开始使用带 WorkSpaces 池的 Active Directory

“ WorkSpaces 池” 功能不适用于北京和宁夏区域。

在将 Microsoft Active Directory 域与 WorkSpaces 池一起使用之前，请注意以下要求和注意事项。

Active Directory 域环境

你必须有一个 Microsoft Active Directory 域才能加入你的 WorkSpaces。如果您没有 Active Directory 域或者想要使用本地 Active Directory 环境，请参阅Amazon 云端的 Active Directory 域服务：快速入门参考部署。
您必须拥有一个域服务帐户，该帐户有权在要与 WorkSpaces 池一起使用的域中创建和管理计算机对象。有关信息，请参阅 Microsoft 文档中的《如何在 Active Directory 中创建域账户》。

将此 Active Directory 域与 WorkSpaces 池关联时，请提供服务帐户名和密码。 WorkSpaces 池使用此帐户来创建和管理目录中的计算机对象。有关更多信息，请参阅授予创建和管理 Active Directory 计算机对象的权限。
在 WorkSpaces 池中注册 Active Directory 域时，必须提供组织单位 (OU) 的可分辨名称。为此目的创建一个 OU。默认 “计算机” 容器不是 OU，不能由 WorkSpaces 池使用。有关更多信息，请参阅查找组织单位的可分辨名称。
您计划用于 WorkSpaces 池的目录必须能够通过其完全限定的域名 (FQDNs) 通过启动池的虚拟私 WorkSpaces 有云 (VPC) 进行访问。有关更多信息，请参阅 Microsoft 文档中的 Active Directory and Active Directory Domain Services Port Requirements。

从加入域的应用程序流式传输需要基于 SAML 2.0 的用户联合。 WorkSpaces另外，必须使用支持加入 Active Directory 域的 Windows 映像。所有在 2017 年 7 月 24 日或之后发布的公有映像都支持加入 Active Directory 域。

验证以下组策略设置的配置。如有必要，请按照本节所述更新设置，这样它们就不会阻止 P WorkSpaces ools 对您的域用户进行身份验证和登录。否则，当您的用户尝试登录时 WorkSpaces ，登录可能无法成功。相反，会显示一条消息，通知用户“发生未知错误”。

计算机配置 > 管理模板 > Windows 组件 > Windows 登录选项 > 禁用或启用软件安全注意序列 – 对于服务，将此项设置为启用。
计算机配置 > 管理模板 > 系统 > 登录 > 排除凭据提供程序 – 确保以下 CLSID 未列出：e7c1bab5-4b49-4e64-a966-8d99686f8c7c
计算机配置 > 策略 > Windows 设置 > 安全设置 > 本地策略 > 安全选项 > 交互式登录 > 交互式登录: 尝试登录的用户的消息文本 – 将此项设置为未定义。
计算机配置 > 策略 > Windows 设置 > 安全设置 > 本地策略 > 安全选项 > 交互式登录 > 交互式登录: 尝试登录的用户的消息标题 – 将此项设置为未定义。

WorkSpaces 池支持使用 Active Directory 域密码或智能卡，例如适用于 Windows 登录池的通用访问卡 (CAC) 和个人身份验证 (PIV) 智能卡。 WorkSpaces WorkSpaces 有关如何将 Active Directory 环境配置为使用第三方证书颁发机构启用智能卡登录的信息（CAs），请参阅 Microsoft 文档中关于启用使用第三方证书颁发机构进行智能卡登录的指南。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

Active Directory 域

基于证书的身份验证