本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 开始使用带 WorkSpaces 池的 Active Directory
<a name="active-directory-prerequisites"></a>

**重要**  
“ WorkSpaces 池” 功能不适用于北京和宁夏区域。

在将 Microsoft Active Directory 域与 WorkSpaces 池一起使用之前，请注意以下要求和注意事项。

**Topics**
+ [Active Directory 域环境](#active-directory-prerequisites-domain-environment)
+ [域名已加入资源池 WorkSpaces WorkSpaces](#active-directory-prerequisites-streaming-instances)
+ [组策略设置](#active-directory-prerequisites-group-policy-settings)
+ [智能卡身份验证](#active-directory-prerequisites-smart-card-authentication)

## Active Directory 域环境
<a name="active-directory-prerequisites-domain-environment"></a>
+ 你必须有一个 Microsoft Active Directory 域才能加入你的 WorkSpaces。如果您没有 Active Directory 域或者想要使用本地 Active Directory 环境，请参阅[Amazon 云端的 Active Directory 域服务：快速入门参考部署](https://docs.amazonaws.cn/quickstart/latest/active-directory-ds/)。
+ 您必须拥有一个域服务帐户，该帐户有权在要与 WorkSpaces 池一起使用的域中创建和管理计算机对象。有关信息，请参阅 Microsoft 文档中的[《如何在 Active Directory 中创建域账户》](https://msdn.microsoft.com/en-us/library/aa545262(v=cs.70).aspx)。

  将此 Active Directory 域与 WorkSpaces 池关联时，请提供服务帐户名和密码。 WorkSpaces 池使用此帐户来创建和管理目录中的计算机对象。有关更多信息，请参阅 [授予创建和管理 Active Directory 计算机对象的权限](active-directory-admin.md#active-directory-permissions)。
+ 在 WorkSpaces 池中注册 Active Directory 域时，必须提供组织单位 (OU) 的可分辨名称。为此目的创建一个 OU。默认 “计算机” 容器不是 OU，不能由 WorkSpaces 池使用。有关更多信息，请参阅 [查找组织单位的可分辨名称](active-directory-admin.md#active-directory-oudn)。
+ 您计划用于 WorkSpaces 池的目录必须能够通过其完全限定的域名 (FQDNs) 通过启动池的虚拟私 WorkSpaces 有云 (VPC) 进行访问。有关更多信息，请参阅 Microsoft 文档中的 [Active Directory and Active Directory Domain Services Port Requirements](https://technet.microsoft.com/en-us/library/dd772723.aspx)。

## 域名已加入资源池 WorkSpaces WorkSpaces
<a name="active-directory-prerequisites-streaming-instances"></a>

从加入域的应用程序流式传输需要基于 SAML 2.0 的用户联合。 WorkSpaces另外，必须使用支持加入 Active Directory 域的 Windows 映像。所有在 2017 年 7 月 24 日或之后发布的公有映像都支持加入 Active Directory 域。

## 组策略设置
<a name="active-directory-prerequisites-group-policy-settings"></a>

验证以下组策略设置的配置。如有必要，请按照本节所述更新设置，这样它们就不会阻止 P WorkSpaces ools 对您的域用户进行身份验证和登录。否则，当您的用户尝试登录时 WorkSpaces ，登录可能无法成功。相反，会显示一条消息，通知用户“发生未知错误”。
+ **计算机配置 > 管理模板 > Windows 组件 > Windows 登录选项 > 禁用或启用软件安全注意序列** – 对于**服务**，将此项设置为**启用**。
+ **计算机配置 > 管理模板 > 系统 > 登录 > 排除凭据提供程序** – 确保以下 CLSID *未*列出：`e7c1bab5-4b49-4e64-a966-8d99686f8c7c`
+ **计算机配置 > 策略 > Windows 设置 > 安全设置 > 本地策略 > 安全选项 > 交互式登录 > 交互式登录: 尝试登录的用户的消息文本** – 将此项设置为**未定义**。
+ **计算机配置 > 策略 > Windows 设置 > 安全设置 > 本地策略 > 安全选项 > 交互式登录 > 交互式登录: 尝试登录的用户的消息标题** – 将此项设置为**未定义**。

## 智能卡身份验证
<a name="active-directory-prerequisites-smart-card-authentication"></a>

WorkSpaces 池支持使用 Active Directory 域密码或智能[卡，例如适用于 Windows 登录池的通用访问卡 (CAC)](https://www.cac.mil/Common-Access-Card) [和个人身份验证 (PIV)](https://piv.idmanagement.gov/) 智能卡。 WorkSpaces WorkSpaces 有关如何将 Active Directory 环境配置为使用第三方证书颁发机构启用智能卡登录的信息（CAs），请参阅 Microsoft 文档中[关于启用使用第三方证书颁发机构进行智能卡登录的指南](https://docs.microsoft.com/en-us/troubleshoot/windows-server/windows-security/enabling-smart-card-logon-third-party-certification-authorities)。