WorkSpaces Pools 活动目录管理

设置和使用带 WorkSpaces 池的 Active Directory 涉及以下管理任务。

授予创建和管理 Active Directory 计算机对象的权限

要允许 WorkSpaces 池执行 Active Directory 计算机对象操作，您需要一个具有足够权限的帐户。最佳实践是使用仅具有所需最低权限的账户。最低的 Active Directory 组织单位 (OU) 权限如下所示：

• 创建计算机对象

• 更改密码

• 重置密码

• 编写描述

在设置权限之前，需要先完成以下任务：

• 获取对已加入您域的计算机或EC2实例的访问权限。

• 安装 Active Directory 用户和计算机MMC管理单元。有关更多信息，请参阅 Microsoft 文档中的安装或删除适用于 Windows 7 的远程服务器管理工具。

• 以拥有适当权限的域用户身份登录并修改 OU 安全设置。

• 创建或标识要向其委派权限的用户、服务账户或组。

设置最低权限

1. 在域中或域控制器上打开 Active Directory Users and Computers (Active Directory 用户和计算机)。

2. 在左侧导航窗格中，选择要在其中提供域加入权限的第一个 OU，打开上下文 (右键单击) 菜单，然后选择 Delegate Control (委派控制)。

3. 在控制委派向导页面上，依次选择下一步和添加。

4. 对于选择用户、计算机或组，选择先前创建的用户、服务账户或组，然后选择确定。

5. 在 Tasks to Delegate (要委派的任务) 页面上，选择 Create a custom task to delegate (创建要委派的自定义任务)，然后选择 Next (下一步)。

6. 依次选择只是在这个文件夹中的下列对象和计算机对象。

7. 依次选择在这个文件夹中创建所选对象和下一步。

8. 对于权限，选择读取、写入、更改密码、重置密码，然后选择下一步。

9. 在完成控制委派向导页面上，验证信息并选择完成。

10. 对于其他需要这些权限的用户OUs，请重复步骤 2-9。

如果您将权限委派给组，则创建具有强密码的用户或服务账户，并将该账户添加到组中。然后，此帐户将有足够的权限将您 WorkSpaces 连接到该目录。在创建 P WorkSpaces ools 目录配置时使用此帐户。

查找组织单位的可分辨名称

在 WorkSpaces 池中注册 Active Directory 域时，必须提供组织单位 (OU) 的可分辨名称。为此目的创建一个 OU。默认 “计算机” 容器不是 OU，不能由 WorkSpaces 池使用。以下步骤演示如何获得此名称。

注意

可分辨名称必须以 OU= 开头，否则不能用于计算机对象。

需要先执行以下操作，然后才能完成此过程:

• 获取对已加入您域的计算机或EC2实例的访问权限。

• 安装 Active Directory 用户和计算机MMC管理单元。有关更多信息，请参阅 Microsoft 文档中的安装或删除适用于 Windows 7 的远程服务器管理工具。

• 以拥有适当权限的域用户身份登录并读取 OU 安全属性。

查找 OU 的可分辨名称

1. 在域中或域控制器上打开 Active Directory Users and Computers (Active Directory 用户和计算机)。

2. 在查看下，确保高级功能已启用。

3. 在左侧导航窗格中，选择要用于 WorkSpaces 计算机对象的第一个 OU，打开上下文（右键单击）菜单，然后选择 “属性”。

4. 选择属性编辑器。

5. 在 “属性” 下 distinguishedName，选择 “查看”。

6. 对于 Value (值)，选择可分辨名称，打开上下文 (右键单击) 菜单，然后选择 Copy (复制)。

授予自定义映像的本地管理员权限

默认情况下，Active Directory 域用户对图像没有本地管理员权限。您可以使用目录中的组策略首选项授予这些权限，也可以使用图像上的本地管理员帐户手动授予这些权限。向域用户授予本地管理员权限允许该用户在池中安装应用程序并在 WorkSpaces 池中创建自定义映像。

内容

• 使用组策略首选项
• 使用上的本地管理员组 WorkSpace 创建映像

使用组策略首选项

可以使用组策略首选项为 Active Directory 用户或组以及指定 OU 中的所有计算机对象授予本地管理员权限。Active Directory 用户或组必须存在才能向其授予本地管理员权限。要使用组策略首选项，需要先执行以下操作：

• 获取对已加入您域的计算机或EC2实例的访问权限。

• 安装组策略管理控制台 (GPMC) 管理MMC单元。有关更多信息，请参阅 Microsoft 文档中的安装或删除适用于 Windows 7 的远程服务器管理工具。

• 以具有创建组策略对象权限的域用户身份登录 (GPOs)。链接GPOs到相应的OUs。

使用组策略首选项授予本地管理员权限

1. 在您的目录或域控制器上，以管理员身份打开命令提示符，键入gpmc.msc，然后按ENTER。

2. 在左侧控制台树中，选择要在其中创建新的 OU GPO 或使用现有的 OUGPO，然后执行以下任一操作：

   • 打开上下文（右键单击）菜单并选择在此域GPO中创建，将其链接到此处，即可创建新GPO的。在 “名称” 中，为此GPO提供一个描述性名称。

   • 选择现有的GPO。

3. 打开的上下文菜单GPO，然后选择 “编辑”。

4. 在控制台树中，依次选择 Computer Configuration (计算机配置)、Preferences (首选项)、Windows Settings (Windows 设置)、Control Panel Settings (控制面板设置) 和 Local Users and Groups (本地用户和组)。

5. 选择 Local Users and Groups (本地用户和组)，打开上下文菜单，选择 New (新建)、Local Group (本地组)。

6. 对于 Action，选择 Update。

7. 对于 Group name，选择 Administrators (built-in)。

8. 在成员下，选择添加… 并指定 Active Directory 用户账户或组，以便为其分配流实例的本地管理员权限。对于 Action，选择 Add to this group，然后选择 OK。

9. GPO要将其应用于其他 OUOUs，请选择其他 OU，打开上下文菜单，然后选择 “链接现有的 OU” GPO。

10. 使用您在步骤 2 中指定的新GPO名称或现有名称，滚动查找GPO，然后选择 OK。

11. 对于其他应具有此首选项的内容OUs，请重复步骤 9 和 10。

12. 选择 OK (确定) 以关闭 New Local Group Properties (新建本地组属性) 对话框。

13. 再次选择 “确定” 以关闭GPMC。

要将新的首选项应用于GPO，必须停止并重新启动所有正在运行的映像生成器或队列。您在步骤 8 中指定的 Active Directory 用户和群组将自动获得对所关联组织单位中映像生成器和队列的GPO本地管理员权限。

使用上的本地管理员组 WorkSpace 创建映像

要授予 Active Directory 用户或组对映像的本地管理员权限，您可以手动将这些用户或组添加到映像上的本地管理员组。

Active Directory 用户或组必须存在才能向其授予本地管理员权限。

1. Connect 连接到 WorkSpace 你用来构建镜像的。 WorkSpace 必须正在运行且已加入域。

2. 依次选择开始、管理工具，然后单击计算机管理。

3. 在左侧导航窗格中，选择本地用户和组并打开组文件夹。

4. 打开管理员组，选择添加...。

5. 选择要向其分配本地管理员权限的所有 Active Directory 用户或组，然后选择确定。再次选择确定以关闭管理员属性窗口。

6. 关闭“计算机管理”。

7. 要以 Active Directory 用户身份登录并测试该用户是否拥有本地管理员权限 WorkSpaces，请选择管理员命令、切换用户，然后输入相关用户的凭据。

在用户空闲时锁定流式传输会话

WorkSpaces 池依赖于您在中配置的设置，GPMC以便在用户闲置指定时间后锁定直播会话。要使用GPMC，你需要先执行以下操作：

• 获取对已加入您域的计算机或EC2实例的访问权限。

• 安装GPMC。有关更多信息，请参阅 Microsoft 文档中的安装或删除适用于 Windows 7 的远程服务器管理工具。

• 以具有创建权限的域用户身份登录GPOs。链接GPOs到相应的OUs。

在用户空闲时自动锁定流实例

1. 在您的目录或域控制器上，以管理员身份打开命令提示符，键入gpmc.msc，然后按ENTER。

2. 在左侧控制台树中，选择要在其中创建新的 OU GPO 或使用现有的 OUGPO，然后执行以下任一操作：

   • 打开上下文（右键单击）菜单并选择在此域GPO中创建，将其链接到此处，即可创建新GPO的。在 “名称” 中，为此GPO提供一个描述性名称。

   • 选择现有的GPO。

3. 打开的上下文菜单GPO，然后选择 “编辑”。

4. 在用户配置下，依次展开策略、管理模板、控制面板，然后选择 个性化。

5. 双击启用屏幕保护程序。

6. 在启用屏幕保护程序策略设置中，选择已启用。

7. 选择 Apply，然后选择 OK。

8. 双击强制使用特定的屏幕保护程序。

9. 在强制使用特定的屏幕保护程序策略设置中，选择已启用。

10. 在 可执行的屏幕保护程序的名称下，输入 scrnsave.scr。启用此设置后，系统将在用户桌面上显示黑屏保护程序。

11. 选择 Apply，然后选择 OK。

12. 双击密码保护屏幕保护程序。

13. 在密码保护屏幕保护程序策略设置中，选择已启用。

14. 选择 Apply，然后选择 OK。

15. 双击屏幕保护程序超时。

16. 在屏幕保护程序超时策略设置中，选择已启用。

17. 对于秒，请指定在应用屏幕保护程序之前，用户必须处于空闲状态的时间长度。要将空闲时间设置为 10 分钟，请指定 600 秒。

18. 选择 Apply，然后选择 OK。

19. 在控制台树中的用户配置下，依次展开策略、管理模板、系统，然后选择 Ctrl+Alt+Del 选项。

20. 双击删除“锁定计算机”。

21. 在删除“锁定计算机”策略设置中，选择已禁用。

22. 选择 Apply，然后选择 OK。

将 WorkSpaces 池配置为使用域信任

WorkSpaces 池支持 Active Directory 域环境，在这种环境中，文件服务器、应用程序和计算机对象等网络资源位于一个域中，用户对象位于另一个域中。用于计算机对象操作的域服务帐户不必与 WorkSpaces 池计算机对象位于同一个域中。

创建目录配置时，请指定在 Active Directory 域 (文件服务器、应用程序、计算机对象和其他网络资源驻留的位置) 中具有管理计算机对象的相应权限的服务账户。

对于以下项目，您的最终用户 Active Directory 账户必须拥有“允许身份验证”权限：

• WorkSpaces 池计算机对象

• 域的域控制器

有关更多信息，请参阅 授予创建和管理 Active Directory 计算机对象的权限。