管理您的 Windows WorkSpaces - Amazon WorkSpaces
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

管理您的 Windows WorkSpaces

您可以使用组策略对象 (GPO) 应用设置来管理 Windows WorkSpaces 或属于 Windows WorkSpaces 目录的用户。

注意

Linux 实例不遵循组策略。有关管理 Amazon Linux WorkSpaces 的信息,请参阅管理您的 Amazon Linux WorkSpaces

我们建议您为 WorkSpaces 计算机对象创建组织单位,为 WorkSpaces 用户对象创建组织单位。

要使用特定于 Amazon WorkSpaces 的组策略设置,您必须安装您正在使用的协议(PCoIP 或 WorkSpaces Streaming Protocol (WSP))的组策略管理模板。

警告

组策略设置可以影响 WorkSpace 用户的体验,如下所示:

  • 实施交互式登录消息以显示登录横幅将阻止用户访问其 WorkSpaces。 目前不支持交互式登录消息的组策略设置。Amazon WorkSpaces

  • 通过组策略设置禁用可移动存储会导致登录失败,从而导致用户登录到无权访问驱动器 D 的临时用户配置文件。

  • 通过组策略设置从远程桌面用户本地组中删除用户会导致这些用户无法通过 客户端应用程序进行身份验证WorkSpaces。有关此组策略设置的更多信息,请参阅 Microsoft 文档中的允许通过远程桌面服务进行登录

  • 组策略设置可用于限制驱动器访问。如果将组策略设置配置为限制对驱动器 C 或驱动器 D 的访问,则用户无法访问其 WorkSpaces。 要防止此问题发生,请确保您的用户可以访问驱动器 C 和驱动器 D。

  • 音频输入功能要求在 WorkSpaces 中进行本地登录访问。WorkSpace 默认情况下,为 Windows WorkSpaces 启用音频输入功能。 但是,如果您有限制用户在其 WorkSpaces 中的本地登录的组策略设置,则音频输入不适用于您的 WorkSpaces。 如果删除该组策略设置,则在下次重启 WorkSpace 后将启用音频输入功能。 有关此组策略设置的更多信息,请参阅 Microsoft 文档中的允许本地登录

    有关启用或禁用重定向音频的更多信息,请参阅为 PCoIP 启用或禁用音频输入重定向为 WSP 启用或禁用音频输入重定向

  • 某些组策略设置会在用户从会话断开连接时迫使其注销。用户在其 WorkSpaces 上打开的任何应用程序都将关闭。

有关使用 Active Directory 管理工具处理 GPOs 的信息,请参阅为 Amazon WorkSpaces 设置 Active Directory 管理工具

为 PCoIP 安装组策略管理模板

要在使用 Amazon WorkSpaces 协议时使用特定于 PCoIP 的组策略设置,必须为 PCoIP 安装组策略管理模板。 在目录管理 WorkSpace 或加入您的目录的 Amazon EC2 实例上执行以下步骤。

为 PCoIP 安装组策略管理模板

  1. 在运行的 Windows WorkSpace 中,复制 pcoip.adm 目录中的 C:\Program Files (x86)\Teradici\PCoIP Agent\configuration 文件。

  2. 在目录管理 WorkSpace 或 Amazon EC2 实例(已加入您的 WorkSpaces 目录)上,打开组策略管理工具 (gpmc.msc) 并导航到域中包含您的 WorkSpaces 计算机账户的组织单位。

  3. 打开计算机账户组织单位对应的上下文 (右键单击) 菜单,然后选择在这个域中创建 GPO 并在此处链接...

  4. New GPO (新建 GPO) 对话框中,输入 GPO 的描述性名称,例如 WorkSpacesMachine Policies (Machine 计算机策略),然后将 Source Starter GPO (源 Starter GPO) 设置为 (无)。选择确定

  5. 打开新 GPO 的上下文(右键单击)菜单,然后选择 Edit (编辑)

  6. 在组策略管理编辑器中,依次选择计算机配置策略管理模板。从主菜单中依次选择操作添加/删除模板

  7. 添加/删除模板对话框中,单击添加,选择之前复制的 pcoip.adm 文件,然后依次选择打开关闭

  8. 关闭组策略管理编辑器。现在,您可以使用该 GPO 来修改特定于 Amazon WorkSpaces 的组策略设置。

为 PCoIP 配置打印机支持

默认情况下,Amazon WorkSpaces 启用基本远程打印,它提供有限的打印功能,因为它在主机端使用通用打印机驱动程序以确保兼容打印。

Windows 客户端的高级远程打印让您可以使用打印机的特定功能(如双面打印),但需要在主机端安装匹配的打印机驱动程序。

远程打印实施为虚拟通道。如果虚拟通道被禁用,远程打印无法正常工作。

对于 Windows WorkSpaces,您可以根据需要使用组策略设置来配置打印机支持。

配置打印机支持

  1. 确保域中安装了 Amazon WorkSpaces 的最新 PCoIP 组策略管理模板。

  2. 在目录管理 WorkSpace 或 Amazon EC2 实例(已加入您的 WorkSpaces 目录)上,打开组策略管理工具 (gpmc.msc),然后导航到 WorkSpaces 计算机账户的 WorkSpaces GPO 并选择它。在主菜单中依次选择操作编辑

  3. 在组策略管理编辑器中,依次选择 Computer ConfigurationPoliciesAdministrative TemplatesClassic Administrative TemplatesPCoIP Session VariablesOverridable Administrator Defaults

  4. 打开配置远程打印设置。

  5. Configure remote printing (配置远程打印) 对话框中,执行下列操作之一:

    • 要启用高级远程打印,请选择已启用,然后在选项Configure remote printing (配置远程打印) 下,选择 Basic and Advanced printing for Windows clients (适用于 Windows 客户端的基本和高级打印)。要自动使用客户端计算机的当前默认打印机,选择 Automatically set default printer (自动设置默认打印机)

    • 要禁用打印,请选择 Enabled (已启用),然后在 Options (选项)Configure remote printing (配置远程打印) 下选择 Printing disabled (已禁用打印)

  6. 选择确定

  7. 组策略设置的更改将在 WorkSpace 的下一次组策略更新后和 WorkSpace 会话重新启动后生效。要应用组策略更改,请执行下列操作之一:

    • 重启 WorkSpace(在 Amazon WorkSpaces 控制台中,选择 WorkSpace,然后选择 Actions (操作)Reboot WorkSpaces (重启))。

    • 从管理命令提示符下,输入 gpupdate /force

默认情况下,本地打印机自动重定向被禁用。您可以使用组策略设置启用此功能,以便每次连接到 WorkSpace 时都会将本地打印机设置为默认打印机。

注意

本地打印机重定向不适用于Amazon Linux WorkSpaces。

启用本地打印机自动重定向

  1. 确保域中安装了 Amazon WorkSpaces 的最新 PCoIP 组策略管理模板。

  2. 在目录管理 WorkSpace 或 Amazon EC2 实例(已加入您的 WorkSpaces 目录)上,打开组策略管理工具 (gpmc.msc),然后导航到 WorkSpaces 计算机账户的 WorkSpaces GPO 并选择它。在主菜单中依次选择操作编辑

  3. 在组策略管理编辑器中,依次选择 Computer ConfigurationPoliciesAdministrative TemplatesClassic Administrative TemplatesPCoIP Session VariablesOverridable Administrator Defaults

  4. 打开配置远程打印设置。

  5. 选择 Enabled (已启用),然后在 Options (选项)Configure remote printing (配置远程打印) 下,选择以下选项之一:

    • 适用于 Windows 客户端的基本和高级打印

    • 基本打印

  6. 选择 Automatically set default printer (自动设置默认打印机),然后选择 OK (确定)

  7. 组策略设置的更改会在 WorkSpace 的下一次组策略更新后和 WorkSpace 会话重新启动后生效。要应用组策略更改,请执行下列操作之一:

    • 重启 WorkSpace(在 Amazon WorkSpaces 控制台中,选择 WorkSpace,然后选择 Actions (操作)Reboot WorkSpaces (重启))。

    • 从管理命令提示符下,输入 gpupdate /force

为 PCoIP 启用或禁用剪贴板重定向

默认情况下,Amazon WorkSpaces 支持剪贴板重定向。如果 Windows WorkSpaces 需要,您可以使用组策略设置禁用此功能。

要启用或禁用剪贴板重定向

  1. 确保域中安装了 Amazon WorkSpaces 的最新 PCoIP 组策略管理模板。

  2. 在目录管理 WorkSpace 或 Amazon EC2 实例(已加入您的 WorkSpaces 目录)上,打开组策略管理工具 (gpmc.msc),然后导航到 WorkSpaces 计算机账户的 WorkSpaces GPO 并选择它。在主菜单中依次选择操作编辑

  3. 在组策略管理编辑器中,依次选择 Computer ConfigurationPoliciesAdministrative TemplatesClassic Administrative TemplatesPCoIPSession VariablesOverridable Administrator Defaults

  4. 打开 Configure clipboard redirection 设置。

  5. 配置剪贴板重定向对话框中,选择启用,然后选择以下设置之一以确定允许剪贴板重定向的方向。完成后,选择确定

    • 双向禁用

    • 仅从代理到客户端单向启用(WorkSpace 到本地计算机)

    • 仅从客户端到代理单向启用(本地计算机到 WorkSpace)

    • 双向启用

  6. 组策略设置更改将在 WorkSpace 的下一次组策略更新后和 WorkSpace 会话重新启动后生效。要应用组策略更改,请执行下列操作之一:

    • 重启 WorkSpace(在 Amazon WorkSpaces 控制台中,选择 WorkSpace,然后选择 Actions (操作)Reboot WorkSpaces (重启))。

    • 从管理命令提示符下,输入 gpupdate /force

已知限制

在 WorkSpace 上启用剪贴板重定向后,如果您从 Microsoft Office 应用程序复制大于 890 KB 的内容,应用程序可能会变慢或长达 5 秒无响应。

为 PCoIP 设置会话恢复超时

在使用 Amazon WorkSpaces 客户端应用程序时,网络连接中断会导致活动会话断开连接。这可能会因如下事件导致:合上笔记本电脑的盖子,或无线网连接丢失。如果网络连接在一定时间内恢复,适用于 Windows 和 Amazon WorkSpaces 的 macOS 客户端应用程序会自动重新连接会话。默认会话恢复超时为 20 分钟,但您可以修改由您的域的组策略设置控制的 WorkSpaces 的值。

要设置自动会话恢复超时值

  1. 确保域中安装了 Amazon WorkSpaces 的最新 PCoIP 组策略管理模板。

  2. 在目录管理 WorkSpace 或 Amazon EC2 实例(已加入您的 WorkSpaces 目录)上,打开组策略管理工具 (gpmc.msc),然后导航到 WorkSpaces 计算机账户的 WorkSpaces GPO 并选择它。在主菜单中依次选择操作编辑

  3. 在组策略管理编辑器中,依次选择计算机配置策略管理模板经典管理模板PCoIP会话变量

    要允许用户覆盖您的设置,请选择 Overridable Administrator Defaults (可覆盖的管理员默认值);否则,请选择 Not Overridable Administrator Defaults (不可覆盖的管理员默认值)

  4. 打开 Configure Session Automatic Reconnection Policy 设置。

  5. Configure Session Automatic Reconnection Policy 对话框中,选择 Enabled,将 Configure Session Automatic Reconnection Policy 选项设置为所需的超时 (以分钟为单位),然后选择 OK

  6. 组策略设置更改将在 WorkSpace 的下一次组策略更新后和 WorkSpace 会话重新启动后生效。要应用组策略更改,请执行下列操作之一:

    • 重启 WorkSpace(在 Amazon WorkSpaces 控制台中,选择 WorkSpace,然后选择 Actions (操作)Reboot WorkSpaces (重启))。

    • 从管理命令提示符下,输入 gpupdate /force

为 PCoIP 启用或禁用音频输入重定向

默认情况下,Amazon WorkSpaces 支持从本地麦克风重定向数据。如果 Windows WorkSpaces 需要,您可以使用组策略设置禁用此功能。

注意

如果您有一个组策略设置,该设置限制用户在其 WorkSpaces 中的本地登录,则音频输入将不适用于您的 WorkSpaces。 如果删除该组策略设置,则将在下次重启 WorkSpace 后启用音频输入功能。 有关此组策略设置的更多信息,请参阅 Microsoft 文档中的允许本地登录

启用或禁用音频输入重定向

  1. 在目录管理 WorkSpace 或加入您的 Amazon EC2 目录的 WorkSpaces 实例上,打开组策略管理工具 (gpmc.msc),然后导航到用于 WorkSpaces 的目录的域或域控制器级别的 GPO 并选择它。 (如果您的域中安装了 Amazon WorkSpaces 组策略管理模板,则可以对 WorkSpaces 计算机账户使用 WorkSpaces GPO。)

  2. 在主菜单中依次选择操作编辑

  3. 在组策略管理编辑器中,依次选择 Computer ConfigurationPoliciesAdministrative TemplatesClassic Administrative TemplatesPCoIP Session VariablesOverridable Administrator Defaults

  4. 会话中打开 PCoIPEnable/disable audio (启用/禁用音频) 设置。

  5. Enable/disable audio in the PCoIP session (在 AWS 会话中启用/禁用音频) 对话框中,选择 Enabled (已启用)Disabled (已禁用)

  6. 选择确定

  7. 组策略设置的更改会在 WorkSpace 的下一次组策略更新后和 WorkSpace 会话重新启动后生效。要应用组策略更改,请执行下列操作之一:

    • 重启 WorkSpace(在 Amazon WorkSpaces 控制台中,选择 WorkSpace,然后选择 Actions (操作)Reboot WorkSpaces (重启重启))。

    • 从管理命令提示符下,输入 gpupdate /force

禁用 PCoIP 的时区重定向

默认情况下,Workspace 内的时间设置为镜像用于连接到 WorkSpace 的客户端的时区。 此行为是通过时区重定向控制的。您可能需要关闭时区定向的原因有多种:

  • 您的公司希望所有员工在特定时区中工作(即使某些员工在其他时区)。

  • 您在 WorkSpace 中计划的任务要在特定时区的特定时间运行。

  • 频繁行驶的用户希望将其 WorkSpaces 保持在一个时区中以保持一致性和个人偏好。

如果 Windows WorkSpaces 需要,您可以使用组策略设置禁用此功能。

禁用时区重定向

  1. 在目录管理(已加入您的 WorkSpace 目录)或 Amazon EC2 实例上,打开组策略管理工具 (WorkSpaces),然后导航到用于 gpmc.msc 的目录的域或域控制器级别的 GPO 并选择它。WorkSpaces (如果您的域中安装了 Amazon WorkSpaces 组策略管理模板,则可以对 WorkSpaces 计算机账户使用 WorkSpaces GPO。)

  2. 在主菜单中依次选择操作编辑

  3. 在组策略管理编辑器中,依次选择计算机配置策略管理模板Windows 组件远程桌面服务远程桌面会话主机以及设备和资源重定向

  4. 打开 Allow time zone redirection (允许时区重定向) 设置。

  5. zone redirection (允许时区重定向) 对话框中,选择禁用, 然后选择确定

  6. 组策略设置的更改会在 WorkSpace 的下一次组策略更新后和 WorkSpace 会话重新启动后生效。要应用组策略更改,请执行下列操作之一:

    • 重启 WorkSpace(在 Amazon WorkSpaces 控制台中,选择 WorkSpace,然后选择 Actions (操作)Reboot WorkSpaces (重启))。

    • 从管理命令提示符下,输入 gpupdate /force

  7. 将 WorkSpaces 的时区设置为所需的时区。

的时区现在是静态的,不再镜像客户端计算机的时区。WorkSpaces

为 WorkSpaces Streaming Protocol (WSP) 安装组策略管理模板文件

要在使用 Amazon WorkSpaces 时使用特定于 WorkSpaces Streaming Protocol (WSP) 的组策略设置,您必须将 wsp.admx 的组策略管理模板 wsp.adml 和 WSP 文件添加到 WorkSpaces 目录的域控制器的中央存储中。有关 .admx.adml 文件的更多信息,请参阅如何在 Windows 中创建和管理组策略管理模板的中央存储

以下过程介绍如何创建 Central Store 并向其中添加管理模板文件。在加入到 WorkSpace 目录的目录管理 Amazon EC2 或 WorkSpaces 实例上执行以下步骤。

安装 WSP 的组策略管理模板文件

  1. 在运行的 Windows WorkSpace 中,复制 wsp.admx 目录中的 wsp.admlC:\Program Files\Amazon\WSP 文件。

  2. 在加入到 WorkSpace 目录的目录管理 Amazon EC2 或 WorkSpaces 实例上,导航到域的共享网络文件夹。此文件夹将拥有您组织的完全限定域名 (FQDN),例如 \\example.com。 在 Windows 文件资源管理器中,转到 Network (网络) > FQDN.

  3. 打开 SYSVOL 文件夹。

  4. 打开具有 FQDN 名称的文件夹。

  5. 打开 Policies 文件夹。您现在应该位于 \\FQDN\SYSVOL\FQDN\Policies 中。

  6. 如果它不存在,请创建一个名为 PolicyDefinitions 的文件夹。

  7. 打开 PolicyDefinitions 文件夹。

  8. wsp.admx 文件复制到 \\FQDN\SYSVOL\FQDN\Policies\PolicyDefinitions 文件夹中。

  9. en-US 文件夹中创建一个名为 PolicyDefinitions 的文件夹。

  10. 打开 en-US 文件夹。

  11. wsp.adml 文件复制到 \\FQDN\SYSVOL\FQDN\Policies\PolicyDefinitions\en-US 文件夹中。

验证是否已正确安装管理模板文件

  1. 在目录管理(加入 WorkSpace 目录的 Amazon EC2 或 WorkSpaces 实例)上,打开组策略管理工具 (gpmc.msc)。

  2. 展开林 (Forest:FQDN).

  3. 展开 Domains (域)

  4. 展开 FQDN(例如,example.com)。

  5. 展开 Group Policy Objects

  6. 选择 Default Domain Policy (默认域策略),打开上下文(右键单击)菜单,然后选择 Edit (编辑)

  7. 在组策略管理编辑器中,依次选择计算机配置策略管理模板AmazonWSP

  8. 现在,您可以使用此 WSP 组策略对象修改使用 Amazon WorkSpaces 时特定于 WSP 的组策略设置。

为 WSP 配置打印机支持

默认情况下,Amazon WorkSpaces 启用基本远程打印,它提供有限的打印功能,因为它在主机端使用通用打印机驱动程序以确保兼容打印。

Windows 客户端的高级远程打印(不适用于 WSP)可让您使用打印机的特定功能(如双面打印),但需要在主机端安装匹配的打印机驱动程序。

远程打印实施为虚拟通道。如果虚拟通道被禁用,远程打印无法正常工作。

对于 Windows WorkSpaces,您可以根据需要使用组策略设置来配置打印机支持。

配置打印机支持

  1. 确保 Amazon WorkSpaces 的最新 WSP 组策略管理模板安装在您的 目录的域控制器的中央存储中。WorkSpaces

  2. 在目录管理 WorkSpace 或加入您的 Amazon EC2 目录的 WorkSpaces 实例上,打开组策略管理工具 (gpmc.msc)。

  3. 展开林 (Forest:FQDN).

  4. 展开 Domains (域)

  5. 展开 FQDN(例如,example.com)。

  6. 展开 Group Policy Objects

  7. 选择 Default Domain Policy (默认域策略),打开上下文(右键单击)菜单,然后选择 Edit (编辑)

  8. 在组策略管理编辑器中,依次选择计算机配置策略管理模板AmazonWSP

  9. 打开配置远程打印设置。

  10. Configure remote printing (配置远程打印) 对话框中,执行下列操作之一:

    • 要启用本地打印机重定向,请选择 Enabled,然后对于 Printing options,选择 Basic。要自动使用客户端计算机的当前默认打印机,请选择 Map local default printer to the remote host (将本地默认打印机映射到远程主机)

    • 要禁用打印,请选择 Disabled

  11. 选择确定

  12. 组策略设置的更改将在 WorkSpace 的下一次组策略更新后和 WorkSpace 会话重新启动后生效。要应用组策略更改,请执行下列操作之一:

    • 重启 WorkSpace(在 Amazon WorkSpaces 控制台中,选择 WorkSpace,然后选择 Actions (操作)Reboot WorkSpaces (重启))。

    • 从管理命令提示符下,输入 gpupdate /force

为 WSP 启用或禁用剪贴板重定向

默认情况下,Amazon WorkSpaces 支持双向(复制/粘贴)剪贴板重定向。如果 Windows WorkSpaces 需要,您可以使用组策略设置禁用此功能。

为 Windows WorkSpaces 启用或禁用剪贴板重定向

  1. 确保 Amazon WorkSpaces 的最新 WSP 组策略管理模板安装在您的 目录的域控制器的中央存储中。WorkSpaces

  2. 在目录管理(加入 WorkSpace 目录的 Amazon EC2 或 WorkSpaces 实例)上,打开组策略管理工具 (gpmc.msc)。

  3. 展开林 (Forest:FQDN).

  4. 展开 Domains (域)

  5. 展开您的 FQDN(例如,example.com)。

  6. 展开 Group Policy Objects

  7. 选择 Default Domain Policy (默认域策略),打开上下文(右键单击)菜单,然后选择 Edit (编辑)

  8. 在组策略管理编辑器中,依次选择计算机配置策略管理模板AmazonWSP

  9. 打开 Enable/disable clipboard redirection (启用/禁用剪贴板重定向) 设置。

  10. Enable/disable clipboard redirection (启用/禁用剪贴板重定向) 对话框中,选择 Enabled (已启用)Disabled (已禁用)

  11. 选择确定

  12. 组策略设置的更改会在 WorkSpace 的下一次组策略更新后和 WorkSpace 会话重新启动后生效。要应用组策略更改,请执行下列操作之一:

    • 重启 WorkSpace(在 Amazon WorkSpaces 控制台中,选择 WorkSpace,然后选择 Actions (操作)Reboot WorkSpaces (重启))。

    • 从管理命令提示符下,输入 gpupdate /force

已知限制

在 WorkSpace 上启用剪贴板重定向后,如果您从 Microsoft Office 应用程序复制大于 890 KB 的内容,应用程序可能会变慢或长达 5 秒无响应。

为 WSP 启用或禁用视频重定向

默认情况下,Amazon WorkSpaces 支持从本地摄像机重定向数据。如果 Windows WorkSpaces 需要,您可以使用组策略设置禁用此功能。

为 Windows WorkSpaces 启用或禁用视频重定向

  1. 确保 Amazon WorkSpaces 的最新 WSP 组策略管理模板安装在您的 目录的域控制器的中央存储中。WorkSpaces

  2. 在目录管理 WorkSpace 或加入 Amazon EC2 目录的 WorkSpaces 实例上,打开组策略管理工具 (gpmc.msc)。

  3. 展开林 (Forest:FQDN).

  4. 展开 Domains (域)

  5. 展开 FQDN(例如,example.com)。

  6. 展开 Group Policy Objects

  7. 选择 Default Domain Policy (默认域策略),打开上下文(右键单击)菜单,然后选择 Edit (编辑)

  8. 在组策略管理编辑器中,依次选择计算机配置策略管理模板AmazonWSP

  9. 打开 Enable/disable video-in redirection (启用/禁用重定向中的视频) 设置。

  10. Enable/disable video-in redirection (启用/禁用视频重定向) 对话框中,选择 Enabled (已启用)Disabled (已禁用)

  11. 选择确定

  12. 组策略设置的更改会在 WorkSpace 的下一次组策略更新后和 WorkSpace 会话重新启动后生效。要应用组策略更改,请执行下列操作之一:

    • 重启 WorkSpace(在 Amazon WorkSpaces 控制台中,选择 WorkSpace,然后选择 Actions (操作)Reboot WorkSpaces (重启))。

    • 从管理命令提示符下,输入 gpupdate /force

为 WSP 启用或禁用音频输入重定向

默认情况下,Amazon WorkSpaces 支持从本地麦克风重定向数据。如果 Windows WorkSpaces 需要,您可以使用组策略设置禁用此功能。

为 Windows WorkSpaces 启用或禁用音频重定向

  1. 确保 Amazon WorkSpaces 的最新 WSP 组策略管理模板安装在您的 目录的域控制器的中央存储中。WorkSpaces

  2. 在目录管理 WorkSpace 或加入您的 Amazon EC2 目录的 WorkSpaces 实例上,打开组策略管理工具 (gpmc.msc)。

  3. 展开林 (Forest:FQDN).

  4. 展开 Domains (域)

  5. 展开 FQDN(例如,example.com)。

  6. 展开 Group Policy Objects

  7. 选择 Default Domain Policy (默认域策略),打开上下文(右键单击)菜单,然后选择 Edit (编辑)

  8. 在组策略管理编辑器中,依次选择计算机配置策略管理模板AmazonWSP

  9. 打开 Enable/disable audio-in redirection (启用/禁用重定向中的音频) 设置。

  10. Enable/disable audio-in redirection (启用/禁用重定向) 对话框中,选择 Enabled (已启用)Disabled (已禁用)

  11. 选择确定

  12. 组策略设置更改将在 WorkSpace 的下一次组策略更新后和 WorkSpace 会话重新启动后生效。要应用组策略更改,请执行下列操作之一:

    • 重启 WorkSpace(在 Amazon WorkSpaces 控制台中,选择 WorkSpace,然后选择 Actions (操作)Reboot WorkSpaces (重启))。

    • 从管理命令提示符下,输入 gpupdate /force

禁用 WSP 的时区重定向

默认情况下,Workspace 内的时间设置为镜像用于连接到 WorkSpace 的客户端的时区。 此行为是通过时区重定向控制的。您可能需要关闭时区定向的原因有多种:

  • 您的公司希望所有员工在特定时区中工作(即使某些员工在其他时区)。

  • 您在 WorkSpace 中计划的任务要在特定时区的特定时间运行。

  • 频繁访问的用户希望将其 WorkSpaces 保持在一个时区中以保持一致性和个人偏好。

如果 Windows WorkSpaces 需要,您可以使用组策略设置禁用此功能。

为 Windows WorkSpaces 禁用时区重定向

  1. 确保 Amazon WorkSpaces 的最新 WSP 组策略管理模板安装在您的 目录的域控制器的中央存储中。WorkSpaces

  2. 在目录管理 WorkSpace 或加入 Amazon EC2 目录的 WorkSpaces 实例上,打开组策略管理工具 (gpmc.msc)。

  3. 展开林 (Forest:FQDN).

  4. 展开 Domains (域)

  5. 展开 FQDN(例如,example.com)。

  6. 展开 Group Policy Objects

  7. 选择 Default Domain Policy (默认域策略),打开上下文(右键单击)菜单,然后选择 Edit (编辑)

  8. 在组策略管理编辑器中,依次选择计算机配置策略管理模板AmazonWSP

  9. 打开 Enable/disable time zone redirection (启用/禁用时区重定向) 设置。

  10. Enable/disable time zone redirection (启用/禁用时区重定向) 对话框中,选择 Disabled (禁用)

  11. 选择确定

  12. 组策略设置的更改会在 WorkSpace 的下一次组策略更新后和 WorkSpace 会话重新启动后生效。要应用组策略更改,请执行下列操作之一:

    • 重启 WorkSpace(在 Amazon WorkSpaces 控制台中,选择 WorkSpace,然后选择 Actions (操作)Reboot WorkSpaces (重启))。

    • 从管理命令提示符下,输入 gpupdate /force

  13. 将 WorkSpaces 的时区设置为所需的时区。

的时区现在是静态的,不再镜像客户端计算机的时区。WorkSpaces

为 WSP 启用或禁用智能卡重定向

默认情况下,Amazon WorkSpaces 配置为支持使用智能卡进行会话前身份验证会话中身份验证。会话前身份验证是指在用户登录其 WorkSpaces 时执行的智能卡身份验证。 会话中身份验证是指登录后执行的身份验证。

如果需要,您可以使用组策略设置禁用 Windows WorkSpaces 的会话中身份验证。您无法通过组策略禁用会话前身份验证,但您可以通过您的 AD Connector 目录设置使用 DisableClientAuthentication API 操作或 disable-client-authentication AWS 命令行界面 (AWS CLI) 命令执行此操作。有关更多信息,请参阅 AWS Directory Service Administration Guide 中的 AD Connector 对智能卡的支持

注意

要允许对 Windows WorkSpaces 使用智能卡,需要执行额外的步骤。有关更多信息,请参阅使用智能卡进行身份验证

为 Windows WorkSpaces 启用或禁用智能卡重定向

  1. 确保 Amazon WorkSpaces 的最新 WSP 组策略管理模板安装在您的 WorkSpaces 目录的域控制器的中央存储中。

  2. 在目录管理 WorkSpace 或加入您的 Amazon EC2 目录的 WorkSpaces 实例上,打开组策略管理工具 (gpmc.msc)。

  3. 展开林 (Forest:FQDN).

  4. 展开 Domains (域)

  5. 展开 FQDN(例如,example.com)。

  6. 展开 Group Policy Objects

  7. 选择 Default Domain Policy (默认域策略),打开上下文(右键单击)菜单,然后选择 Edit (编辑)

  8. 在组策略管理编辑器中,依次选择计算机配置策略管理模板AmazonWSP

  9. 打开 Enable/disable smart card redirection (启用/禁用智能卡重定向) 设置。

  10. Enable/disable smart card redirection (启用/禁用智能卡重定向) 对话框中,选择 Enabled (已启用)Disabled (已禁用)

  11. 选择确定

  12. 组策略设置的更改会在 WorkSpace 的下一次组策略更新后和 WorkSpace 会话重新启动后生效。要应用组策略更改,请执行下列操作之一:

    • 重启 WorkSpace(在 Amazon WorkSpaces 控制台中,选择 WorkSpace,然后选择 Actions (操作)Reboot WorkSpaces (重启))。

    • 从管理命令提示符下,输入 gpupdate /force

在 WSP 的屏幕锁定上启用或禁用断开连接会话

如果需要,您可以在检测到 Windows 锁定屏幕时断开用户的 WorkSpaces 会话。要从 WorkSpaces 客户端重新连接,用户可以使用其密码或智能卡对自身进行身份验证,具体取决于为其WorkSpaces启用了身份验证的类型。

此组策略设置默认处于禁用状态。如果需要,您可以在检测到 Windows WorkSpaces 的 Windows 锁定屏幕时使用组策略设置来启用断开连接。

注意
  • 此组策略设置目前仅在 AWS GovCloud(美国西部) 区域 中可用。

  • 此组策略设置适用于密码身份验证和智能卡身份验证会话。

  • 要允许对 Windows WorkSpaces 使用智能卡,需要执行其他步骤。有关更多信息,请参阅使用智能卡进行身份验证

在 Windows WorkSpaces 的屏幕锁定上启用或禁用断开连接会话

  1. 确保 Amazon WorkSpaces 的最新 WSP 组策略管理模板安装在您的 WorkSpaces 目录的域控制器的中央存储中。

  2. 在目录管理 WorkSpace 或加入您的 Amazon EC2 目录的 WorkSpaces 实例上,打开组策略管理工具 (gpmc.msc)。

  3. 展开林 (Forest:FQDN).

  4. 展开 Domains (域)

  5. 展开 FQDN(例如,example.com)。

  6. 展开 Group Policy Objects

  7. 选择 Default Domain Policy (默认域策略),打开上下文(右键单击)菜单,然后选择 Edit (编辑)

  8. 在组策略管理编辑器中,依次选择计算机配置策略管理模板AmazonWSP

  9. 打开 Enable/disable disconnect session on screen lock 设置。

  10. Enable/disable disconnect session on screen lock 对话框中,选择 EnabledDisabled

  11. 选择确定

  12. 组策略设置更改将在 WorkSpace 的下一次组策略更新后和 WorkSpace 会话重新启动后生效。要应用组策略更改,请执行下列操作之一:

    • 重启 WorkSpace(在 Amazon WorkSpaces 控制台中,选择 WorkSpace,然后选择 Actions (操作)Reboot WorkSpaces (重启 ))。

    • 从管理命令提示符下,输入 gpupdate /force

设置 Kerberos 票证的最长使用期限

如果您尚未禁用 Windows Remember Me (记住我)WorkSpaces 功能,则您的 WorkSpace 用户可以在其 客户端应用程序中使用 Remember Me (记住我)Keep me logged in (保持我登录)WorkSpaces 复选框来保存其凭证。此功能允许用户在客户端应用程序保持运行时轻松连接到其 WorkSpaces。他们的凭证安全地缓存到 Kerberos 票证中,时间可达其最长使用期限。

如果您的 WorkSpace 使用 AD Connector 目录,则可以通过组策略,按照 Microsoft Windows 文档中WorkSpaces用户票证的最长使用期限中的步骤修改 用户的 Kerberos 票证的最长使用期限。

要启用或禁用 Remember Me 功能,请参阅 为您的用户启用自助服务 WorkSpace 管理功能

配置用于 Internet 访问的设备代理服务器设置

默认情况下,WorkSpaces Windows 客户端应用程序使用在设备操作系统设置中为 HTTPS(端口 443)流量指定的代理服务器。Amazon WorkSpaces 客户端应用程序使用 HTTPS 端口进行更新、注册和身份验证。

注意
  • 与 WorkSpace 的桌面流式处理连接需要启用端口 4172 和 495,并且不经过代理服务器。

  • 不支持需要使用用户名和密码进行身份验证的代理服务器。

您可以按照 Microsoft 文档中的WorkSpaces配置设备代理和 Internet 连接设置中的步骤,通过组策略为您的 Windows 配置设备代理服务器设置。

有关在 WorkSpaces Windows 客户端应用程序中配置代理设置的更多信息,请参阅 中的 代理服务器。Amazon WorkSpaces 用户指南