本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
開始使用具有 WorkSpaces 集區的使用中目錄之前
在您使用具有 WorkSpaces 集區的 Microsoft 使用中目錄網域之前,請注意下列需求和考量事項。
Active Directory 網域環境
-
您必須有一個 Microsoft 活動目錄域,以加入您的 WorkSpaces. 如果您沒有使用中的目錄網域,或想要使用您的內部部署 Active Directory 環境,請參閱AWS 雲端上的使用中目錄網域服務:快速入門參考部署。
-
您必須擁有具有權限的網域服務帳戶,才能在您想要搭配 WorkSpaces 集區使用的網域中建立及管理電腦物件。如需資訊,請參閱 Microsoft 文件中的 How to Create a Domain Account in Active Directory
。 當您將這個 Active Directory 網域與 WorkSpaces 集區建立關聯時,請提供服務帳戶名稱和密碼。 WorkSpaces 集區使用此帳戶來建立和管理目錄中的電腦物件。如需詳細資訊,請參閱授予許可來建立及管理 Active Directory 電腦物件。
-
當您向 WorkSpaces 集區註冊 Active Directory 網域時,您必須提供組織單位 (OU) 辨別名稱。請為此建立 OU。預設的 [電腦] 容器不是 OU,且無法由 [集 WorkSpaces 區] 使用。如需詳細資訊,請參閱尋找組織單位辨別名稱。
-
您打算與 WorkSpaces 集區搭配使用的目錄必須可透過其完整網域名稱 (FQDNs) 透過啟動您 WorkSpaces 所在的虛擬私有雲端 (VPC) 存取。如需詳細資訊,請參閱 Microsoft 文件中的 Active Directory and Active Directory Domain Services Port Requirements
。
集區中已加入網域 WorkSpaces WorkSpaces
SAML從加入網域 WorkSpaces的應用程式串流時,需要以 2.0 為基礎的使用者同盟。此外,您必須使用支援加入作用中目錄網域的 Windows 映像檔。所有在 2017 年 7 月 24 日及其之後發佈的公有映像都支援加入 Active Directory 網域。
群組政策設定
請確認下列群組原則設定的組態。如果需要,請按照本節中所述更新設置,以便它們不會阻止 WorkSpaces 池對您的域用戶進行身份驗證和登錄。否則,當您的使用者嘗試登入時, WorkSpaces 可能無法成功登入。而是會顯示訊息,通知使用者「發生未知的錯誤。」
-
電腦組態 > 管理範本 > Windows 元件 > Windows 登入選項 > 停用或啟用軟體 Secure Attention Sequence:針對服務將此項設為啟用。
-
電腦組態 > 系統管理範本 > 系統 > 登入 > 排除認證提供者-確定未列出下CLSID列項目:
e7c1bab5-4b49-4e64-a966-8d99686f8c7c -
電腦組態 > 政策 > Windows 設定 > 安全設定 > 本機政策 > 安全選項 > 互動式登入 > 互動式登入:給嘗試登入的使用者的訊息文字:將此項設為未定義。
-
電腦組態 > 政策 > Windows 設定 > 安全設定 > 本機政策 > 安全選項 > 互動式登入 > 互動式登入:給嘗試登入的使用者的訊息標題:將此項設為未定義。
智慧卡身分驗證
WorkSpaces 集區支援使用 Active Directory 網域密碼或智慧卡,例如 Windows 登入 WorkSpaces 集區的通用存取卡 (CACPIV)
