然后按ENTER。 在左侧控制台树中,选择要在其中创建新的 OU GPO 或使用现有的 OUGPO,然后执行以下任一操作:
打开上下文(右键单击)菜单并选择在此域GPO中创建,将其链接到此处,即可创建新GPO的。在 “名称” 中,为此GPO提供一个描述性名称。
选择现有的GPO。
-
打开的上下文菜单GPO,然后选择编辑。
-
在控制台树中,依次选择 Computer Configuration (计算机配置)、Preferences (首选项)、Windows Settings (Windows 设置)、Control Panel Settings (控制面板设置) 和 Local Users and Groups (本地用户和组)。
-
选择 Local Users and Groups (本地用户和组),打开上下文菜单,选择 New (新建)、Local Group (本地组)。
-
对于 Action,选择 Update。
-
对于 Group name,选择 Administrators (built-in)。
-
在成员下,选择添加… 并指定 Active Directory 用户账户或组,以便为其分配流实例的本地管理员权限。对于 Action,选择 Add to this group,然后选择 OK。
-
GPO要将其应用于其他 OUOUs,请选择其他 OU,打开快捷菜单并选择 “链接现有的 OU” GPO。
-
使用您在步骤 2 中指定的新GPO名称或现有名称,滚动查找GPO,然后选择确定。
-
对于其他应具有此首选项的内容OUs,请重复步骤 9 和 10。
-
选择 OK (确定) 以关闭 New Local Group Properties (新建本地组属性) 对话框。
再次选择 “确定” 以关闭GPMC。
要将新的首选项应用于GPO,必须停止并重新启动所有正在运行的映像生成器或队列。您在步骤 8 中指定的 Active Directory 用户和群组将自动获得对所关联组织单位中映像生成器和队列的GPO本地管理员权限。
在映像生成器上使用本地管理员组
要授予 Active Directory 用户或组对映像生成器的本地管理员权限,可以手动将这些用户或组添加到映像生成器上的本地管理员组中。通过具有这些权限的映像创建的映像生成器将保持相同的权限。
Active Directory 用户或组必须存在才能向其授予本地管理员权限。
将 Active Directory 用户或组添加到映像生成器上的本地管理员组中
-
打开 AppStream 2.0 主机,网址为 https://console.aws.amazon.com/appstream2
。 -
在管理员模式下连接到映像生成器。映像生成器必须运行且已加入域。有关更多信息,请参阅 教程:设置 Active Directory。
-
依次选择开始、管理工具,然后单击计算机管理。
-
在左侧导航窗格中,选择本地用户和组并打开组文件夹。
-
打开管理员组,选择添加...。
-
选择要向其分配本地管理员权限的所有 Active Directory 用户或组,然后选择确定。再次选择确定以关闭管理员属性窗口。
-
关闭“计算机管理”。
-
要以 Active Directory 用户身份登录并测试该用户在映像生成器上是否具有本地管理员权限,请选择 Admin Commands (管理命令)、Switch user (切换用户),然后输入相关用户的凭证。
更新用于加入域的服务账户
要更新 AppStream 2.0 用于加入域的服务帐户,我们建议使用两个不同的服务帐户将映像生成器和队列加入您的 Active Directory 域。使用两个不同的服务账户将确保当服务账户需要更新(例如,密码过期)时,服务不会中断。
更新服务账户
-
创建 Active Directory 组并向该组委派正确的权限。
-
将服务账户添加到新的 Active Directory 组中。
-
需要时,通过输入新服务帐户的登录凭据来编辑您的 AppStream 2.0 Directory Config 对象。
在使用新服务账户设置 Active Directory 组后,任何新的流实例操作都将使用新的服务账户,而进行中的流实例操作将继续使用旧账户而不会中断。
新旧服务账户的重叠时间 (在此期间进行中的流实例操作完成) 非常短,不超过一天。重叠时间是必需的,因为在重叠期间不应删除或更改旧服务账户的密码,否则现有操作可能失败。
在用户空闲时锁定流式传输会话
AppStream 2.0 依赖于您在中配置的设置GPMC,用于在用户闲置指定时间后锁定直播会话。要使用GPMC,你需要先执行以下操作:
-
获取对已加入您域的计算机或EC2实例的访问权限。
-
安装GPMC。有关更多信息,请参阅 Microsoft 文档中的安装或删除适用于 Windows 7 的远程服务器管理工具
。 -
以具有创建权限的域用户身份登录GPOs。链接GPOs到相应的OUs。
在用户空闲时自动锁定流实例
-
在您的目录或域控制器上,以管理员身份打开命令提示符,键入
gpmc.msc,然后按ENTER。 在左侧控制台树中,选择要在其中创建新的 OU GPO 或使用现有的 OUGPO,然后执行以下任一操作:
打开上下文(右键单击)菜单并选择在此域GPO中创建,将其链接到此处,即可创建新GPO的。在 “名称” 中,为此GPO提供一个描述性名称。
选择现有的GPO。
打开的上下文菜单GPO,然后选择编辑。
在用户配置下,依次展开策略、管理模板、控制面板,然后选择 个性化。
双击启用屏幕保护程序。
-
在启用屏幕保护程序策略设置中,选择已启用。
选择 Apply,然后选择 OK。
-
双击强制使用特定的屏幕保护程序。
-
在强制使用特定的屏幕保护程序策略设置中,选择已启用。
在 可执行的屏幕保护程序的名称下,输入
scrnsave.scr。启用此设置后,系统将在用户桌面上显示黑屏保护程序。选择 Apply,然后选择 OK。
双击密码保护屏幕保护程序。
在密码保护屏幕保护程序策略设置中,选择已启用。
选择 Apply,然后选择 OK。
双击屏幕保护程序超时。
在屏幕保护程序超时策略设置中,选择已启用。
-
对于秒,请指定在应用屏幕保护程序之前,用户必须处于空闲状态的时间长度。要将空闲时间设置为 10 分钟,请指定 600 秒。
选择 Apply,然后选择 OK。
在控制台树中的用户配置下,依次展开策略、管理模板、系统,然后选择 Ctrl+Alt+Del 选项。
双击删除“锁定计算机”。
在删除“锁定计算机”策略设置中,选择已禁用。
选择 Apply,然后选择 OK。
编辑目录配置
创建 AppStream 2.0 目录配置后,您可以对其进行编辑以添加、删除或修改组织单位、更新服务帐户用户名或更新服务帐户密码。
更新目录配置
-
打开 AppStream 2.0 主机,网址为 https://console.aws.amazon.com/appstream2
。 -
在左侧导航窗格中,选择 Directory Configs,然后选择要编辑的目录配置。
-
选择 Actions(操作)和 Edit(编辑)。
-
更新要更改的字段。要添加其他OUs,请选择最上面的 OU 字段旁边的加号 (+)。要删除 OU 字段,请选择该字段旁边的 x。
注意
至少需要一个 OU。OUs无法删除当前正在使用的内容。
-
要保存更改,请选择 Update Directory Config。
-
Details 选项卡中的信息应立即更新以反映这些更改。
更改服务账户登录凭证不影响进行中的流实例操作。新的流实例操作将使用更新后的凭证。有关更多信息,请参阅 更新用于加入域的服务账户。
删除目录配置
您可以删除不再需要的 AppStream 2.0 目录配置。不能删除与任何映像生成器或实例集关联的目录配置。
删除目录配置
-
打开 AppStream 2.0 主机,网址为 https://console.aws.amazon.com/appstream2
。 -
在左侧导航窗格中,选择 Directory Configs,然后选择要删除的目录配置。
-
依次选择操作、删除。
-
验证弹出消息中的名称,然后选择 Delete。
-
选择 Update Directory Config。
将 AppStream 2.0 配置为使用域信任
AppStream 2.0 支持 Active Directory 域环境,在这种环境中,文件服务器、应用程序和计算机对象等网络资源位于一个域中,用户对象位于另一个域中。用于计算机对象操作的域服务帐户不必与 AppStream 2.0 计算机对象位于同一个域中。
创建目录配置时,请指定在 Active Directory 域 (文件服务器、应用程序、计算机对象和其他网络资源驻留的位置) 中具有管理计算机对象的相应权限的服务账户。
对于以下项目,您的最终用户 Active Directory 账户必须拥有“允许身份验证”权限:
-
AppStream 2.0 计算机对象
-
域的域控制器
有关更多信息,请参阅 授予创建和管理 Active Directory 计算机对象的权限。
管理 AppStream 2.0 活动目录中的计算机对象
AppStream 2.0 不会从 Active Directory 中删除计算机对象。这些计算机对象可以在您的目录中轻松识别。目录中创建的每个计算机对象都带有 Description 属性,此属性指定实例集或映像生成器实例和名称。
计算机对象描述示例 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 类型 | 名称 | 描述属性 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
实例集 |
ExampleFleet |
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
映像生成器 |
ExampleImageBuilder |
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
您可以使用以下dsquery computer命令和dsrm命令识别和删除 AppStream 2.0 创建的非活动计算机对象。有关更多信息,请参阅 Microsoft 文档中的 Dsquery 计算机
dsquery 命令标识不活动时间超过特定时间段的计算机对象并使用以下格式。还应使用参数运行该dsquery命令,-desc "AppStream 2.0*"以便仅显示 AppStream 2.0 对象。
dsquery computer "OU-distinguished-name" -desc "AppStream 2.0*" -inactivenumber-of-weeks-since-last-login
-
OU-distinguished-nameOU-distinguished-name参数,该命令将搜索整个目录。 -
number-of-weeks-since-last-log-in
例如,以下命令显示 OU=ExampleOU,DC=EXAMPLECO,DC=COM 组织单位中过去两周未登录过的所有计算机对象。
dsquery computer OU=ExampleOU,DC=EXAMPLECO,DC=COM -desc "AppStream 2.0*" -inactive 2
如果找到匹配项,则结果为一个或多个对象名称。dsrm 命令会删除指定的对象并使用以下格式:
dsrm objectname其中 objectnamedsquery 命令输出的完整对象名称。例如,如果上面的dsquery命令生成了一个名为 ExampleComputer “” 的计算机对象,则删除该对象的dsrm命令将如下所示:
dsrm "CN=ExampleComputer,OU=ExampleOU,DC=EXAMPLECO,DC=COM"
可以使用竖线 (|) 运算符将这些命令链接在一起。例如,要删除所有 AppStream 2.0 计算机对象,并提示对每个对象进行确认,请使用以下格式。将 -noprompt 参数添加到 dsrm 可禁用确认。
dsquery computerOU-distinguished-name-desc "AppStream 2.0*" –inactivenumber-of-weeks-since-last-log-in| dsrm
