本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
开始在 AppStream 2.0 中使用活动目录之前
在 AppStream 2.0 中使用 Microsoft Active Directory 域名之前,请注意以下要求和注意事项。
Active Directory 域环境
-
您必须具有一个 Microsoft Active Directory 域,以在其中加入流实例。如果您没有 Active Directory 域或者想要使用本地 Active Directory 环境,请参阅《AWS 合作伙伴解决方案部署指南》中的 Active Directory 域服务
。 -
您必须拥有一个域服务帐户,该帐户有权在您打算用于 AppStream 2.0 的域中创建和管理计算机对象。有关信息,请参阅 Microsoft 文档中的《如何在 Active Directory 中创建域账户》
。 将此 Active Directory 域与 AppStream 2.0 关联时,请提供服务帐户名和密码。 AppStream 2.0 使用此帐户在目录中创建和管理计算机对象。有关更多信息,请参阅 授予创建和管理 Active Directory 计算机对象的权限。
-
使用 AppStream 2.0 注册 Active Directory 域时,必须提供组织单位 (OU) 的可分辨名称。为此目的创建一个 OU。默认 “计算机” 容器不是 OU,无法在 AppStream 2.0 版本中使用。有关更多信息,请参阅 查找组织单位的可分辨名称。
-
您计划在 AppStream 2.0 中使用的目录必须能够通过其完全限定域名 (FQDN) 通过启动流媒体实例的虚拟私有云 (VPC) 进行访问。有关更多信息,请参阅 Microsoft 文档中的 Active Directory and Active Directory Domain Services Port Requirements
。
加入域名的 2.0 流媒体实例 AppStream
从加入域的 Always-On 和 On-Demand 实例集进行应用程序流式传输需要基于 SAML 2.0 的用户联合身份验证。您无法使用 CreateStreamingURL 或 AppStream 2.0 用户池启动与已加入域的实例的会话。
另外,必须使用支持将映像生成器和实例集加入 Active Directory 域的映像。所有在 2017 年 7 月 24 日或之后发布的公有映像都支持加入 Active Directory 域。有关更多信息,请参阅 AppStream 2.0 基础映像和托管映像更新发行说明 和 教程:设置 Active Directory。
注意
只能将 Windows Always-On 和 On-Demand 实例集流实例加入 Active Directory 域。
组策略设置
验证以下组策略设置的配置。如果需要,请按照本节所述更新设置,这样它们就不会阻止 AppStream 2.0 对您的域用户进行身份验证和登录。否则,当您的用户尝试登录到 AppStream 2.0 时,登录可能无法成功。相反,会显示一条消息,通知用户“发生未知错误”。
-
计算机配置 > 管理模板 > Windows 组件 > Windows 登录选项 > 禁用或启用软件安全注意序列 – 对于服务,将此项设置为启用。
-
计算机配置 > 管理模板 > 系统 > 登录 > 排除凭据提供程序 – 确保以下 CLSID 未列出:
e7c1bab5-4b49-4e64-a966-8d99686f8c7c -
计算机配置 > 策略 > Windows 设置 > 安全设置 > 本地策略 > 安全选项 > 交互式登录 > 交互式登录: 尝试登录的用户的消息文本 – 将此项设置为未定义。
-
计算机配置 > 策略 > Windows 设置 > 安全设置 > 本地策略 > 安全选项 > 交互式登录 > 交互式登录: 尝试登录的用户的消息标题 – 将此项设置为未定义。
智能卡身份验证
AppStream 2.0 支持使用 Active Directory 域密码或智能卡,例如通用访问卡 (CAC)
注意
AppStream 2.0 还支持在用户登录流媒体实例后使用智能卡进行会话内身份验证。只有安装了 Windows 版本 1.1.257 或更高版本的 AppStream 2.0 客户端的用户才支持此功能。有关其他要求的信息,请参阅智能卡。
