为 WorkSpaces 设置 Active Directory 管理工具

您将使用目录管理工具 (如 Active Directory 管理工具) 为您的 WorkSpace 目录执行大部分管理任务。不过，您将使用 WorkSpaces 控制台来执行一些与目录相关的任务。有关更多信息，请参阅管理 WorkSpaces 目录。

如果创建拥有 AWS Managed Microsoft AD 或 Simple AD 的目录，且其中包含五个或更多个 WorkSpaces，建议您在 Amazon EC2 实例上进行集中式管理。尽管您可以在 WorkSpace 上安装目录管理工具，但使用 Amazon EC2 实例是一种更可靠的解决方案。

设置 Active Directory 管理工具

1. 启动一个 Amazon EC2 Windows 实例，然后使用以下一个选项，将其加入您的 WorkSpaces 目录：

   • 如果您还没有现有 Amazon EC2 Windows 实例，则可以在启动实例时将该实例加入您的目录域。有关更多信息，请参阅《AWS Directory Service 管理指南》中的无缝加入 Windows EC2 实例。

   • 如果您已经有一个现有 Amazon EC2 Windows 实例，则可以手动将其加入您的目录。有关更多信息，请参阅《AWS Directory Service 管理指南》中的手动添加 Windows 实例。

2. 在 Amazon EC2 Windows 实例上安装 Active Directory 管理工具。有关更多信息，请参阅《AWS Directory Service 管理指南》中的安装 Active Directory 管理工具。

   注意

   安装 Active Directory 管理工具时，请务必同时选择组策略管理来安装组策略管理编辑器 (gpmc.msc) 工具。

   功能安装完成后，Windows 管理工具下的 Windows 开始菜单上将提供 Active Directory 工具。

3. 按照如下步骤以目录管理员身份运行工具：

   1. 在 Windows 开始菜单上，打开 Windows 管理工具。

   2. 按住 Shift 键，右键单击您要使用的工具快捷方式，然后选择以其他用户身份运行。

   3. 输入管理员登录凭证。对于 Simple AD，用户名为 Administrator，对于 AWS Managed Microsoft AD，管理员为 Admin。

现在，您可以使用熟悉的 Active Directory 工具执行目录管理任务。例如，您可以使用 Active Directory 用户和计算机工具添加用户、删除用户、将用户提升为目录管理员或重置用户密码。请注意，您必须以有权管理目录中用户的用户身份登录您的 Windows 实例。

将用户提升为目录管理员

注意

此过程仅适用于使用 Simple AD 创建的目录，而不适用于 AWS 托管 AD。有关使用 AWS 托管 AD 创建的目录，请参阅《AWS Directory Service 管理指南》中的在 AWS Managed Microsoft AD 中管理用户和组。

1. 打开“Active Directory 用户和计算机”工具。

2. 导航到您的域下的用户文件夹并选择要提升的用户。

3. 选择操作、属性。

4. 在 username 属性对话框中，选择隶属于。

5. 将用户添加到下列组并选择确定。

   • Administrators

   • Domain Admins

   • Enterprise Admins

   • Group Policy Creator Owners

   • Schema Admins

添加或删除用户

您只能在启动 WorkSpace 的过程中从 Amazon WorkSpaces 控制台创建新用户，并且无法通过 Amazon WorkSpaces 控制台删除用户。大多数用户管理任务（包括管理用户组）都必须通过您的目录执行。

重要

在删除用户之前，必须先删除分配给该用户的 WorkSpace。有关更多信息，请参阅删除 WorkSpace。

用于管理用户和组的过程取决于您使用的目录类型。

• 如果您使用的是 AWS Managed Microsoft AD，请参阅《AWS Directory Service 管理指南》中的在 AWS Managed Microsoft AD 中管理用户和组。

• 如果您使用的是 Simple AD，请参阅《AWS Directory Service 管理指南》中的在 Simple AD 中管理用户和组。

• 如果通过 AD Connector 或信任关系使用 Microsoft Active Directory，则可以使用 Active Directory 模块来管理用户和组。

重置用户密码

在为现有用户重置密码时，不要设置 User must change password at next logon。否则，用户无法连接到其 WorkSpace。相反，应为每个用户分配一个安全的临时密码，然后要求他们在下次登录时从 WorkSpace 内手动更改其密码。

注意

如果您使用的是 AD Connector，或者您的用户位于 AWS GovCloud（美国西部）区域，则您的用户将无法重置自己的密码。（WorkSpaces 客户端应用程序登录屏幕上的忘记密码？选项将不可用。）