本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
在你開始使用活動目錄 AppStream 2.0
在您搭配 AppStream 2.0 使用 Microsoft 使用中目錄網域之前,請注意下列需求和考量事項。
Active Directory 網域環境
-
您需要串流執行個體加入目標的 Microsoft Active Directory 網域。如果您沒有 Active Directory 網域,或想要使用您的內部部署 Active Directory 環境,請參閱AWS 合作夥伴解決方案部署指南上的 Active Directory 網域服務
。 -
您必須擁有具有權限的網域服務帳戶,才能在您打算與 AppStream 2.0 搭配使用的網域中建立及管理電腦物件。如需資訊,請參閱 Microsoft 文件中的 How to Create a Domain Account in Active Directory
。 當您將這個 Active Directory 網域與 AppStream 2.0 產生關聯時,請提供服務帳戶名稱和密碼。 AppStream 2.0 使用此帳戶來建立和管理目錄中的電腦物件。如需詳細資訊,請參閱授予許可來建立及管理 Active Directory 電腦物件。
-
當您使用 AppStream 2.0 註冊您的作用中目錄網域時,您必須提供組織單位 (OU) 辨別名稱。請為此建立 OU。預設的 [電腦] 容器不是 OU,且無法由 AppStream 2.0 使用。如需詳細資訊,請參閱尋找組織單位辨別名稱。
-
您打算搭配 AppStream 2.0 使用的目錄必須可透過其完整網域名稱 (FQDNs) 透過啟動串流執行個體的虛擬私有雲 (VPC) 存取。如需詳細資訊,請參閱 Microsoft 文件中的 Active Directory and Active Directory Domain Services Port Requirements
。
加入網域的 AppStream 2.0 串流執行個體
SAML從加入網域的永遠開啟和隨選叢集進行應用程式串流時,需要以 2.0 為基礎的使用者同盟。您無法使用CreateStreamingURL或 AppStream 2.0 使用者集區來啟動加入網域執行個體的工作階段。
此外,您必須使用支援將映像建置器和機群加入 Active Directory 網域的映像。所有在 2017 年 7 月 24 日及其之後發佈的公有映像都支援加入 Active Directory 網域。如需詳細資訊,請參閱 AppStream 2.0 基本映像和受管理映像更新版本說明 和 教學:設定 Active Directory。
注意
您只能將 Windows Always-On 和 On-Demand 機群串流執行個體加入 Active Directory 網域。
群組政策設定
請確認下列群組原則設定的組態。如果需要,請按照本節中所述更新設置,以便它們不會阻止 AppStream 2.0 驗證和登錄您的域用戶。否則,當您的使用者嘗試登入 AppStream 2.0 時,登入可能無法成功。而是會顯示訊息,通知使用者「發生未知的錯誤。」
-
電腦組態 > 管理範本 > Windows 元件 > Windows 登入選項 > 停用或啟用軟體 Secure Attention Sequence:針對服務將此項設為啟用。
-
電腦組態 > 系統管理範本 > 系統 > 登入 > 排除認證提供者-確定未列出下CLSID列項目:
e7c1bab5-4b49-4e64-a966-8d99686f8c7c -
電腦組態 > 政策 > Windows 設定 > 安全設定 > 本機政策 > 安全選項 > 互動式登入 > 互動式登入:給嘗試登入的使用者的訊息文字:將此項設為未定義。
-
電腦組態 > 政策 > Windows 設定 > 安全設定 > 本機政策 > 安全選項 > 互動式登入 > 互動式登入:給嘗試登入的使用者的訊息標題:將此項設為未定義。
智慧卡身分驗證
AppStream 2.0 支援使用 Active Directory 網域密碼或智慧卡,例如 Windows 登入 AppStream 2.0 串流執行個體的通用存取卡 (CACPIV)
注意
AppStream 2.0 也支援在使用者登入串流執行個體後,使用智慧卡進行工作階段內驗證。此功能僅適用於已安裝 Windows 版本 1.1.257 或更新版本的 AppStream 2.0 用戶端的使用者支援。如需其他需求的相關資訊,請參閱 智慧卡。
