本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 开始将 Active Directory 与亚马逊 WorkSpaces 应用程序配合使用之前
在将 Microsoft Active Directory 域与 WorkSpaces 应用程序一起使用之前,请注意以下要求和注意事项。
**Topics**
+ [Active Directory 域环境](active-directory-prerequisites-domain-environment.md)
+ [加入域的应用程序流式处理实例 WorkSpaces](active-directory-prerequisites-streaming-instances.md)
+ [组策略设置](active-directory-prerequisites-group-policy-settings.md)
+ [智能卡身份验证](active-directory-prerequisites-smart-card-authentication.md)
# Active Directory 域环境
您的 Active Directory 域环境必须满足以下要求。
+ 您必须具有一个 Microsoft Active Directory 域,以在其中加入流实例。如果您没有 Active Directory 域或者想要使用本地 Active Directory 环境,请参阅《[AWS 合作伙伴解决方案部署指南》中的 Active Directory 域服务](https://aws-solutions-library-samples.github.io/cfn-ps-microsoft-activedirectory/)。
+ 您必须拥有一个域服务帐户,该帐户有权在要与 WorkSpaces 应用程序一起使用的域中创建和管理计算机对象。有关信息,请参阅 Microsoft 文档中的[《如何在 Active Directory 中创建域账户》](https://msdn.microsoft.com/en-us/library/aa545262(v=cs.70).aspx)。
当您将此 Active Directory 域与 WorkSpaces 应用程序关联时,请提供服务帐户名和密码。 WorkSpaces 应用程序使用此帐户来创建和管理目录中的计算机对象。有关更多信息,请参阅 [授予创建和管理 Active Directory 计算机对象的权限](active-directory-permissions.md)。
+ 向 WorkSpaces 应用程序注册 Active Directory 域时,必须提供组织单位 (OU) 的可分辨名称。为此目的创建一个 OU。默认 “计算机” 容器不是 OU,不能由 WorkSpaces 应用程序使用。有关更多信息,请参阅 [查找组织单位的可分辨名称](active-directory-oudn.md)。
+ 您计划用于 WorkSpaces 应用程序的目录必须能够通过其完全限定的域名 (FQDNs) 通过启动您的流式处理实例的虚拟私有云 (VPC) 进行访问。有关更多信息,请参阅 Microsoft 文档中的 [Active Directory and Active Directory Domain Services Port Requirements](https://technet.microsoft.com/en-us/library/dd772723.aspx)。
+ 也可以通过支持域控制器访问 IPv6,并且需要[更新 DHCP 选项集](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_DHCP_Options.html)。
# 加入域的应用程序流式处理实例 WorkSpaces
从加入域的 Always-On 和 On-Demand 实例集进行应用程序流式传输需要基于 SAML 2.0 的用户联合身份验证。您无法使用 [CreateStreamingURL](https://docs.aws.amazon.com/appstream2/latest/APIReference/API_CreateStreamingURL.html) 或 WorkSpaces 应用程序用户池启动与已加入域的实例的会话。
另外,必须使用支持将映像生成器和实例集加入 Active Directory 域的映像。所有在 2017 年 7 月 24 日或之后发布的公有映像都支持加入 Active Directory 域。有关更多信息,请参阅[WorkSpaces 应用程序基础映像和托管映像更新发行说明](base-image-version-history.md)和[教程:设置 Active Directory](active-directory-directory-setup.md)。
**注意**
您可以将 Always-On 和按需队列流媒体实例加入到 Active Directory 域中。支持的操作系统包括 Windows、红帽企业 Linux 和 Rocky Linux。
# 组策略设置
验证以下组策略设置的配置。如果需要,请按照本节所述更新设置,这样它们就不会阻止 WorkSpaces 应用程序对您的域用户进行身份验证和登录。否则,当您的用户尝试登录 WorkSpaces 应用程序时,登录可能无法成功。相反,会显示一条消息,通知用户“发生未知错误”。
+ **计算机配置 > 管理模板 > Windows 组件 > Windows 登录选项 > 禁用或启用软件安全注意序列** – 对于**服务**,将此项设置为**启用**。
+ **计算机配置 > 管理模板 > 系统 > 登录 > 排除凭证提供程序**:确保以下 CLSID *未*列出:`e7c1bab5-4b49-4e64-a966-8d99686f8c7c` 和 `f148bAed-5f7f-40c9-8D48-51e24e571825`
+ **计算机配置 > 策略 > Windows 设置 > 安全设置 > 本地策略 > 安全选项 > 交互式登录 > 交互式登录: 尝试登录的用户的消息文本** – 将此项设置为**未定义**。
+ **计算机配置 > 策略 > Windows 设置 > 安全设置 > 本地策略 > 安全选项 > 交互式登录 > 交互式登录: 尝试登录的用户的消息标题** – 将此项设置为**未定义**。
+ **计算机配置 > 策略 > Windows 设置 > 安全设置 > 本地策略 > 用户权限分配 > 允许本地登录**-将其设置为**未定义**或将域 user/group 添加到此列表中。
+ **计算机配置 > 策略 > Windows 设置 > 安全设置 > 本地策略 > 用户权限分配 > 拒绝本地登录**:将其设置为**未定义**或确保列表中未包含域用户/组。
要使用多会话实例集,除上面指定的设置外,还需要以下组策略设置。
+ **计算机配置 > 策略 > Windows 设置 > 安全设置 > 本地策略 > 用户权限分配 > 允许通过远程桌面服务登录**-将其设置为**未定义**或将域 user/group 添加到此列表中。
+ **计算机配置 > 策略 > Windows 设置 > 安全设置 > 本地策略 > 用户权限分配 > 拒绝通过远程桌面服务登录**-将其设置**为未定义**或确保该域 users/groups 未包含在列表中。
# 智能卡身份验证
WorkSpaces 应用程序支持使用 Active Directory 域密码或智能卡,例如适用于 Windows 的[通用访问卡 (CAC)](https://www.cac.mil/Common-Access-Card) 和[个人身份验证 (PIV)](https://piv.idmanagement.gov/) 智能卡,登录 WorkSpaces 应用程序流式处理实例。有关如何将 Active Directory 环境配置为使用第三方证书颁发机构启用智能卡登录的信息(CAs),请参阅 Microsoft 文档中[关于启用使用第三方证书颁发机构进行智能卡登录的指南](https://docs.microsoft.com/en-us/troubleshoot/windows-server/windows-security/enabling-smart-card-logon-third-party-certification-authorities)。
**注意**
WorkSpaces 应用程序还支持在用户登录流媒体实例后使用智能卡进行会话内身份验证。只有安装了 Windows 版本 1.1.257 或更高版本的 WorkSpaces 应用程序客户端的用户才支持此功能。有关其他要求的信息,请参阅[智能卡](feature-support-USB-devices-qualified.md#feature-support-USB-devices-qualified-smart-cards)。