WorkSpaces 在 WorkSpaces 个人版中管理你的 Windows - Amazon WorkSpaces

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

WorkSpaces 在 WorkSpaces 个人版中管理你的 Windows

你可以使用组策略对象 (GPOs) 来应用设置来管理 Windows WorkSpaces 或属于你的 Windows WorkSpaces 目录的用户。

注意

我们建议您为 WorkSpaces 计算机对象创建一个组织单位,为 WorkSpaces 用户对象创建一个组织单位。

要使用特定于 Amazon 的组策略设置 WorkSpaces,您必须为正在使用的协议PCoIP或 WorkSpaces 流协议 (WSP) 安装组策略管理模板。

警告

组策略设置可能会影响 WorkSpace 用户体验,如下所示:

  • 实现交互式登录消息以显示登录横幅可防止用户访问他们的。 WorkSpaces目前不支持交互式登录消息组策略设置。PCoIP WorkSpaces支持登录消息 WSP WorkSpaces,用户在接受登录横幅后必须重新登录。

  • 通过组策略设置禁用可移动存储会导致登录失败,从而导致用户登录到无权访问驱动器 D 的临时用户配置文件。

  • 通过组策略设置将用户从远程桌面用户本地组中移除会阻止这些用户通过 WorkSpaces 客户端应用程序进行身份验证。有关此组策略设置的更多信息,请参阅 Microsoft 文档中的允许通过远程桌面服务登录

  • 如果您从 “允许本地登录” 安全策略中移除内置PCoIP WorkSpaces 用户组,则您的用户将无法 WorkSpaces 通过 WorkSpaces 客户端应用程序连接到他们的用户。您PCoIP WorkSpaces 也不会收到PCoIP代理软件的更新。PCoIP代理更新可能包含安全修复和其他修复程序,或者它们可能会为您启用新功能 WorkSpaces。有关使用此安全策略的更多信息,请参阅 Microsoft 文档中的允许本地登录

  • 组策略设置可用于限制驱动器访问。如果将组策略设置配置为限制对驱动器 C 或驱动器 D 的访问,则用户无法访问他们的 WorkSpaces。要防止此问题发生,请确保您的用户可以访问驱动器 C 和驱动器 D。

  • WorkSpaces 音频输入功能需要内部的本地登录访问权限。 WorkSpace默认情况下,Windows WorkSpaces 的音频输入功能处于启用状态。但是,如果您的组策略设置限制了用户的本地登录 WorkSpaces,则音频输入将无法在您的上运行。 WorkSpaces如果删除该组策略设置,则下次重新启动后将启用音频输入功能。 WorkSpace有关此组策略设置的更多信息,请参阅 Microsoft 文档中的允许本地登录

    有关启用或禁用音频输入重定向的更多信息,请参阅启用或禁用音频输入重定向 PCoIP启用或禁用音频输入重定向 WSP

  • 使用组策略将 Windows 电源计划设置为 “平衡” 或 “省电模式”,可能会 WorkSpaces 导致您在它们处于闲置状态时进入睡眠状态。我们强烈建议使用组策略将 Windows 电源计划设置为高性能。有关更多信息,请参阅 我的 Windows 闲置时会 WorkSpace 进入睡眠状态

  • 某些组策略设置会在用户从会话断开连接时迫使其注销。用户在其上打开的所有应用程序 WorkSpaces 都将关闭。

  • 目前不支持 “为处于活动状态但处于空闲状态的远程桌面服务会话设置时间限制” WSP WorkSpaces。避免在WSP会话期间使用它,因为即使有活动且会话未处于空闲状态,也会导致断开连接。

有关使用 Active Directory 管理工具进行操作的信息GPOs,请参阅为 WorkSpaces 个人设置 Active Directory 管理工具

安装 WorkSpaces 流协议的组策略管理模板文件 (WSP)

要使用特定于使用 WorkSpaces 流协议 (WSP) WorkSpaces 时的组策略设置,必须将组策略管理模板wsp.admxwsp.adml文件添加到 WorkSpaces 目录的域控制器的中央存储区。WSP有关 .admx.adml 文件的更多信息,请参阅如何在 Windows 中创建和管理组策略管理模板的中央存储

以下过程介绍了如何创建中央存储并向其中添加管理模板文件。对已加入目录的目录管理 WorkSpace 或 Amazon EC2 实例执行以下步骤。 WorkSpaces

要安装组策略管理模板文件 WSP
  1. 在正在运行的 Windows WorkSpace 中,复制C:\Program Files\Amazon\WSP目录中的wsp.admxwsp.adml文件。

  2. 在目录管理 WorkSpace 或已加入 WorkSpaces 目录的 Amazon EC2 实例上,打开 Windows 文件资源管理器,然后在地址栏中输入贵组织的完全限定域名 (FQDN),例如\\example.com

  3. 打开 sysvol 文件夹。

  4. 打开带有 FQDN 名称的文件夹。

  5. 打开 Policies 文件夹。您现在应该位于 \\FQDN\sysvol\FQDN\Policies 中。

  6. 如果该文件尚不存在,请创建一个名为 PolicyDefinitions 的文件夹。

  7. 打开 PolicyDefinitions 文件夹。

  8. wsp.admx 文件复制到 \\FQDN\sysvol\FQDN\Policies\PolicyDefinitions 文件夹中。

  9. PolicyDefinitions 文件夹中创建名为 en-US 的文件夹。

  10. 打开 en-US 文件夹。

  11. wsp.adml 文件复制到 \\FQDN\sysvol\FQDN\Policies\PolicyDefinitions\en-US 文件夹中。

验证管理模板文件是否已正确安装
  1. 在目录管理 WorkSpace 或加入 WorkSpaces 目录的 Amazon EC2 实例上,打开组策略管理工具 (gpmc.msc)。

  2. 扩大森林(森林:FQDN).

  3. 展开

  4. 扩展你的FQDN(例如,example.com)。

  5. 展开组策略对象

  6. 选择默认域策略,打开上下文(右键单击)菜单,然后选择编辑

    注意

    如果支持的域名 WorkSpaces 是 AWS Managed Microsoft AD 目录,则无法使用默认域策略来创建您的GPO。相反,您必须在具有委派权限的域容器GPO下创建和链接。

    当你使用创建目录时 AWS Managed Microsoft AD, AWS Directory Service 创建一个 yourdomainname 域根目录下的组织单位 (OU)。此 OU 的名称基于您在创建目录时键入的网络BIOS名称。如果您未指定网络BIOS名称,则它将默认为目录DNS名称的第一部分(例如,如果是corp.example.com,则网络BIOS名称为corp)。

    要创建您的GPO,请不要选择默认域名策略,而是选择 yourdomainname OU(或该域下的任何 OU),打开上下文(右键单击)菜单,然后选择 “在此域GPO中创建”,然后将其链接到此处

    有关该的更多信息 yourdomainname OU,请参阅《中创建了什么AWS Directory Service 《管理指南》

  7. 在组策略管理编辑器中,选择计算机配置策略管理模板AmazonWSP

  8. 现在,您可以使用此WSP组策略对象修改使用 WorkSpaces 时特有的组策略设置WSP。

管理 WorkSpaces 流协议的组策略设置 (WSP)

使用组策略设置来管理使用 WorkSpaces 的 Windows WSP
  1. 确保在 WorkSpaces目录的域控制器的中央存储区中安装了最新的WorkSpaces 组策略管理模板。WSP

  2. 验证管理模板文件是否已正确安装。有关更多信息,请参阅 验证管理模板文件是否已正确安装

默认情况下, WorkSpaces 启用基本远程打印,它提供的打印功能有限,因为它在主机端使用通用打印机驱动程序来确保打印兼容。

Windows 客户端的高级远程打印(不可用WSP)允许您使用打印机的特定功能,例如双面打印,但需要在主机端安装匹配的打印机驱动程序。

远程打印实施为虚拟通道。如果虚拟通道被禁用,远程打印无法正常工作。

对于 Windows WorkSpaces,您可以根据需要使用组策略设置来配置打印机支持。

配置打印机支持
  1. 在组策略管理编辑器中,选择计算机配置策略管理模板AmazonWSP

  2. 打开配置远程打印设置。

  3. Configure remote printing (配置远程打印) 对话框中,执行下列操作之一:

    • 要启用本地打印机重定向,请选择启用,然后在打印选项中选择基本。要自动使用客户端计算机的当前默认打印机,请选择将本地默认打印机映射到远程主机

    • 要禁用打印,请选择禁用

  4. 选择确定

  5. 组策略设置更改将在的下一次组策略更新之后 WorkSpace 以及会 WorkSpace 话重新启动后生效。要应用组策略更改,请执行下列操作之一:

    • 重启 WorkSpace (在 Amazon WorkSpaces 控制台中,选择 WorkSpace,然后选择操作重启 WorkSpaces)。

    • 在管理命令提示符处,输入 gpupdate /force

默认情况下, WorkSpaces 支持双向(复制/粘贴)剪贴板重定向。对于 Windows WorkSpaces,您可以使用组策略设置来禁用此功能或配置允许剪贴板重定向的方向。

为 Windows 配置剪贴板重定向 WorkSpaces
  1. 在组策略管理编辑器中,选择计算机配置策略管理模板AmazonWSP

  2. 打开 Configure clipboard redirection 设置。

  3. 配置剪贴板重定向对话框中,选择启用禁用

    启用配置剪贴板重定向后,以下剪贴板重定向选项将变为可用:

    • 选择复制并粘贴,以允许双向剪贴板复制和粘贴重定向。

    • 选择仅复制,以仅允许将数据从服务器剪贴板复制到客户端剪贴板。

    • 选择仅粘贴,以仅允许将数据从客户端剪贴板粘贴到服务器剪贴板。

  4. 选择确定

  5. 组策略设置更改将在的下一次组策略更新之后 WorkSpace 以及会 WorkSpace 话重新启动后生效。要应用组策略更改,请执行下列操作之一:

    • 重启 WorkSpace (在 Amazon WorkSpaces 控制台中,选择 WorkSpace,然后选择操作重启 WorkSpaces)。

    • 在管理命令提示符处,输入 gpupdate /force

已知限制

启用剪贴板重定向后 WorkSpace,如果您从 Microsoft Office 应用程序中复制大于 890 KB 的内容,则该应用程序可能会变慢或在长达 5 秒钟内没有响应。

网络连接中断时,您的活动 WorkSpaces 客户端会话将断开。 WorkSpaces 如果在一定时间内恢复了网络连接,则适用于 Windows 和 macOS 的客户端应用程序会尝试自动重新连接会话。默认的会话恢复超时时间为 20 分钟(1200 秒),但您可以修改该值 WorkSpaces ,因为该值由您的域的组策略设置控制。

要设置自动会话恢复超时值
  1. 在组策略管理编辑器中,选择计算机配置策略管理模板AmazonWSP

  2. 打开启用/禁用自动重新连接设置。

  3. 启用/禁用自动重新连接对话框中,选择启用,然后将重新连接超时(秒)设置为所需的超时时间(以秒为单位)

  4. 选择确定

  5. 组策略设置更改将在的下一次组策略更新之后 WorkSpace 以及会 WorkSpace 话重新启动后生效。要应用组策略更改,请执行下列操作之一:

    • 重启 WorkSpace (在 Amazon WorkSpaces 控制台中,选择 WorkSpace,然后选择操作重启 WorkSpaces)。

    • 在管理命令提示符处,输入 gpupdate /force

默认情况下, WorkSpaces 支持从本地摄像机重定向数据。如果 Windows 需要 WorkSpaces,您可以使用组策略设置来禁用此功能。

在 Windows 上启用或禁用视频输入重定向 WorkSpaces
  1. 在组策略管理编辑器中,选择计算机配置策略管理模板AmazonWSP

  2. 打开启用/禁用视频输入重定向设置。

  3. 启用/禁用视频输入重定向对话框中,选择启用禁用

  4. 选择确定

  5. 组策略设置更改将在的下一次组策略更新之后 WorkSpace 以及会 WorkSpace 话重新启动后生效。要应用组策略更改,请执行下列操作之一:

    • 重启 WorkSpace (在 Amazon WorkSpaces 控制台中,选择 WorkSpace,然后选择操作重启 WorkSpaces)。

    • 在管理命令提示符处,输入 gpupdate /force

默认情况下, WorkSpaces 支持从本地麦克风重定向数据。如果 Windows 需要 WorkSpaces,您可以使用组策略设置来禁用此功能。

启用或禁用 Windows 的音频输入重定向 WorkSpaces
  1. 在组策略管理编辑器中,选择计算机配置策略管理模板AmazonWSP

  2. 打开启用/禁用音频输入重定向设置。

  3. 启用/禁用音频输入重定向对话框中,选择启用禁用

  4. 选择确定

  5. 组策略设置更改将在的下一次组策略更新之后 WorkSpace 以及会 WorkSpace 话重新启动后生效。要应用组策略更改,请执行下列操作之一:

    • 重启 WorkSpace (在 Amazon WorkSpaces 控制台中,选择 WorkSpace,然后选择操作重启 WorkSpaces)。

    • 在管理命令提示符处,输入 gpupdate /force

默认情况下, WorkSpaces 会将数据重定向到本地发言人。如果 Windows 需要 WorkSpaces,您可以使用组策略设置来禁用此功能。

启用或禁用 Windows 的音频输出重定向 WorkSpaces
  1. 在组策略管理编辑器中,选择计算机配置策略管理模板AmazonWSP

  2. 打开启用/禁用音频输出重定向设置。

  3. 启用/禁用音频输出重定向对话框中,选择启用禁用

  4. 选择确定

  5. 组策略设置更改将在的下一次组策略更新之后 WorkSpace 以及会 WorkSpace 话重新启动后生效。要应用组策略更改,请执行下列操作之一:

    • 重新启动 WorkSpace。在 Amazon WorkSpaces 控制台中,选择 WorkSpace,然后选择操作 > 重启 WorkSpaces

    • 在管理命令提示符处,输入 gpupdate /force

默认情况下,工作区内的时间设置为镜像用于连接的客户端的时区 WorkSpace。此行为是通过时区重定向控制的。您可能需要关闭时区定向的原因有多种。例如:

  • 您的公司希望所有员工在特定时区中工作(即使某些员工在其他时区)。

  • 您在 a 中有计划任务 WorkSpace ,这些任务本应在特定时区的特定时间运行。

  • 经常出差的用户希望将自己留 WorkSpaces 在一个时区,以保持一致性和个人喜好。

如果 Windows 需要 WorkSpaces,您可以使用组策略设置来禁用此功能。

禁用 Windows 的时区重定向 WorkSpaces
  1. 在组策略管理编辑器中,选择计算机配置策略管理模板AmazonWSP

  2. 打开启用/禁用时区重定向设置。

  3. 启用/禁用时区重定向对话框中,选择禁用

  4. 选择确定

  5. 组策略设置更改将在的下一次组策略更新之后 WorkSpace 以及会 WorkSpace 话重新启动后生效。要应用组策略更改,请执行下列操作之一:

    • 重启 WorkSpace (在 Amazon WorkSpaces 控制台中,选择 WorkSpace,然后选择操作重启 WorkSpaces)。

    • 在管理命令提示符处,输入 gpupdate /force

  6. 将的时区设置 WorkSpaces 为所需的时区。

的时区现在 WorkSpaces 是静态的,不再反映客户端计算机的时区。

对于WSP,传输中的数据使用 TLS 1.2 加密进行加密。默认情况下,允许使用以下所有密码进行加密,客户端和服务器协商使用哪种密码:

  • ECDHE-RSA-AES128-GCM-SHA256

  • ECDHE-ECDSA-AES128-GCM-SHA256

  • ECDHE-RSA-AES256-GCM-SHA384

  • ECDHE-ECDSA-AES256-GCM-SHA384

  • ECDHE-RSA-AES128-SHA256

  • ECDHE-RSA-AES256-SHA384

对于 Windows WorkSpaces,您可以使用组策略设置来修改TLS安全模式、添加新密码套件或阻止某些密码套件。配置安全设置组策略对话框中提供了这些设置和支持的密码套件的详细说明。

配置WSP安全设置
  1. 在组策略管理编辑器中,选择计算机配置策略管理模板AmazonWSP

  2. 打开配置安全设置

  3. 配置安全设置对话框中,选择启用。添加要允许的密码套件,并删除要屏蔽的密码套件。有关这些设置的更多信息,请参阅配置安全设置对话框中提供的说明。

  4. 选择确定

  5. 组策略设置更改将在的下一次组策略更新之后以及您重新启动 WorkSpace会话之后生效。 WorkSpace要应用组策略更改,请执行下列操作之一:

    • 要重启 WorkSpace,请在 Amazon WorkSpaces 控制台中选择 WorkSpace,然后选择操作重启 WorkSpaces

    • 在管理命令提示符处,输入 gpupdate /force

默认情况下,对 WorkSpaces 扩展的支持处于禁用状态。如果需要,您可以通过以下方式 WorkSpace 将您的配置为使用扩展程序:

  • 服务器和客户端 - 为服务器和客户端启用扩展

  • 仅限服务器 - 仅为服务器启用扩展

  • 仅限客户端 - 仅为客户端启用扩展

对于 Windows WorkSpaces,您可以使用组策略设置来配置扩展程序的使用。

要为以下各项配置扩展 WSP
  1. 在组策略管理编辑器中,选择计算机配置策略管理模板AmazonWSP

  2. 打开配置扩展设置。

  3. 配置扩展对话框中,选择启用,然后设置所需的支持选项。选择仅限客户端服务器和客户端仅限服务器

  4. 选择确定

  5. 组策略设置更改将在的下一次组策略更新之后 WorkSpace 以及您重新启动 WorkSpace会话之后生效。要应用组策略更改,请执行下列操作之一:

    • 重新启动 WorkSpace。在 Amazon WorkSpaces 控制台中,选择 WorkSpace,然后选择操作重启 WorkSpaces

    • 在管理命令提示符处,输入 gpupdate /force

默认情况下,Amazon WorkSpaces 不支持使用智能卡进行会话前身份验证或会话身份验证。会话前身份验证是指在用户登录时执行的智能卡身份验证。 WorkSpaces会话中身份验证是指登录后执行的身份验证。

如果需要,您可以使用组策略设置为 Windows WorkSpaces 启用会话前和会话中身份验证。还必须通过您的 AD Connector 目录设置启用会话前身份验证,方法是使用EnableClientAuthenticationAPI操作或 enable-client-authentication AWS CLI 命令。有关更多信息,请参阅中的 AD Connector 启用智能卡身份验证 AWS Directory Service 《管理指南》

注意

要在 Windows 中使用智能卡 WorkSpaces,需要执行其他步骤。有关更多信息,请参阅 在 “个人” 中 WorkSpaces 使用智能卡进行身份验证

启用或禁用 Windows 的智能卡重定向 WorkSpaces
  1. 在组策略管理编辑器中,选择计算机配置策略管理模板AmazonWSP

  2. 打开启用/禁用智能卡重定向设置。

  3. 启用/禁用智能卡重定向对话框中,选择启用禁用

  4. 选择确定

  5. 组策略设置更改将在会 WorkSpace话重新启动后生效。要应用组策略更改,请重启 WorkSpace (在 Amazon WorkSpaces 控制台中,选择 WorkSpace,然后选择操作重启 WorkSpaces)。

默认情况下,Amazon WorkSpaces 允许使用 WebAuthn 身份验证器进行会话内身份验证。会话内身份验证是指登录后执行的 WebAuthn 身份验证,并由在会话中运行的 Web 应用程序请求的身份验证。

要求

WebAuthn (FIDO2) 的重定向WSP需要以下内容:

  • WSP主机代理版本 2.0.0.1425 或更高版本

  • WorkSpaces 客户:

    • Linux Ubuntu 22.04 2023.3 或更高版本

    • Windows 5.19.0 或更高版本

    • Mac 客户端 5.19.0 或更高版本

  • WorkSpaces 正在运行 Amazon DCV WebAuthn 重定向扩展程序时安装的 Web 浏览器:

    • 谷歌浏览器 116+

    • 微软 Edge 116+

在 Windows 上启用或禁用 WebAuthn (FIDO2) 重定向 WorkSpaces

如果需要,您可以使用组策略设置启用或禁用对 Windows 身份 WebAuthn 验证器进行会话内身份验证 WorkSpaces 的支持。如果您启用或未配置此设置,则将启用 WebAuthn 重定向,并且用户可以在远程中使用本地身份验证器。 WorkSpace

启用该功能后,会话中来自浏览器的所有 WebAuthn 请求都将重定向到本地客户端。用户可以使用 Windows Hello 或本地连接的安全设备(如 YubiKey 或其他FIDO2兼容的身份验证器)来完成身份验证过程。

在 Windows 上启用或禁用 WebAuthn (FIDO2) 重定向 WorkSpaces
  1. 在组策略管理编辑器中,选择计算机配置策略管理模板AmazonWSP

  2. 打开 “启用/禁用 WebAuthn 重定向” 设置。

  3. 在 “启用/禁用 WebAuthn 重定向” 对话框中,选择 “启用” 或 “禁用”。

  4. 选择确定

  5. 组策略设置更改将在会 WorkSpace 话重新启动后生效。要应用组策略更改,请转至 Amazon WorkSpaces 控制台并选择,重新启动 WorkSpace。 WorkSpace 然后,选择操作重新启动 WorkSpaces)。

安装 Amazon DCV WebAuthn 重定向扩展

启用该功能 WebAuthn 后,用户需要安装 Amazon DCV WebAuthn 重定向扩展程序才能使用该功能,方法是执行以下任一操作:

  • 系统将提示您的用户在其浏览器中启用浏览器扩展程序。

    注意

    这是一次性的浏览器提示。当您将WSP代理版本更新到 2.0.0.1425 或更高版本时,您的用户将收到通知。如果您的最终用户不需要 WebAuthn 重定向,他们只需从浏览器中删除扩展程序即可。您也可以使用以下GPO策略阻止 WebAuthn 重定向扩展安装提示。

  • 您可以使用以下GPO策略强制为用户安装重定向扩展程序。如果您启用该GPO政策,则当您的用户启动支持的 Internet 访问权限的浏览器时,扩展程序将自动安装。

  • 你的用户可以使用 Microsoft Edge 插件Chrome 网上应用店手动安装扩展程序。

使用组策略管理和安装浏览器扩展程序

您可以使用组策略安装 Amazon DCV WebAuthn 重定向扩展,既可以从您的域集中安装已加入 Active Directory (AD) 域的会话主机,也可以使用本地组策略编辑器安装每个会话主机。此过程将根据您使用的浏览器而有所不同。

适用于微软 Edge
  1. 下载并安装 Microsoft Edge 管理模板

  2. 在目录管理 WorkSpace 或加入 WorkSpaces 目录的 Amazon EC2 实例上,打开组策略管理工具 (gpmc.msc)。

  3. 扩大森林(森林:FQDN).

  4. 展开

  5. 扩展你的FQDN(例如,example.com)。

  6. 展开组策略对象

  7. 选择默认域策略,打开上下文(右键单击)菜单,然后选择编辑

  8. 选择计算机配置管理模板Microsoft Edge扩展

  9. 打开 “配置分机管理设置”,将其设置为 “启用”

  10. 在 “配置分机管理设置” 下,输入以下内容:

    {"ihejeaahjpbegmaaegiikmlphghlfmeh":{"installation_mode":"force_installed","update_url":"https://edge.microsoft.com/extensionwebstorebase/v1/crx"}}
  11. 选择确定

  12. 组策略设置更改将在会 WorkSpace 话重新启动后生效。要应用组策略更改,请转至 Amazon WorkSpaces 控制台并选择,重新启动 WorkSpace。 WorkSpace 然后,选择操作重新启动 WorkSpaces)。

注意

您可以通过应用以下配置管理设置来阻止扩展程序的安装:

{"ihejeaahjpbegmaaegiikmlphghlfmeh":{"installation_mode":"blocked","update_url":"https://edge.microsoft.com/extensionwebstorebase/v1/crx"}}
适用于谷歌浏览器
  1. 下载并安装谷歌浏览器管理模板。如需了解详情,请参阅将 Chrome 浏览器政策设置为托管PCs

  2. 在目录管理 WorkSpace 或加入 WorkSpaces 目录的 Amazon EC2 实例上,打开组策略管理工具 (gpmc.msc)。

  3. 扩大森林(森林:FQDN).

  4. 展开

  5. 扩展你的FQDN(例如,example.com)。

  6. 展开组策略对象

  7. 选择默认域策略,打开上下文(右键单击)菜单,然后选择编辑

  8. 选择 “计算机配置”、“管理模板”、“谷歌浏览器” 和 “扩展程序

  9. 打开 “配置分机管理设置”,将其设置为 “启用”

  10. 在 “配置分机管理设置” 下,输入以下内容:

    {"mmiioagbgnbojdbcjoddlefhmcocfpmn":{ "installation_mode":"force_installed","update_url":"https://clients2.google.com/service/update2/crx"}}
  11. 选择确定

  12. 组策略设置更改将在会 WorkSpace 话重新启动后生效。要应用组策略更改,请转至 Amazon WorkSpaces 控制台并选择,重新启动 WorkSpace。 WorkSpace 然后,选择操作重新启动 WorkSpaces)。

注意

您可以通过应用以下配置管理设置来阻止扩展程序的安装:

{"mmiioagbgnbojdbcjoddlefhmcocfpmn":{ "installation_mode":"blocked","update_url":"https://clients2.google.com/service/update2/crx"}}

Web RTC 重定向通过将音频和视频处理从本地客户端卸载 WorkSpaces 来增强实时通信,从而提高性能并减少延迟。但是,Web RTC 重定向并不普遍,需要第三方应用程序供应商与之开发特定的集成。 WorkSpaces默认情况下,Web RTC 重定向未启用。 WorkSpaces要使用 Web RTC 重定向,请确保满足以下条件:

  • 第三方应用程序供应商集成

  • WorkSpaces 扩展通过组策略设置启用

  • Web RTC 重定向已启用

  • Web RTC 重定向浏览器扩展已安装并启用

注意

此重定向是作为扩展实现的,需要您使用组策略设置启用对 WorkSpaces 扩展的支持。如果禁用扩展程序,Web RTC 重定向将无法运行。

要求

的 Web RTC 重定向WSP需要满足以下条件:

  • WSP主机代理版本 2.0.0.1622 或更高版本

  • WorkSpaces 客户:

    • Windows 5.21.0 或更高版本

    • Web 客户端

  • WorkSpaces 正在运行 Amazon Web RTC 重定向扩展程序时安装DCV的 Web 浏览器:

    • 谷歌浏览器 116+

    • 微软 Edge 116+

在 Windows 上启用或禁用 Web RTC 重定向 WorkSpaces

如果需要,您可以使用组策略设置启用或禁用对 Windows WorkSpaces 的 Web RTC 重定向的支持。如果您禁用或未配置此设置,Web RTC 重定向将被禁用。

启用该功能后,与 Amazon 集成的网络应用程序 WorkSpaces 将能够将 Web RTC API 呼叫重定向到本地客户端。

在 Windows 上启用或禁用 Web RTC 重定向 WorkSpaces
  1. 在组策略管理编辑器中,选择计算机配置策略管理模板AmazonWSP

  2. 打开 “配置 Web RTC 重定向” 设置。

  3. 在 “配置 Web RTC 重定向” 对话框中,选择 “启用” 或 “用”。

  4. 选择确定

  5. 组策略设置更改将在会 WorkSpace 话重新启动后生效。要应用组策略更改,请转至 Amazon WorkSpaces 控制台并选择,重新启动 WorkSpace。 WorkSpace 然后,选择操作重新启动 WorkSpaces)。

安装 Amazon DCV Web RTC 重定向扩展

在启用 DCV Web RTC 重定向功能后,用户通过以下任一操作安装 Amazon Web RTC 重定向扩展以使用网络重定向:

  • 系统将提示用户在其浏览器中启用浏览器扩展程序。

    注意

    作为一次性浏览器提示,当您启用 Web RTC 重定向时,用户将收到通知。

  • 您可以使用以下GPO策略为用户强制安装重定向扩展。如果您启用该GPO政策,则当用户启动支持的 Internet 访问权限的浏览器时,扩展程序将自动安装。

  • 用户可以使用 Microsoft Edge Add-onsChrome 网上应用店手动安装该扩展程序。

使用组策略管理和安装浏览器扩展程序

您可以使用组策略为加入 Active Di RTC rectory (AD) 域的会话主机从您的域集中安装 Amazon DCV Web 重定向扩展,或者为每个会话主机使用本地组策略编辑器。根据您使用的浏览器,此过程会有所不同。

适用于微软 Edge
  1. 下载并安装 Microsoft Edge 管理模板

  2. 在目录管理 WorkSpace 或加入 WorkSpaces 目录的 Amazon EC2 实例上,打开组策略管理工具 (gpmc.msc)。

  3. 扩大森林(森林:FQDN).

  4. 展开

  5. 扩展你的FQDN(例如,example.com)。

  6. 展开组策略对象

  7. 选择默认域策略,打开上下文(右键单击)菜单,然后选择编辑

  8. 选择计算机配置管理模板Microsoft Edge扩展

  9. 打开 “配置分机管理设置”,将其设置为 “启用”

  10. 在 “配置分机管理设置” 下,输入以下内容:

    {"kjbbkjjiecchbcdoollhgffghfjnbhef":{"installation_mode":"force_installed","update_url":"https://edge.microsoft.com/extensionwebstorebase/v1/crx"}}
  11. 选择确定

  12. 组策略设置更改将在会 WorkSpace 话重新启动后生效。要应用组策略更改,请转至 Amazon WorkSpaces 控制台并选择,重新启动 WorkSpace。 WorkSpace 然后,选择操作重新启动 WorkSpaces)。

注意

您可以通过应用以下配置管理设置来阻止扩展程序的安装:

{"kjbbkjjiecchbcdoollhgffghfjnbhef":{"installation_mode":"blocked","update_url":"https://edge.microsoft.com/extensionwebstorebase/v1/crx"}}
适用于谷歌浏览器
  1. 下载并安装谷歌浏览器管理模板。如需了解详情,请参阅将 Chrome 浏览器政策设置为托管PCs

  2. 在目录管理 WorkSpace 或加入 WorkSpaces 目录的 Amazon EC2 实例上,打开组策略管理工具 (gpmc.msc)。

  3. 扩大森林(森林:FQDN).

  4. 展开

  5. 扩展你的FQDN(例如,example.com)。

  6. 展开组策略对象

  7. 选择默认域策略,打开上下文(右键单击)菜单,然后选择编辑

  8. 选择 “计算机配置”、“管理模板”、“谷歌浏览器” 和 “扩展程序

  9. 打开配置分机管理设置并将其设置为启用

  10. 在 “配置分机管理设置” 下,输入以下内容:

    {"diilpfplcnhehakckkpmcmibmhbingnd":{ "installation_mode":"force_installed","update_url":"https://clients2.google.com/service/update2/crx"}}
  11. 选择确定

  12. 组策略设置更改将在会 WorkSpace 话重新启动后生效。要应用组策略更改,请转至 Amazon WorkSpaces 控制台并选择,重新启动 WorkSpace。 WorkSpace 然后,选择操作重新启动 WorkSpaces)。

注意

您可以通过应用以下配置管理设置来阻止扩展程序的安装:

{"diilpfplcnhehakckkpmcmibmhbingnd":{ "installation_mode":"blocked","update_url":"https://clients2.google.com/service/update2/crx"}}

如果需要,可以在检测到 Windows 锁屏时断开用户的 WorkSpaces 会话。要从 WorkSpaces 客户端重新连接,用户可以使用自己的密码或智能卡进行身份验证,具体取决于为其 WorkSpaces启用了哪种类型的身份验证。

默认情况下,该组策略设置处于禁用状态。如果需要,您可以使用组策略设置启用在检测到 Windows 锁屏时断 WorkSpaces 开会话连接。

注意
启用或禁用 Windows 屏幕锁定时断开连接会话 WorkSpaces
  1. 在组策略管理编辑器中,选择计算机配置策略管理模板AmazonWSP

  2. 打开启用/禁用屏幕锁定时断开会话连接设置。

  3. 启用/禁用屏幕锁定时断开会话连接对话框中,选择启用禁用

  4. 选择确定

  5. 组策略设置更改将在的下一次组策略更新之后 WorkSpace 以及会 WorkSpace 话重新启动后生效。要应用组策略更改,请执行下列操作之一:

    • 重启 WorkSpace (在 Amazon WorkSpaces 控制台中,选择 WorkSpace,然后选择操作重启 WorkSpaces)。

    • 在管理命令提示符处,输入 gpupdate /force

默认情况下, WorkSpaces 支持使用间接显示驱动程序 (IDD)。如果 Windows 需要 WorkSpaces,您可以使用组策略设置来禁用此功能。

启用或禁用 Windows 的间接显示驱动程序 (IDD) WorkSpaces
  1. 在组策略管理编辑器中,选择计算机配置策略管理模板AmazonWSP

  2. 打开 “启用” AWS 间接显示驱动程序设置。

  3. 在 “启用” 中 AWS “间接显示驱动程序” 对话框中,选择 “启用” 或 “禁用”。

  4. 选择确定

  5. 组策略设置更改将在的下一次组策略更新之后 WorkSpace 以及会 WorkSpace 话重新启动后生效。要应用组策略更改,请执行下列操作之一:

    1. 重新启动 WorkSpace (在 WorkSpaces 控制台中,选择 WorkSpace,然后选择操作重新启动 WorkSpaces)。

    2. 在管理命令提示符处,输入 gpupdate /force

WorkSpaces 允许您配置多种不同的显示设置,包括最大帧速率、最低图像质量、最大图像质量和YUV编码。根据所需的图像质量、响应能力和色彩准确度,调整这些设置。

默认情况下,最大帧速率值为 25。最大帧速率值用于指定允许的最大每秒帧数 (fps)。值 0 表示无限制。

默认情况下,最低图像质量值为 30。可以对最低图像质量进行优化,以获得最佳图像响应能力或最佳图像质量。为了获得最佳响应能力,请减少最低质量。要获得最佳质量,请增加最低质量。

  • 最佳响应能力的理想值介于 30 和 90 之间。

  • 最佳质量的理想值介于 60 和 90 之间。

默认情况下,最大图像质量值为 80。最大图像质量不会影响图像的响应能力或质量,但会设置最大值以限制网络使用量。

默认情况下,图像编码设置为 YUV42 0。选择 “启用YUV444编码” 可启用YUV444编码以实现高色彩精度。

对于 Windows WorkSpaces,您可以使用组策略设置来配置最大帧速率、最低图像质量和最大图像质量值。

配置 Windows 的显示设置 WorkSpaces
  1. 在组策略管理编辑器中,选择计算机配置策略管理模板AmazonWSP

  2. 打开配置显示设置设置。

  3. 配置显示设置对话框中,选择启用,然后将最大帧速率 (fps)最低图像质量最大图像质量值设置为所需的级别。

  4. 选择确定

  5. 组策略设置更改将在的下一次组策略更新之后 WorkSpace 以及您重新启动 WorkSpace会话之后生效。要应用组策略更改,请执行下列操作之一:

    • 重启 WorkSpace. Amazon WorkSpaces 控制台,选择 WorkSpace,然后选择操作重启 WorkSpaces

    • 在管理命令提示符处,输入 gpupdate /force

默认情况下, WorkSpaces 支持将该VSync功能用于 AWS 仅限虚拟显示屏的驱动程序。如果 Windows 需要 WorkSpaces,您可以使用组策略设置来禁用此功能。

在 Windows 上启用或禁VSync用 WorkSpaces
  1. 在组策略管理编辑器中,选择计算机配置策略管理模板AmazonWSP

  2. 打开 “启用” VSync 功能 AWS 仅限虚拟显示器驱动程序设置。

  3. 在 “启用VSync” 功能中 AWS “仅虚拟显示驱动程序” 对话框中,选择 “启用” 或 “禁用”。

  4. 选择确定

  5. 组策略设置更改将在的下一次组策略更新之后 WorkSpace 以及会 WorkSpace 话重新启动后生效。要应用组策略更改,请执行以下操作:

    1. WorkSpace 通过执行以下任一操作重新启动:

      1. 选项 1-在 WorkSpaces 控制台中,选择 WorkSpace 要重新启动的。然后,选择操作重新启动 WorkSpaces

      2. 选项 2-在管理命令提示符下,输入gpupdate /force

    2. 要应用设置 WorkSpace ,请重新连接到。

    3. 再次重启工作区。

默认情况下,的日志详细级别设置WSP WorkSpaces 为 Info。您可以将日志级别设置为详细程度级别(从最不详细到最详细),详见此处:

  • 错误 - 最不详细

  • Warning

  • 信息 - 默认

  • 调试 - 最详细

对于 Windows WorkSpaces,您可以使用组策略设置来配置日志详细级别。

为 Windows 配置日志详细级别 WorkSpaces
  1. 在组策略管理编辑器中,选择计算机配置策略管理模板AmazonWSP

  2. 打开配置日志详细程度设置。

  3. 配置日志详细程度对话框中,选择启用,然后将日志详细程度级别设置为调试错误信息警告

  4. 选择确定

  5. 组策略设置更改将在的下一次组策略更新之后 WorkSpace 以及您重新启动 WorkSpace会话之后生效。要应用组策略更改,请执行下列操作之一:

    • 重新启动 WorkSpace。在 Amazon WorkSpaces 控制台中,选择 WorkSpace,然后选择操作重启 WorkSpaces

    • 在管理命令提示符处,输入 gpupdate /force

安装组策略管理模板 PCoIP

要在使用PCoIP协议 WorkSpaces 时使用特定于 Amazon 的组策略设置,您必须添加适用于您的PCoIP代理版本(32 位或 64 位)的组策略管理模板。 WorkSpaces

注意

如果您混合使用 32 位和 64 位代理,则可以对 32 位代理使用组策略管理模板,并且您的组策略设置将同时应用于 32 位和 64 位代理。 WorkSpaces 当所有人 WorkSpaces 都在使用 64 位代理时,可以切换到使用 64 位代理的管理模板。

确定 WorkSpaces 您使用的是 32 位代理还是 64 位代理
  1. 登录到 a WorkSpace,然后通过选择 “查看”、“发送 Ctrl + Alt + Delete” 或右键单击任务栏并选择 “任务管理器” 来打开任务管理器。

  2. 在任务管理器中,转到详细信息选项卡,右键单击列标题,然后选择选择列

  3. 选择列对话框中,选择平台,然后选择确定

  4. 在 “详细信息” 选项卡上pcoip_agent.exe,查找,然后在 “平台” 列中检查其值,以确定PCoIP代理是 32 位还是 64 位。(您可能会看到 32 位和 64 位 WorkSpaces 组件的混合;这是正常现象。)

要使用与 32 位PCoIP代理一起使用PCoIP协议 WorkSpaces 时特有的组策略设置,必须安装组策略管理模板。PCoIP对已加入目录的目录管理 WorkSpace 或 Amazon EC2 实例执行以下步骤。

有关使用.adm 文件的更多信息,请参阅 Microsoft 文档中的管理组策略管理模板 (.adm) 文件的建议

安装组策略管理模板 PCoIP
  1. 在正在运行的 Windows WorkSpace 中,复制C:\Program Files (x86)\Teradici\PCoIP Agent\configuration目录中的pcoip.adm文件。

  2. 在目录管理 WorkSpace 或已加入您的 WorkSpaces 目录的 Amazon EC2 实例上,打开组策略管理工具 (gpmc.msc),然后导航到您的域中包含您的 WorkSpaces 计算机账户的组织单位。

  3. 打开计算机帐户组织单位的上下文(右键单击)菜单,然后选择在此域GPO中创建,然后将其链接到此处

  4. 在 GPO “新建” 对话框中,输入描述性名称GPO,例如WorkSpaces 计算机策略,并将 S ource Starter GPO 设置为(无)。选择确定

  5. 打开新内容的上下文(右键单击)菜单,GPO然后选择 “编辑”

  6. 在组策略管理编辑器中,依次选择计算机配置策略管理模板。从主菜单中依次选择操作添加/删除模板

  7. 添加/删除模板对话框中,单击添加,选择之前复制的 pcoip.adm 文件,然后依次选择打开关闭

  8. 关闭组策略管理编辑器。现在,您可以使用它GPO来修改特定于的组策略设置 WorkSpaces。

验证管理模板文件是否已正确安装
  1. 在目录管理 WorkSpace 或已加入您的 WorkSpaces 目录的 Amazon EC2 实例上,打开组策略管理工具 (gpmc.msc),然后导航到您的 WorkSpaces 计算机账户并选择该 WorkSpacesGPO工具。在主菜单中依次选择操作编辑

  2. 在组策略管理编辑器中,选择计算机配置策略管理模板经典管理模板PCoIP会话变量

  3. 现在,您可以使用此PCoIP会话变量组策略对象来修改使用 WorkSpaces 时特定于 Amazon 的组策略设置PCoIP。

    注意

    要允许用户覆盖您的设置,请选择可覆盖的管理员设置;否则,请选择不可覆盖的管理员设置

要使用该PCoIP协议 WorkSpaces 时特有的组策略设置,必须将组策略管理模板PCoIP.admxPCoIP.adml文件添加到 WorkSpaces目录的域控制器的中央存储区。PCoIP有关 .admx.adml 文件的更多信息,请参阅如何在 Windows 中创建和管理组策略管理模板的中央存储

以下过程介绍了如何创建中央存储并向其中添加管理模板文件。对已加入目录的目录管理 WorkSpace 或 Amazon EC2 实例执行以下步骤。 WorkSpaces

要安装组策略管理模板文件 PCoIP
  1. 在正在运行的 Windows WorkSpace 中,复制C:\Program Files\Teradici\PCoIP Agent\configuration\policyDefinitions目录中的PCoIP.admxPCoIP.adml文件。PCoIP.adml 文件位于该目录的 en-US 子文件夹中。

  2. 在目录管理 WorkSpace 或已加入 WorkSpaces 目录的 Amazon EC2 实例上,打开 Windows 文件资源管理器,然后在地址栏中输入贵组织的完全限定域名 (FQDN),例如\\example.com

  3. 打开 sysvol 文件夹。

  4. 打开带有 FQDN 名称的文件夹。

  5. 打开 Policies 文件夹。您现在应该位于 \\FQDN\sysvol\FQDN\Policies 中。

  6. 如果该文件尚不存在,请创建一个名为 PolicyDefinitions 的文件夹。

  7. 打开 PolicyDefinitions 文件夹。

  8. PCoIP.admx 文件复制到 \\FQDN\sysvol\FQDN\Policies\PolicyDefinitions 文件夹中。

  9. PolicyDefinitions 文件夹中创建名为 en-US 的文件夹。

  10. 打开 en-US 文件夹。

  11. PCoIP.adml 文件复制到 \\FQDN\sysvol\FQDN\Policies\PolicyDefinitions\en-US 文件夹中。

验证管理模板文件是否已正确安装
  1. 在目录管理 WorkSpace 或加入 WorkSpaces 目录的 Amazon EC2 实例上,打开组策略管理工具 (gpmc.msc)。

  2. 扩大森林(森林:FQDN).

  3. 展开

  4. 扩展你的FQDN(例如,example.com)。

  5. 展开组策略对象

  6. 选择默认域策略,打开上下文(右键单击)菜单,然后选择编辑

    注意

    如果支持的域名 WorkSpaces 是 AWS Managed Microsoft AD 目录,则无法使用默认域策略来创建您的GPO。相反,您必须在具有委派权限的域容器GPO下创建和链接。

    当你使用创建目录时 AWS Managed Microsoft AD, AWS Directory Service 创建一个 yourdomainname 域根目录下的组织单位 (OU)。此 OU 的名称基于您在创建目录时键入的网络BIOS名称。如果您未指定网络BIOS名称,则它将默认为目录DNS名称的第一部分(例如,如果是corp.example.com,则网络BIOS名称为corp)。

    要创建您的GPO,请不要选择默认域名策略,而是选择 yourdomainname OU(或该域下的任何 OU),打开上下文(右键单击)菜单,然后选择 “在此域GPO中创建”,然后将其链接到此处

    有关该的更多信息 yourdomainname OU,请参阅《中创建了什么AWS Directory Service 《管理指南》

  7. 在组策略管理编辑器中,选择计算机配置策略管理模板PCoIP会话变量

  8. 现在,您可以使用此PCoIP会话变量组策略对象来修改使用 WorkSpaces 时特定的组策略设置PCoIP。

    注意

    要允许用户覆盖您的设置,请选择可覆盖的管理员设置;否则,请选择不可覆盖的管理员设置

管理组策略设置 PCoIP

使用组策略设置来管理使用 WorkSpaces 的 Windows PCoIP。

默认情况下, WorkSpaces 启用基本远程打印,它提供的打印功能有限,因为它在主机端使用通用打印机驱动程序来确保打印兼容。

Windows 客户端的高级远程打印让您可以使用打印机的特定功能(如双面打印),但需要在主机端安装匹配的打印机驱动程序。

远程打印实施为虚拟通道。如果虚拟通道被禁用,远程打印无法正常工作。

对于 Windows WorkSpaces,您可以根据需要使用组策略设置来配置打印机支持。

配置打印机支持
  1. 请确保已安装最新的 PCoIP(32 位)WorkSpaces 组策略管理模板或适用于PCoIP(64 位)的最新WorkSpaces 组策略管理模板

  2. 在目录管理 WorkSpace 或加入 WorkSpaces 目录的 Amazon EC2 实例上,打开组策略管理工具 (gpmc.msc) 并导航到PCoIP会话变量

  3. 打开配置远程打印设置。

  4. Configure remote printing (配置远程打印) 对话框中,执行下列操作之一:

    • 要启用高级远程打印,请选择已启用,然后在选项Configure remote printing (配置远程打印) 下,选择 Basic and Advanced printing for Windows clients (适用于 Windows 客户端的基本和高级打印)。要自动使用客户端计算机的当前默认打印机,选择 Automatically set default printer (自动设置默认打印机)

    • 要禁用打印,请选择 Enabled (已启用),然后在 Options (选项)Configure remote printing (配置远程打印) 下选择 Printing disabled (已禁用打印)

  5. 选择确定

  6. 组策略设置更改将在的下一次组策略更新之后 WorkSpace 以及会 WorkSpace 话重新启动后生效。要应用组策略更改,请执行下列操作之一:

    • 重启 WorkSpace (在 Amazon WorkSpaces 控制台中,选择 WorkSpace,然后选择操作重启 WorkSpaces)。

    • 在管理命令提示符处,输入 gpupdate /force

默认情况下,本地打印机自动重定向被禁用。您可以使用组策略设置来启用此功能,以便每次连接到您的本地打印机时都将您的本地打印机设置为默认打印机 WorkSpace。

注意

本地打印机重定向不适用于亚马逊 Linux WorkSpaces。

启用本地打印机自动重定向
  1. 请确保已安装最新的 PCoIP(32 位)WorkSpaces 组策略管理模板或适用于PCoIP(64 位)的最新WorkSpaces 组策略管理模板

  2. 在目录管理 WorkSpace 或加入 WorkSpaces 目录的 Amazon EC2 实例上,打开组策略管理工具 (gpmc.msc) 并导航到PCoIP会话变量

  3. 打开配置远程打印设置。

  4. 选择启用,然后在选项配置远程打印下,选择以下一个选项:

    • 适用于 Windows 客户端的基本和高级打印

    • 基本打印

  5. 选择自动设置默认打印机,然后选择确定

  6. 组策略设置更改将在的下一次组策略更新之后 WorkSpace 以及会 WorkSpace 话重新启动后生效。要应用组策略更改,请执行下列操作之一:

    • 重启 WorkSpace (在 Amazon WorkSpaces 控制台中,选择 WorkSpace,然后选择操作重启 WorkSpaces)。

    • 在管理命令提示符处,输入 gpupdate /force

默认情况下, WorkSpaces 支持剪贴板重定向。如果 Windows 需要 WorkSpaces,您可以使用组策略设置来禁用此功能。

要启用或禁用剪贴板重定向
  1. 请确保已安装最新的 PCoIP(32 位)WorkSpaces 组策略管理模板或适用于PCoIP(64 位)的最新WorkSpaces 组策略管理模板

  2. 在目录管理 WorkSpace 或加入 WorkSpaces 目录的 Amazon EC2 实例上,打开组策略管理工具 (gpmc.msc) 并导航到PCoIP会话变量

  3. 打开 Configure clipboard redirection 设置。

  4. 配置剪贴板重定向对话框中,选择启用,然后选择以下设置之一以确定允许剪贴板重定向的方向。完成后,选择确定

    • 双向禁用

    • 仅对客户端(WorkSpace 本地计算机)启用代理

    • 仅启用客户端到代理(本地计算机到 WorkSpace)

    • 双向启用

  5. 组策略设置更改将在的下一次组策略更新之后 WorkSpace 以及会 WorkSpace 话重新启动后生效。要应用组策略更改,请执行下列操作之一:

    • 重启 WorkSpace (在 Amazon WorkSpaces 控制台中,选择 WorkSpace,然后选择操作重启 WorkSpaces)。

    • 在管理命令提示符处,输入 gpupdate /force

已知限制

启用剪贴板重定向后 WorkSpace,如果您从 Microsoft Office 应用程序中复制大于 890 KB 的内容,则该应用程序可能会变慢或在长达 5 秒钟内没有响应。

网络连接中断时,您的活动 WorkSpaces 客户端会话将断开。 WorkSpaces 如果在一定时间内恢复了网络连接,则适用于 Windows 和 macOS 的客户端应用程序会尝试自动重新连接会话。默认的会话恢复超时时间为 20 分钟,但您可以修改该值 WorkSpaces ,因为该值由您的域的组策略设置控制。

要设置自动会话恢复超时值
  1. 请确保已安装最新的 PCoIP(32 位)WorkSpaces 组策略管理模板或适用于PCoIP(64 位)的最新WorkSpaces 组策略管理模板

  2. 在目录管理 WorkSpace 或加入 WorkSpaces 目录的 Amazon EC2 实例上,打开组策略管理工具 (gpmc.msc) 并导航到PCoIP会话变量

  3. 打开 Configure Session Automatic Reconnection Policy 设置。

  4. Configure Session Automatic Reconnection Policy 对话框中,选择 Enabled,将 Configure Session Automatic Reconnection Policy 选项设置为所需的超时 (以分钟为单位),然后选择 OK

  5. 组策略设置更改将在的下一次组策略更新之后 WorkSpace 以及会 WorkSpace 话重新启动后生效。要应用组策略更改,请执行下列操作之一:

    • 重启 WorkSpace (在 Amazon WorkSpaces 控制台中,选择 WorkSpace,然后选择操作重启 WorkSpaces)。

    • 在管理命令提示符处,输入 gpupdate /force

默认情况下,Amazon WorkSpaces 支持从本地麦克风重定向数据。如果 Windows 需要 WorkSpaces,您可以使用组策略设置来禁用此功能。

注意

如果你的组策略设置限制了用户的本地登录 WorkSpaces,那么音频输入将无法在你的。 WorkSpaces如果删除该组策略设置,则下次重新启动后将启用音频输入功能。 WorkSpace有关此组策略设置的更多信息,请参阅 Microsoft 文档中的允许本地登录

启用或禁用音频输入重定向
  1. 请确保已安装最新的 PCoIP(32 位)WorkSpaces 组策略管理模板或适用于PCoIP(64 位)的最新WorkSpaces 组策略管理模板

  2. 在目录管理 WorkSpace 或加入 WorkSpaces 目录的 Amazon EC2 实例上,打开组策略管理工具 (gpmc.msc) 并导航到PCoIP会话变量

  3. 在会PCoIP话设置中打开 “启用/禁用音频”

  4. 在 “在PCoIP会话中启用/禁用音频” 对话框中,选择 “启用” 或 “禁用”。

  5. 选择确定

  6. 组策略设置更改将在的下一次组策略更新之后 WorkSpace 以及会 WorkSpace 话重新启动后生效。要应用组策略更改,请执行下列操作之一:

    • 重启 WorkSpace (在 Amazon WorkSpaces 控制台中,选择 WorkSpace,然后选择操作重启 WorkSpaces)。

    • 在管理命令提示符处,输入 gpupdate /force

默认情况下,工作区内的时间设置为镜像用于连接的客户端的时区 WorkSpace。此行为是通过时区重定向控制的。您可能需要关闭时区定向的原因有多种:

  • 您的公司希望所有员工在特定时区中工作(即使某些员工在其他时区)。

  • 您在 a 中有计划任务 WorkSpace ,这些任务本应在特定时区的特定时间运行。

  • 经常出差的用户希望将自己留 WorkSpaces 在一个时区,以保持一致性和个人喜好。

如果 Windows 需要 WorkSpaces,您可以使用组策略设置来禁用此功能。

禁用时区重定向
  1. 请确保已安装最新的 PCoIP(32 位)WorkSpaces 组策略管理模板或适用于PCoIP(64 位)的最新WorkSpaces 组策略管理模板

  2. 在目录管理 WorkSpace 或加入 WorkSpaces 目录的 Amazon EC2 实例上,打开组策略管理工具 (gpmc.msc) 并导航到PCoIP会话变量

  3. 打开配置时区重定向设置。

  4. 配置时区重定向对话框中,选择禁用

  5. 选择确定

  6. 组策略设置更改将在的下一次组策略更新之后 WorkSpace 以及会 WorkSpace 话重新启动后生效。要应用组策略更改,请执行下列操作之一:

    • 重启 WorkSpace (在 Amazon WorkSpaces 控制台中,选择 WorkSpace,然后选择操作重启 WorkSpaces)。

    • 在管理命令提示符处,输入 gpupdate /force

  7. 将的时区设置 WorkSpaces 为所需的时区。

的时区现在 WorkSpaces 是静态的,不再反映客户端计算机的时区。

对于PCoIP,传输中的数据使用 TLS 1.2 加密和 Sigv4 请求签名进行加密。该PCoIP协议使用经过加密的UDP流量和AES加密来传输像素。使用端口 4172(TCP和UDP)的流媒体连接使用 AES -128 和 AES -256 个密码进行加密,但加密默认为 128 位。您可以使用 “配置PCoIP安全设置” 组策略设置将此默认值更改为 256 位。

您也可以使用此组策略设置来修改TLS安全模式和屏蔽某些密码套件。配置PCoIP安全设置组策略对话框中提供了这些设置和支持的密码套件的详细说明。

配置PCoIP安全设置
  1. 请确保已安装最新的 PCoIP(32 位)WorkSpaces 组策略管理模板或适用于PCoIP(64 位)的最新WorkSpaces 组策略管理模板

  2. 在目录管理 WorkSpace 或加入 WorkSpaces 目录的 Amazon EC2 实例上,打开组策略管理工具 (gpmc.msc) 并导航到PCoIP会话变量

  3. 打开 “配置PCoIP安全设置” 设置

  4. 在 “配置PCoIP安全设置” 对话框中,选择 “启用”。要将流媒体流量的默认加密设置为 256 位,请转到 “PCoIP数据加密密码” 选项,然后AES仅选择 -256-。GCM

  5. (可选)调整TLS安全模式设置,然后列出要屏蔽的所有密码套件。有关这些设置的更多信息,请参阅 “配置PCoIP安全设置” 对话框中提供的说明。

  6. 选择确定

  7. 组策略设置更改将在的下一次组策略更新之后 WorkSpace 以及会 WorkSpace 话重新启动后生效。要应用组策略更改,请执行下列操作之一:

    • 重启 WorkSpace (在 Amazon WorkSpaces 控制台中,选择 WorkSpace,然后选择操作重启 WorkSpaces)。

    • 在管理命令提示符处,输入 gpupdate /force

注意

亚马逊 WorkSpaces 目前仅支持 YubiKey U2F 的USB重定向。其他类型的USB设备可能会被重定向,但它们不受支持,也可能无法正常工作。

为 U2F 启用USB重定 YubiKey 向
  1. 请确保已安装最新的 PCoIP(32 位)WorkSpaces 组策略管理模板或适用于PCoIP(64 位)的最新WorkSpaces 组策略管理模板

  2. 在目录管理 WorkSpace 或加入 WorkSpaces 目录的 Amazon EC2 实例上,打开组策略管理工具 (gpmc.msc) 并导航到PCoIP会话变量

  3. 在会PCOIP话设置USB中打开 “启用/禁用”

  4. 选择启用,然后选择确定

  5. 打开 “配置PCoIPUSB允许和不允许的设备规则” 设置。

  6. 选择 “启用”,然后在 “输入USB授权表(最多十条规则)” 下,配置您的USB设备允许列表规则。

    1. 授权规则 - 110500407。此值是供应商 ID (VID) 和产品 ID (PID) 的组合。VID/PID组合的格式为 1xxxxyyyy,其中 xxxx 是十六进制格式,yyyy 是十六进制格式。VID PID在本示例中,1050 是VID,0407 是。PID有关更多 YubiKey USB值,请参阅 YubiKey USBID 值

  7. 在 “输入USB授权表(最多十条规则)” 下,配置您的USB设备屏蔽列表规则。

    1. 对于取消授权规则,设置一个空字符串。这意味着仅允许授权列表中的USB设备。

    注意

    您最多可以定义 10 条USB授权规则和 10 条USB取消授权规则。使用竖线 (|) 字符分隔多个规则。有关授权/取消授权规则的详细信息,请参阅适用于 Windows 的 Terad PCoIP ici 标准代理。

  8. 选择确定

  9. 组策略设置更改将在的下一次组策略更新之后 WorkSpace 以及会 WorkSpace 话重新启动后生效。要应用组策略更改,请执行下列操作之一:

    • 重启 WorkSpace (在 Amazon WorkSpaces 控制台中,选择 WorkSpace,然后选择操作重启 WorkSpaces)。

    • 在管理命令提示符处,输入 gpupdate /force

设置生效后,除非通过USB设备规则设置配置了限制, WorkSpaces 否则所有支持的USB设备都可以重定向到。

设置 Kerberos 票证的最长使用期限

如果您尚未禁用 Windows 的 “记住我” 功能 WorkSpaces,则您的 WorkSpace 用户可以使用其 WorkSpaces 客户端应用程序中的 “记住我” 或 “让我保持登录状态” 复选框来保存其凭据。此功能允许用户在客户端应用程序保持运行 WorkSpaces时轻松连接到他们的。他们的凭证安全地缓存到 Kerberos 票证中,时间可达其最长使用期限。

如果您 WorkSpace 使用 AD Connector 目录,则可以通过组策略修改 WorkSpaces 用户的 Kerberos 票证的最大生命周期,方法是按照微软 Windows 文档中用户票证的最长使用寿命中的步骤进行操作。

要启用或禁用 Remember Me 功能,请参阅 在 “ WorkSpaces 个人” 中为您的用户启用自助 WorkSpaces管理功能

配置用于互联网访问的设备代理服务器设置

默认情况下, WorkSpaces 客户端应用程序使用在设备操作系统设置中为HTTPS(端口 443)流量指定的代理服务器。Amazon WorkSpaces 客户端应用程序使用该HTTPS端口进行更新、注册和身份验证。

注意

不支持需要使用登录凭证进行身份验证的代理服务器。

您可以按照 Microsoft 文档中配置设备代理和互联网连接设置中的步骤, WorkSpaces 通过组策略为 Windows 配置设备代理服务器设置

有关在 WorkSpaces Windows 客户端应用程序中配置代理设置的更多信息,请参阅 Amazon WorkSpaces 用户指南中的代理服务器

有关在 WorkSpaces macOS 客户端应用程序中配置代理设置的更多信息,请参阅 A mazon WorkSpaces 用户指南中的代理服务器

有关在 WorkSpaces Web Access 客户端应用程序中配置代理设置的更多信息,请参阅 Amazon WorkSpaces 用户指南中的代理服务器

代理桌面流量

对于 PCoIP WorkSpaces,桌面客户端应用程序不支持使用代理服务器,也不支持对端口 4172 流量UDP(用于桌面流量)进行TLS解密和检查。它们需要直接连接到端口 4172。

对于 WSP WorkSpaces, WorkSpaces Windows 客户端应用程序(版本 5.1 及更高版本)和 macOS 客户端应用程序(版本 5.4 及更高版本)支持使用HTTP代理服务器处理端口 4 TCP 195 流量。TLS不支持解密和检查。

WSP不支持使用代理服务器处理桌面流量UDP。只有 WorkSpaces Windows 和 macOS 桌面客户端应用程序和WSP网络访问支持使用代理来处理流量。TCP

注意

如果您选择使用代理服务器,则客户端应用程序对 WorkSpaces 服务发出的API调用也会被代理。API呼叫和桌面流量都应通过同一个代理服务器。

关于使用代理服务器的建议

我们不建议使用代理服务器来处理您的 WorkSpaces 桌面流量。

Amazon WorkSpaces 桌面流量已经过加密,因此代理并不能提高安全性。代理代表网络路径中的额外跳跃,它可能会通过引入延迟来影响流式传输质量。如果代理的大小不合适,无法处理桌面流式传输流量,则代理也可能会降低吞吐量。此外,大多数代理不是为支持长时间运行的 WebSocket (TCP) 连接而设计的,可能会影响直播质量和稳定性。

如果您必须使用代理,请将代理服务器尽可能靠近 WorkSpace客户端,最好位于同一网络中,以避免增加网络延迟,因为这可能会对直播质量和响应能力产生负面影响。

启用 Amazon WorkSpaces for Zoom 会议媒体插件支持

使用 Zoom 插件,Zoom 支持针对WSP和PCoIP基于 Windows WorkSpaces 的优化实时通信。VDI直接的客户端通信允许视频通话绕过基于云的虚拟桌面,并在用户内部进行会议时提供类似本地的 Zoom 体验。 WorkSpace

启用 Zoom 会议媒体插件 WSP

在安装 Zoom VDI 组件之前,请更新您的 WorkSpaces 配置以支持 Zoom 优化。

先决条件

在使用该插件之前,请确保满足以下要求。

  • 带有 Zoom VDI 插件的 Windows WorkSpaces 客户端版本 5.10.0+ 版本 5.17.10+

  • 在你的 WorkSpaces — Zoom Meet VDI ing 客户端版本 5.17.10+

开始前的准备工作

  1. 启用扩展组策略设置。有关更多信息,请参阅 为以下各项配置扩展 WSP

  2. 禁用 “自动重新连接组策略” 设置。有关更多信息,请参阅 将会话恢复超时设置为 WSP

安装 Zoom 组件

要启用缩放优化,请在您的 Windows 上安装 Zoom 提供的两个组件 WorkSpaces。有关更多信息,请参阅使用 Zoom 处理亚马逊 Web Services

  1. 在您的设备中安装 Zoom VDI Meeting 客户端 5.12.6+ 版。 WorkSpace

  2. 在安装你的客户端上安装 Zoom VDI 插件(Windows 通用安装程序)版本 5.12.6+ WorkSpace

  3. 通过确认您的插件状态在 Zoom VDI 客户端中显示为 “已连接”,验证VDI插件是否在优化 Zoom 流量。有关更多信息,请参阅如何确认 Amazon WorkSpaces 优化

启用 Zoom 会议媒体插件 PCoIP

拥有 Active Directory 管理权限的用户可以使用其组策略对象 (GPO) 生成注册表项。这允许用户使用强制更新将注册表项发送到您域 WorkSpaces 中的所有 Windows。或者,具有管理权限的用户也可以在其 WorkSpaces 主机上单独安装注册表项。

先决条件

在使用该插件之前,请确保满足以下要求。

在 Windows WorkSpaces 主机上创建注册表项

完成以下过程,在 Windows WorkSpaces 主机上创建注册表项。在 Windows 上使用 Zoom 需要注册表项 WorkSpaces。

  1. 以管理员身份打开 Windows 注册表编辑器。

  2. 转到 \HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Amazon

  3. 如果扩展密钥不存在,请右键单击并选择新建 > 密钥,然后将其命名为 Extension

  4. 在新的 Extensi on 键中,右键单击并选择 “新建” > DWORD,然后将其命名为 en able。名称必须为小写。

  5. 选择新值DWORD并将更改为 1

  6. 重启计算机以完成该过程。

  7. 在您的 WorkSpaces 主机上,下载并安装最新的 Zoom VDI 客户端。在您的 WorkSpaces 客户端(5.4 或更高版本)上,下载并安装适用于亚马逊的最新 Zoom VDI 客户端插件 WorkSpaces。有关更多信息,请参阅 Zoom 支持网站上的VDI版本和下载内容

启动 Zoom 开始视频通话。

故障排除

完成以下操作对 Windows 上的 Zoom 进行故障排除 WorkSpaces。

  • 确认注册表项激活并已正确应用。

  • 转到 C:\ProgramData\Amazon\Amazon WorkSpaces Extension。您应查看 wse_core_dll

  • 确保主机和客户端上的版本正确且相同。

如果您仍然遇到困难,请联系 AWS Support 使用 AWS Support 中心

您可以使用以下示例来申请GPO成为目录的管理员。

  • WSE.adml

    <?xml version="1.0" encoding="utf-8"?> <policyDefinitionResources xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" revision="1.0" schemaVersion="1.0" xmlns="http://www.microsoft.com/GroupPolicy/PolicyDefinitions"> <!-- 'displayName' and 'description' don't appear anywhere. All Windows native GPO template files have them set like this. --> <displayName>enter display name here</displayName> <description>enter description here</description> <resources> <stringTable> <string id="SUPPORTED_ProductOnly">N/A</string> <string id="Amazon">Amazon</string> <string id="Amazon_Help">Amazon Group Policies</string> <string id="WorkspacesExtension">Workspaces Extension</string> <string id="WorkspacesExtension_Help">Workspace Extension Group Policies</string> <!-- Extension Itself --> <string id="ToggleExtension">Enable/disable Extension Virtual Channel</string> <string id="ToggleExtension_Help"> Allows two-way Virtual Channel data communication for multiple purposes By default, Extension is disabled.</string> </stringTable> </resources> </policyDefinitionResources>
  • WSE.admx

    <?xml version="1.0" encoding="utf-8"?> <policyDefinitions xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" revision="1.0" schemaVersion="1.0" xmlns="http://www.microsoft.com/GroupPolicy/PolicyDefinitions"> <policyNamespaces> <target prefix="WorkspacesExtension" namespace="Microsoft.Policies.Amazon.WorkspacesExtension" /> </policyNamespaces> <supersededAdm fileName="wse.adm" /> <resources minRequiredRevision="1.0" /> <supportedOn> <definitions> <definition name="SUPPORTED_ProductOnly" displayName="$(string.SUPPORTED_ProductOnly)"/> </definitions> </supportedOn> <categories> <category name="Amazon" displayName="$(string.Amazon)" explainText="$(string.Amazon_Help)" /> <category name="WorkspacesExtension" displayName="$(string.WorkspacesExtension)" explainText="$(string.WorkspacesExtension_Help)"> <parentCategory ref="Amazon" /> </category> </categories> <policies> <policy name="ToggleExtension" class="Machine" displayName="$(string.ToggleExtension)" explainText="$(string.ToggleExtension_Help)" key="Software\Policies\Amazon\Extension" valueName="enable"> <parentCategory ref="WorkspacesExtension" /> <supportedOn ref="SUPPORTED_ProductOnly" /> <enabledValue> <decimal value="1" /> </enabledValue> <disabledValue> <decimal value="0" /> </disabledValue> </policy> </policies> </policyDefinitions>