开始将 Active Directory 与 WorkSpaces Pools 结合使用之前的准备工作

WorkSpaces Pools 功能不在北京和宁夏区域提供。

在将 Microsoft Active Directory 域与 WorkSpaces Pools 结合使用之前，请注意以下要求和注意事项。

Active Directory 域环境

您必须具有一个 Microsoft Active Directory 域，以便将您的 WorkSpaces 加入其中。如果您没有 Active Directory 域或者想要使用本地 Active Directory 环境，请参阅在 Amazon Cloud 上部署 Active Directory 域服务：快速入门参考部署。
您必须具有一个域服务账户，该账户有权在您打算和 WorkSpaces Pools 结合使用的域中创建和管理计算机对象。有关信息，请参阅 Microsoft 文档中的《如何在 Active Directory 中创建域账户》。

将此 Active Directory 域与 WorkSpaces Pools 关联时，提供服务账户名称和密码。WorkSpaces Pools 将使用此账户在目录中创建和管理计算机对象。有关更多信息，请参阅授予创建和管理 Active Directory 计算机对象的权限。
向 WorkSpaces Pools 注册 Active Directory 域时，必须提供组织部门（OU）的可分辨名称。为此目的创建一个 OU。默认计算机容器不是 OU，不能供 WorkSpaces Pools 使用。有关更多信息，请参阅查找组织单位的可分辨名称。
对于计划与 WorkSpaces Pools 结合使用的目录，必须能够通过其完全限定域名（FQDN）经由在其中启动了 WorkSpaces 的虚拟私有云（VPC）进行访问。有关更多信息，请参阅 Microsoft 文档中的 Active Directory and Active Directory Domain Services Port Requirements。

从加入域的 WorkSpaces 流式传输应用程序需要基于 SAML 2.0 的用户联合身份验证。另外，必须使用支持加入 Active Directory 域的 Windows 映像。所有在 2017 年 7 月 24 日或之后发布的公有映像都支持加入 Active Directory 域。

验证以下组策略设置的配置。如果需要，请按照本节中所述更新这些设置，以便它们不会阻止 WorkSpaces Pools 对您的域用户进行身份验证和登录。否则，当您的用户尝试登录 WorkSpaces 时，可能无法成功登录。相反，会显示一条消息，通知用户“发生未知错误”。

计算机配置 > 管理模板 > Windows 组件 > Windows 登录选项 > 禁用或启用软件安全注意序列 – 对于服务，将此项设置为启用。
计算机配置 > 管理模板 > 系统 > 登录 > 排除凭据提供程序 – 确保以下 CLSID 未列出：e7c1bab5-4b49-4e64-a966-8d99686f8c7c
计算机配置 > 策略 > Windows 设置 > 安全设置 > 本地策略 > 安全选项 > 交互式登录 > 交互式登录: 尝试登录的用户的消息文本 – 将此项设置为未定义。
计算机配置 > 策略 > Windows 设置 > 安全设置 > 本地策略 > 安全选项 > 交互式登录 > 交互式登录: 尝试登录的用户的消息标题 – 将此项设置为未定义。

WorkSpaces Pools 支持使用 Active Directory 域密码或智能卡 [例如通用访问卡（CAC）和个人身份验证（PIV）智能卡]，通过 Windows 登录到 WorkSpaces Pools 中的 WorkSpaces。有关如何将 Active Directory 环境配置为使用第三方证书颁发机构（CA）启用智能卡登录的信息，请参阅 Microsoft 文档中的 Guidelines for enabling smart card logon with third-party certification authorities。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

Active Directory 域

基于证书的身份验证