在你开始使用 AppStream 2.0 版本的 Active Direc

在使用 AppStream 2.0 版本的 Microsoft Active Directory 域之前，请注意以下要求和注意事项。

Activativaty

• 您必须具有一个 Microsoft Active Directory 域，以在其中加入流实例。如果您没有 Active Directory 域或者想要使用本地 Active Directory 环境，请参阅AWS云上的 Active Directory 域服务：快速入门参考部署。

• 您必须拥有一个域服务帐户，该帐户有权在要在 AppStream 2.0 中使用的域中创建和管理计算机对象。有关信息，请参阅 Microsoft 文档中的《如何在 Active Directory 中创建域账户》。

  将此 Active Directory 域与 AppStream 2.0 关联时，请提供服务帐户名和密码。 AppStream 2.0 使用此帐户在目录中创建和管理计算机对象。有关更多信息，请参阅授予创建和管理 Active Directory 计算机对象的权限：

• 当您使用 AppStream 2.0 注册 Active Directory 域时，必须提供组织单位 (OU) 的可分辨名称。为此目的创建一个 OU。默认计算机容器不是 OU， AppStream 2.0 无法使用。有关更多信息，请参阅查找组织单位的可分辨名称：

• 您计划在 AppStream 2.0 中使用的目录必须可通过其完全限定域名 (FQDN) 通过启动流媒体实例的虚拟私有云 (VPC) 进行访问。有关更多信息，请参阅 Microsoft 文档中的 Active Directory 和 Active Directory 域服务端口要求。

加入域名的 AppStream 2.0 流媒体实例

需要基于 SAML 2.0 的用户联合才能从加入域的 Always-On 和按需队列传输应用程序。您无法使用 CreateStreamingURL 或 AppStream 2.0 用户池启动与加入域的实例的会话。

此外，您必须使用支持将映像生成器和队列加入到 Active Directory 域的映像。所有在 2017 年 7 月 24 日或之后发布的公有映像都支持加入 Active Directory 域。有关更多信息，请参阅 AppStream 2.0 基础映像和托管映像更新发行说明 和 教程：设置 Active Directory。

注意

您只能将 Windows Always-On 和按需队列流媒体实例加入 Active Directory 域。

组策略策略策略策略策略策略

验证以下组策略设置的配置。如果需要，请按照本节所述更新设置，这样它们就不会阻止 AppStream 2.0 对您的域用户进行身份验证和登录。否则，当您的用户尝试登录 AppStream 2.0 时，登录可能无法成功。相反，会显示一条消息，通知用户“发生未知错误”。

• 计算机配置 > 管理模板 > Windows 组件 > Windows 登录选项 > 禁用或启用软件安全注意序列 — 将此设置为 “对服务启用”。

• 计算机配置 > 管理模板 > 系统 > 登录 > 排除凭据提供程序 – 确保以下 CLSID 未列出：e7c1bab5-4b49-4e64-a966-8d99686f8c7c

• 计算机配置 > 策略 > Windows 设置 > 安全设置 > 本地策略 > 安全选项 > 交互式登录 > 交互式登录：给尝试登录的用户的消息文本-将其设置为未定义。

• 计算机配置 > 策略 > Windows 设置 > 安全设置 > 本地策略 > 安全选项 > 交互式登录 > 交互式登录：尝试登录的用户的消息标题 — 将其设置为未定义。

智能卡身份验证

AppStream 2.0 支持使用 Active Directory 域密码或智能卡，例如适用于 Windows 的通用访问卡 (CAC) 和个人身份验证 (PIV) 智能卡登录 AppStream 2.0 流媒体实例。有关如何配置 Active Directory 环境以使用第三方证书颁发机构 (CA) 启用智能卡登录的信息，请参阅 Microsoft 文档中的启用第三方证书颁发机构智能卡登录的指南。

注意

AppStream 2.0 还支持在用户登录流媒体实例后使用智能卡进行会话内身份验证。只有安装了 Windows 版本 1.1.257 或更高版本的 AppStream 2.0 客户端的用户才支持此功能。有关其他要求的信息，请参阅智能卡。