管理你的 Windows WorkSpaces - 亚马逊 WorkSpaces
安装 PCoIP 的组策略管理模板安装 WSP 的组策略管理模板文件设置 Kerberos 票证的最大有效期配置用于访问互联网的设备代理服务器设置启用 Zoom 会议媒体插件支持
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

管理你的 Windows WorkSpaces

你可以使用组策略对象 (GPO) 应用设置来管理 Windows WorkSpaces 或属于你 Windows WorkSpaces 目录的用户。

注意

Linux 实例不遵循组策略。有关管理亚马逊 Linux 的信息 WorkSpaces,请参阅管理你的亚马逊 Linux WorkSpaces 管理你的 Ubuntu WorkSpaces

我们建议您为 WorkSpaces 计算机对象创建组织单位,为 WorkSpaces 用户对象创建组织单位。

要使用特定于 Amazon 的组策略设置 WorkSpaces,您必须为正在使用的一个或多个协议(PCoIP 或 WorkSpaces 流媒体协议 (WSP))安装组策略管理模板。

警告

组策略设置可能会影响您的 WorkSpace 用户体验,如下所示:

  • 实现交互式登录消息以显示登录标语会阻止用户访问他们的 WorkSpaces。 WorkSpaces 目前不支持交互式登录消息的组策略设置。

  • 通过组策略设置禁用可移动存储会导致登录失败,从而导致用户登录到无权访问驱动器 D 的临时用户配置文件。

  • 通过组策略设置将用户从远程桌面用户本地组中移除会使这些用户无法通过 WorkSpaces 客户端应用程序进行身份验证。有关此组策略设置的更多信息,请参阅 Microsoft 文档中的允许通过远程桌面服务登录

  • 如果您从 “允许本地登录” 安全策略中删除内置用户组,则您的 PCoIP WorkSpaces 用户将无法 WorkSpaces 通过 WorkSpaces 客户端应用程序连接到他们的用户组。您的 pCoIP WorkSpaces 也不会收到 PCoIP 代理软件的更新。PCoIP 代理更新可能包含安全补丁和其他补丁,或者它们可能为您启用新功能 WorkSpaces。有关使用此安全策略的更多信息,请参阅 Microsoft 文档中的 “允许本地登录”。

  • 组策略设置可用于限制驱动器访问。如果您将组策略设置配置为限制对驱动器 C 或驱动器 D 的访问,则用户无法访问他们 WorkSpaces的。要防止此问题发生,请确保您的用户可以访问驱动器 C 和驱动器 D。

  • WorkSpaces 音频输入功能需要在内部进行本地登录访问 WorkSpace。Windows 的音频输入功能在原定情况下处于启用状态 WorkSpaces。但是,如果您的组策略设置限制用户在其中的本地登录 WorkSpaces,则音频输入不适用于您的用户 WorkSpaces。如果您删除该组策略设置,则音频输入功能将在下次重新启动后启用 WorkSpace。有关组策略设置的更多信息,请参阅 Microsoft 文档中的允许本地登录

    有关启用或禁用音频输入重定向的更多信息,请参阅启用或禁用 PCoIP 的音频输入重定向启用或禁用 WSP 的音频输入重定向

  • 使用组策略将 Windows 电源计划设置为 “平衡” 或 “省电” 模式可能会 WorkSpaces 导致你在闲置时进入睡眠状态。我们强烈建议使用组策略将 Windows 电源计划设置为高性能。有关更多信息,请参阅我的 Windows 处于闲置状态时会 WorkSpace 进入睡眠状态

  • 某些组策略设置会在用户从会话断开连接时迫使其注销。用户在其上打开的所有应用程序 WorkSpaces 都将关闭。

  • WSP 目前不支持 “为活动但空闲的远程桌面服务会话设置时间限制” WorkSpaces。避免在 WSP 会话期间使用它,因为即使有活动且会话未处于空闲状态,它也会导致断开连接。

有关使用 Active Directory 管理工具处理 GPO 的信息,请参阅设置 Active Directory 管理工具 WorkSpaces

安装 PCoIP 的组策略管理模板

要在使用 PCoIP 协议 WorkSpaces 时使用特定于亚马逊的组策略设置,您必须添加适用于您使用的 PCoIP 代理版本(32 位或 64 位)的组策略管理模板 WorkSpaces。

注意

如果您混合 WorkSpaces 使用 32 位和 64 位代理,则可以使用 32 位代理的组策略管理模板,您的组策略设置将同时应用于 32 位和 64 位代理。当所有 WorkSpaces 人都使用 64 位代理时,可以切换到使用 64 位代理的管理模板。

确定您 WorkSpaces 有 32 位代理还是 64 位代理

  1. 登录到 WorkSpace,然后通过选择 “查看”、“发送 Ctrl + Alt + 删除” 或右键单击任务栏并选择 “任务管理器” 来打开任务管理器

  2. 在任务管理器中,转到详细信息选项卡,右键单击列标题,然后选择选择列

  3. “选择列” 对话框中,选择 “平台”,然后选择 “确定”

  4. 在 “详细信息” 选项卡上pcoip_agent.exe,查找,然后在 “平台” 列中检查其值,以确定 PCoIP 代理是 32 位还是 64 位。(您可能会看到 32 位和 64 位 WorkSpaces组件混合使用;这很正常。)

要使用与 32 位 PCoIP 代理一起使用 PCoIP 协议 WorkSpaces 时特定的组策略设置,必须安装 PCoIP 的组策略管理模板。在加入您的目录的目录管理 WorkSpace 或 Amazon EC2 实例上执行以下程序。

有关处理.adm 文件的更多信息,请参阅 Microsoft 文档中管理组策略管理模板 (.adm) 文件的建议

安装 PCoIP 的组策略管理模板

  1. 在正在运行的 Windows WorkSpace 中,在C:\Program Files (x86)\Teradici\PCoIP Agent\configuration目录中创建该pcoip.adm文件的副本。

  2. 在目录管理 WorkSpace 或加入您的 WorkSpaces 目录的 Amazon EC2 实例上,打开组策略管理工具 (gpmc.msc),然后导航到您的域中包含您的 WorkSpaces 计算机账户的组织单位。

  3. 打开计算机账户组织单位对应的上下文 (右键单击) 菜单,然后选择在这个域中创建 GPO 并在此处链接...

  4. 在 “新建 GPO” 对话框中,输入 GPO 的描述性名称,例如WorkSpaces 计算机策略,并将 S ource Starter GPO 设置为(无)。选择 OK(确定)

  5. 打开新 GPO 的上下文(右键单击)菜单,然后选择 Edit (编辑)

  6. 在组策略管理编辑器中,依次选择计算机配置策略管理模板。从主菜单中依次选择操作添加/删除模板

  7. 添加/删除模板对话框中,单击添加,选择之前复制的 pcoip.adm 文件,然后依次选择打开关闭

  8. 关闭组策略管理编辑器。现在,您可以使用该 GPO 来修改特定于 WorkSpaces 的组策略设置。

验证管理模板文件是否已正确安装

  1. 在目录管理 WorkSpace 或加入您的 WorkSpaces 目录的 Amazon EC2 实例上,打开组策略管理工具 (gpmc.msc),导航到并选择您的 WorkSpaces 计算机账户的 WorkSpaces GPO。在主菜单中依次选择操作编辑

  2. 在组策略管理编辑器中,依次选择 计算机配置策略管理模板经典管理模板PCoIP Session Variables

  3. 现在,您可以使用此 PCoIP 会话变量组策略对象来修改使用 PCoIP WorkSpaces 时特定于亚马逊的组策略设置。

    注意

    要允许用户改写您的设置,请选择 “可重写管理员设置”;否则,选择 “不可重写管理员设置”

要使用使用 PCoIP 协议 WorkSpaces 时特定的组策略设置,必须将 PCoIP 的组策略管理模板PCoIP.admxPCoIP.adml文件添加到您的 WorkSpaces目录的域控制器的中央存储区。有关.admx.adml文件的更多信息,请参阅如何在 Windows 中为组策略管理模板创建和管理 Central Store

以下过程介绍了如何创建中央存储库并将管理模板文件添加到其中。在加入您的 WorkSpaces 目录的目录管理 WorkSpace 或 Amazon EC2 实例上执行以下程序。

安装 PCoIP 的组策略管理模板文件

  1. 在正在运行的 Windows WorkSpace 中,复制C:\Program Files\Teradici\PCoIP Agent\configuration\policyDefinitions目录中的PCoIP.admxPCoIP.adml文件。该PCoIP.adml文件位于该目录的en-US子文件夹中。

  2. 在目录管理 WorkSpace 或加入您的 WorkSpaces 目录的 Amazon EC2 实例上,打开 Windows 文件资源管理器,然后在地址栏中输入您组织的完全合格域名 (FQDN),例如\\example.com

  3. 打开 sysvol 文件夹。

  4. 打开FQDN名为的文件夹。

  5. 打开 Policies 文件夹。你现在应该进去了\\FQDN\sysvol\FQDN\Policies

  6. 如果角色尚不存在,创建名为的文件夹PolicyDefinitions

  7. 打开 PolicyDefinitions 文件夹。

  8. PCoIP.admx文件复制到该\\FQDN\sysvol\FQDN\Policies\PolicyDefinitions文件夹中。

  9. 创建名为en-US的第一个PolicyDefinitions文件夹。

  10. 打开 en-US 文件夹。

  11. PCoIP.adml文件复制到该\\FQDN\sysvol\FQDN\Policies\PolicyDefinitions\en-US文件夹中。

验证管理模板文件是否已正确安装

  1. 在目录管理 WorkSpace 或加入您的 WorkSpaces 目录的 Amazon EC2 实例上,打开组策略管理工具 (gpmc.msc)。

  2. 扩展森林(森林:FQDN)。

  3. 扩展域名

  4. 扩展您的 FQDN(例如example.com)。

  5. 展开组策略对象

  6. 选择默认域策略,打开上下文(右键单击)菜单,然后选择编辑

    注意

    如果支持的域 WorkSpaces 是Amazon Managed Microsoft AD目录,则无法使用默认域策略创建 GPO。相反,您必须在具有委托权限的域容器下创建并链接 GPO。

    使用创建目录时Amazon Managed Microsoft AD,Amazon Directory Service会在域根目录下创建您的域名组织单位 (OU)。此 OU 的名称基于您在创建目录时键入的 NetBIOS 名称。如果您不指定 NetBIOS 名称,它将默认为您的目录 DNS 名称的第一个部分(例如,NetBIOS 名称为corp)。corp.example.com

    要创建 GPO,请选择 y ourdomainname OU(或该域名下的任何 OU),打开上下文(右键单击)菜单,然后选择在此域中创建 GPO,然后将其链接到此处,而不是选择默认域策略

    有关 y ourdomainname OU 的更多信息,请参阅《Amazon Directory Service管理指南》中的创建内容

  7. 在组策略管理编辑器中,选择计算机配置策略管理模板PCoIP 会话变量

  8. 现在,您可以使用此 PCoIP 会话变量组策略对象来修改使用 PCoIP WorkSpaces 时特定的组策略设置。

    注意

    要允许用户改写您的设置,请选择 “可重写管理员设置”;否则,选择 “不可重写管理员设置”

配置对 PCoIP 的打印机支持

默认情况下, WorkSpaces 启用基本远程打印,该打印功能有限,因为它在主机端使用通用打印机驱动程序来确保兼容打印。

Windows 客户端的高级远程打印让您可以使用打印机的特定功能(如双面打印),但需要在主机端安装匹配的打印机驱动程序。

远程打印实施为虚拟通道。如果虚拟通道被禁用,远程打印无法正常工作。

对于 Windows WorkSpaces,您可以根据需要使用组策略设置配置打印机支持。

配置打印机支持

  1. 确保您已安装最新的 PCoIP(32 位)WorkSpaces 组策略管理模板或 pCoIP(64 位)的最新WorkSpaces 组策略管理模板

  2. 在目录管理 WorkSpace 或加入您的 WorkSpaces 目录的 Amazon EC2 实例上,打开组策略管理工具 (gpmc.msc) 并导航到 pCoIP 会话变量

  3. 打开配置远程打印设置。

  4. Configure remote printing (配置远程打印) 对话框中,执行下列操作之一:

    • 要启用高级远程打印,请选择已启用,然后在选项Configure remote printing (配置远程打印) 下,选择 Basic and Advanced printing for Windows clients (适用于 Windows 客户端的基本和高级打印)。要自动使用客户端计算机的当前默认打印机,选择 Automatically set default printer (自动设置默认打印机)

    • 要禁用打印,请选择 Enabled (已启用),然后在 Options (选项)Configure remote printing (配置远程打印) 下选择 Printing disabled (已禁用打印)

  5. 选择 OK(确定)

  6. 组策略设置更改在的下一次组策略更新后 WorkSpace 以及会 WorkSpace 话重新启动后生效。要应用组策略更改,请执行下列操作之一:

    • 重启 WorkSpace (在亚马逊 WorkSpaces 控制台中,选择 WorkSpace,然后选择操作重启 WorkSpaces)。

    • 在管理命令提示符下,输入gpupdate /force

默认情况下,本地打印机自动重定向被禁用。您可以使用组策略设置启用此功能,以便每次连接到您的本地打印机时,都将本地打印机设置为默认打印机 WorkSpace。

注意

本地打印机重定向不适用于亚马逊 Linux WorkSpaces。

启用本地打印机自动重定向

  1. 确保您已安装最新的 PCoIP(32 位)WorkSpaces 组策略管理模板或 pCoIP(64 位)的最新WorkSpaces 组策略管理模板

  2. 在目录管理 WorkSpace 或加入您的 WorkSpaces 目录的 Amazon EC2 实例上,打开组策略管理工具 (gpmc.msc) 并导航到 pCoIP 会话变量

  3. 打开配置远程打印设置。

  4. 选择 “启用”,然后在 “选项” 的 “配置远程打印” 下,选择以下选项之一:

    • 适用于 Windows 客户端的基本和高级打印

    • 基础打印

  5. 选择 “自动设置默认打印机”,然后选择 “确定”

  6. 组策略设置更改在的下一次组策略更新后 WorkSpace 以及会 WorkSpace 话重新启动后生效。要应用组策略更改,请执行下列操作之一:

    • 重启 WorkSpace (在亚马逊 WorkSpaces 控制台中,选择 WorkSpace,然后选择操作重启 WorkSpaces)。

    • 在管理命令提示符下,输入gpupdate /force

启用或禁用 PCoIP 的剪贴板重定向

默认情况下, WorkSpaces 支持剪贴板重定向。如果 Windows 需要 WorkSpaces,您可以使用组策略设置来禁用此功能。

要启用或禁用剪贴板重定向

  1. 确保您已安装最新的 PCoIP(32 位)WorkSpaces 组策略管理模板或 pCoIP(64 位)的最新WorkSpaces 组策略管理模板

  2. 在目录管理 WorkSpace 或加入您的 WorkSpaces 目录的 Amazon EC2 实例上,打开组策略管理工具 (gpmc.msc) 并导航到 pCoIP 会话变量

  3. 打开 Configure clipboard redirection 设置。

  4. 配置剪贴板重定向对话框中,选择启用,然后选择以下设置之一以确定允许剪贴板重定向的方向。完成后,选择确定

    • 双向禁用

    • 仅启用代理到客户端(WorkSpace 到本地计算机)

    • 仅允许客户端到代理(本地计算机对代理 WorkSpace)

    • 双向启用

  5. 组策略设置更改在的下一次组策略更新后 WorkSpace 以及会 WorkSpace 话重新启动后生效。要应用组策略更改,请执行下列操作之一:

    • 重启 WorkSpace (在亚马逊 WorkSpaces 控制台中,选择 WorkSpace,然后选择操作重启 WorkSpaces)。

    • 在管理命令提示符下,输入gpupdate /force

已知的限制

启用剪贴板重定向后 WorkSpace,如果您从 Microsoft Office 应用程序复制大于 890 KB 的内容,则该应用程序可能会在 5 秒钟内变慢或无响应。

为 PCoIP 设置会话恢复超时

当您断开网络连接时,您的活动 WorkSpaces 客户端会话将断开连接。 WorkSpaces 如果网络连接在一定时间内恢复,Windows 和 macOS 的客户端应用程序会自动尝试重新连接会话。默认会话恢复超时为 20 分钟,但您可以修改该值 WorkSpaces ,使其由您的域的组策略设置控制。

要设置自动会话恢复超时值

  1. 确保您已安装最新的 PCoIP(32 位)WorkSpaces 组策略管理模板或 pCoIP(64 位)的最新WorkSpaces 组策略管理模板

  2. 在目录管理 WorkSpace 或加入您的 WorkSpaces 目录的 Amazon EC2 实例上,打开组策略管理工具 (gpmc.msc) 并导航到 pCoIP 会话变量

  3. 打开 Configure Session Automatic Reconnection Policy 设置。

  4. Configure Session Automatic Reconnection Policy 对话框中,选择 Enabled,将 Configure Session Automatic Reconnection Policy 选项设置为所需的超时 (以分钟为单位),然后选择 OK

  5. 组策略设置更改在的下一次组策略更新后 WorkSpace 以及会 WorkSpace 话重新启动后生效。要应用组策略更改,请执行下列操作之一:

    • 重启 WorkSpace (在亚马逊 WorkSpaces 控制台中,选择 WorkSpace,然后选择操作重启 WorkSpaces)。

    • 在管理命令提示符下,输入gpupdate /force

启用或禁用 PCoIP 的音频输入重定向

默认情况下,亚马逊 WorkSpaces 支持重定向来自本地麦克风的数据。如果 Windows 需要 WorkSpaces,您可以使用组策略设置来禁用此功能。

注意

如果您的组策略设置限制用户在其中的本地登录 WorkSpaces,则音频输入不适用于您的用户 WorkSpaces。如果您删除该组策略设置,则音频输入功能将在下次重新启动后启用 WorkSpace。有关组策略设置的更多信息,请参阅 Microsoft 文档中的允许本地登录

启用或禁用用用用用音频输入重定用

  1. 确保您已安装最新的 PCoIP(32 位)WorkSpaces 组策略管理模板或 pCoIP(64 位)的最新WorkSpaces 组策略管理模板

  2. 在目录管理 WorkSpace 或加入您的 WorkSpaces 目录的 Amazon EC2 实例上,打开组策略管理工具 (gpmc.msc) 并导航到 pCoIP 会话变量

  3. PCoIP 会话设置中打开启用/禁用音频

  4. PCoIP 会话中的启用/禁用音频对话框中,选择启用用。

  5. 选择 OK(确定)

  6. 组策略设置更改在的下一次组策略更新后 WorkSpace 以及会 WorkSpace 话重新启动后生效。要应用组策略更改,请执行下列操作之一:

    • 重启 WorkSpace (在亚马逊 WorkSpaces 控制台中,选择 WorkSpace,然后选择操作重启 WorkSpaces)。

    • 在管理命令提示符下,输入gpupdate /force

禁用 PCoIP 的时区重定向

默认情况下,工作区内的时间设置为镜像用于连接的客户端的时区 WorkSpace。此行为是通过时区重定向控制的。您可能需要关闭时区定向的原因有多种:

  • 您的公司希望所有员工在特定时区中工作(即使某些员工在其他时区)。

  • 您在 a 中有计划任务 WorkSpace ,这些任务本应在特定时区的特定时间运行。

  • 为了保持一致性和个人喜好,经常出差 WorkSpaces 的用户希望将自己的时区保持在一个时区。

如果 Windows 需要 WorkSpaces,您可以使用组策略设置来禁用此功能。

禁用时区重定向

  1. 确保您已安装最新的 PCoIP(32 位)WorkSpaces 组策略管理模板或 pCoIP(64 位)的最新WorkSpaces 组策略管理模板

  2. 在目录管理 WorkSpace 或加入您的 WorkSpaces 目录的 Amazon EC2 实例上,打开组策略管理工具 (gpmc.msc) 并导航到 pCoIP 会话变量

  3. 打开配置时区重定向设置。

  4. 配置时区重定向对话框中,选择禁用

  5. 选择 OK(确定)

  6. 组策略设置更改在的下一次组策略更新后 WorkSpace 以及会 WorkSpace 话重新启动后生效。要应用组策略更改,请执行下列操作之一:

    • 重启 WorkSpace (在亚马逊 WorkSpaces 控制台中,选择 WorkSpace,然后选择操作重启 WorkSpaces)。

    • 在管理命令提示符下,输入gpupdate /force

  7. 将的时区设置 WorkSpaces 为所需的时区。

的时区现在 WorkSpaces 是静态的,不再镜像客户端计算机的时区。

配置 PCoIP 安全设置

对于 PCoIP,传输中的数据使用 TLS 1.2 加密和 Sigv4 请求签名进行加密。PCoIP 协议使用加密的 UDP 流量和 AES 加密来传输像素。使用端口 4172(TCP 和 UDP)的流媒体连接使用 AES-128 和 AES-256 密码进行加密,但加密默认为 128 位。您可以使用配置 PCoIP 安全设置组策略设置将此默认值更改为 256 位。

您还可以使用此组策略设置修改 TLS 安全模式和屏蔽某些密码套件。配置 PCoIP 安全设置组策略对话框中提供了这些设置和支持的密码套件的详细说明。

配置 PCoIP 安全设置

  1. 确保您已安装最新的 PCoIP(32 位)WorkSpaces 组策略管理模板或 pCoIP(64 位)的最新WorkSpaces 组策略管理模板

  2. 在目录管理 WorkSpace 或加入您的 WorkSpaces 目录的 Amazon EC2 实例上,打开组策略管理工具 (gpmc.msc) 并导航到 pCoIP 会话变量

  3. 打开 “配置 PCoIP 安全设置” 设置

  4. 在 “配置 PCoIP 安全设置” 对话框中,选择 “启用”。要将流媒体流量的默认加密设置为 256 位,请转到 PCoIP 数据加密密码选项,然后选择 “仅限 AES-256-GCM”。

  5. (可选)调整 TLS 安全模式设置,然后列出要阻止的任何密码套件。有关这些设置的更多信息,请参阅 “配置 PCoIP 安全设置” 对话框中提供的描述。

  6. 选择 OK(确定)

  7. 组策略设置更改在的下一次组策略更新后 WorkSpace 以及会 WorkSpace 话重新启动后生效。要应用组策略更改,请执行下列操作之一:

    • 重启 WorkSpace (在亚马逊 WorkSpaces 控制台中,选择 WorkSpace,然后选择操作重启 WorkSpaces)。

    • 在管理命令提示符下,输入gpupdate /force

为 YubiKey U2F 启用 USB 重定向

注意

亚马逊 WorkSpaces 目前仅支持 YubiKey U2F 的 USB 重定向。其他类型的 USB 设备可能会被重定向,但不支持它们并且可能无法正常工作。

为 YubiKey U2F 启用 USB 重定向

  1. 确保您已安装最新的 PCoIP(32 位)WorkSpaces 组策略管理模板或 pCoIP(64 位)的最新WorkSpaces 组策略管理模板

  2. 在目录管理 WorkSpace 或加入您的 WorkSpaces 目录的 Amazon EC2 实例上,打开组策略管理工具 (gpmc.msc) 并导航到 pCoIP 会话变量

  3. PCOIP 会话设置中打开启用/禁用 USB

  4. 选择 “启用”,然后选择 “确定”

  5. 打开 “配置 PCoIP USB 允许和不允许的设备规则” 设置。

  6. 选择 “启用”,然后在 “输入 USB 授权表(最多十条规则)” 下配置 USB 设备允许列表规则。

    1. 授权规则-110500407。此值是供应商 ID (VID) 和产品 ID (PID) 的组合。VID/PID 组合的格式为 1xxxxyyyy,其中 xxxx 是十六进制格式的 VID,yyyy 是十六进制格式的 PID。在此示例中,1050 是 VID,0407 是 PID。有关更多 YubiKey USB 值,请参阅 YubiKey USB ID 值

  7. 在 “输入 USB 授权表(最多十条规则)” 下,配置 USB 设备黑名单规则。

    1. 对于取消授权规则,设置一个空字符串。这意味着只允许授权列表中的 USB 设备。

    注意

    您最多可以定义 10 个 USB 授权规则和最多 10 个 USB 取消授权规则。使用竖线 (|) 字符分隔多个规则。有关授权/取消授权规则的详细信息,请参阅适用于 Windows 的 Teradici PCoIP 标准代理

  8. 选择 OK(确定)

  9. 组策略设置更改在的下一次组策略更新后 WorkSpace 以及会 WorkSpace 话重新启动后生效。要应用组策略更改,请执行下列操作之一:

    • 重启 WorkSpace (在亚马逊 WorkSpaces 控制台中,选择 WorkSpace,然后选择操作重启 WorkSpaces)。

    • 在管理命令提示符下,输入gpupdate /force

设置生效后,除非通过 USB 设备规则设置配置限制, WorkSpaces 否则所有支持的 USB 设备都可以重定向到。

安装流 WorkSpaces 媒体协议 (WSP) 的组策略管理模板文件

要使用使用 WorkSpaces 流媒体协议 (WSP) WorkSpaces 时特定的组策略设置,必须将 WSP 的组策略管理模板wsp.admxwsp.adml文件添加到您的 WorkSpaces 目录的域控制器的中央存储区。有关.admx.adml文件的更多信息,请参阅如何在 Windows 中为组策略管理模板创建和管理 Central Store

以下过程介绍了如何创建中央存储库并将管理模板文件添加到其中。在加入您的 WorkSpaces目录的目录管理 WorkSpace 或 Amazon EC2 实例上执行以下程序。

安装 WSP 的组策略管理模板文件

  1. 在正在运行的 Windows WorkSpace 中,复制C:\Program Files\Amazon\WSP目录中的wsp.admxwsp.adml文件。

  2. 在目录管理 WorkSpace 或加入您的 WorkSpaces 目录的 Amazon EC2 实例上,打开 Windows 文件资源管理器,然后在地址栏中输入您组织的完全合格域名 (FQDN),例如\\example.com

  3. 打开 sysvol 文件夹。

  4. 打开FQDN名为的文件夹。

  5. 打开 Policies 文件夹。你现在应该进去了\\FQDN\sysvol\FQDN\Policies

  6. 如果角色尚不存在,创建名为的文件夹PolicyDefinitions

  7. 打开 PolicyDefinitions 文件夹。

  8. wsp.admx文件复制到该\\FQDN\sysvol\FQDN\Policies\PolicyDefinitions文件夹中。

  9. 创建名为en-US的第一个PolicyDefinitions文件夹。

  10. 打开 en-US 文件夹。

  11. wsp.adml文件复制到该\\FQDN\sysvol\FQDN\Policies\PolicyDefinitions\en-US文件夹中。

验证管理模板文件是否已正确安装

  1. 在目录管理 WorkSpace 或加入您的 WorkSpaces 目录的 Amazon EC2 实例上,打开组策略管理工具 (gpmc.msc)。

  2. 扩展森林(森林:FQDN)。

  3. 扩展域名

  4. 扩展您的 FQDN(例如example.com)。

  5. 展开组策略对象

  6. 选择默认域策略,打开上下文(右键单击)菜单,然后选择编辑

    注意

    如果支持的域 WorkSpaces 是Amazon Managed Microsoft AD目录,则无法使用默认域策略创建 GPO。相反,您必须在具有委托权限的域容器下创建并链接 GPO。

    使用创建目录时Amazon Managed Microsoft AD,Amazon Directory Service会在域根目录下创建您的域名组织单位 (OU)。此 OU 的名称基于您在创建目录时键入的 NetBIOS 名称。如果您不指定 NetBIOS 名称,它将默认为您的目录 DNS 名称的第一个部分(例如,NetBIOS 名称为corp)。corp.example.com

    要创建 GPO,请选择 y ourdomainname OU(或该域名下的任何 OU),打开上下文(右键单击)菜单,然后选择在此域中创建 GPO,然后将其链接到此处,而不是选择默认域策略

    有关 y ourdomainname OU 的更多信息,请参阅《Amazon Directory Service管理指南》中的创建内容

  7. 在组策略管理编辑器中,选择计算机配置策略管理模板AmazonWSP

  8. 现在,您可以使用此 WSP 组策略对象修改使用 WSP WorkSpaces 时特定的组策略设置。

配置 WSP 的打印机支持

默认情况下, WorkSpaces 启用基本远程打印,该打印功能有限,因为它在主机端使用通用打印机驱动程序来确保兼容打印。

Windows 客户端的高级远程打印(不适用于 WSP)允许您使用打印机的特定功能,例如双面打印,但它需要在主机端安装匹配的打印机驱动程序。

远程打印实施为虚拟通道。如果虚拟通道被禁用,远程打印无法正常工作。

对于 Windows WorkSpaces,您可以根据需要使用组策略设置配置打印机支持。

配置打印机支持

  1. 确保将最新的 WSPWorkSpaces 组策略管理模板安装在您的 WorkSpaces目录域控制器的中央存储区中。

  2. 在目录管理 WorkSpace 或加入您的 WorkSpaces 目录的 Amazon EC2 实例上,打开组策略管理工具 (gpmc.msc)。

  3. 扩展森林(森林:FQDN)。

  4. 扩展域名

  5. 扩展您的 FQDN(例如example.com)。

  6. 展开组策略对象

  7. 选择默认域策略,打开上下文(右键单击)菜单,然后选择编辑

    注意

    如果支持的域 WorkSpaces 是Amazon Managed Microsoft AD目录,则无法使用默认域策略创建 GPO。而是选择 y ourdomainname OU(或该域名下的任何 OU),打开上下文(右键单击)菜单,然后选择在此域中创建 GPO,然后将其链接到此处。有关 y ourdomainname OU 的更多信息,请参阅《Amazon Directory Service管理指南》中的创建内容

  8. 在组策略管理编辑器中,选择计算机配置策略管理模板AmazonWSP

  9. 打开配置远程打印设置。

  10. Configure remote printing (配置远程打印) 对话框中,执行下列操作之一:

    • 要启用本地打印机重定向,请选择 “启用”,然后在 “打印选项” 中选择 “基本”。要自动使用客户端计算机的当前默认打印机,请选择将本地默认打印机映射到远程主机。

    • 要禁用打印,请选择 “禁用”。

  11. 选择 OK(确定)

  12. 组策略设置更改在的下一次组策略更新后 WorkSpace 以及会 WorkSpace 话重新启动后生效。要应用组策略更改,请执行下列操作之一:

    • 重启 WorkSpace (在亚马逊 WorkSpaces 控制台中,选择 WorkSpace,然后选择操作重启 WorkSpaces)。

    • 在管理命令提示符下,输入gpupdate /force

为 WSP 配置剪贴板重定向

默认情况下, WorkSpaces 支持双向(复制/粘贴)剪贴板重定向。对于 Windows WorkSpaces,您可以使用组策略设置禁用此功能或配置允许剪贴板重定向的方向。

为 Windows 配置剪贴板重定向 WorkSpaces

  1. 确保将最新的 WSPWorkSpaces 组策略管理模板安装在您的 WorkSpaces目录域控制器的中央存储区中。

  2. 在目录管理 WorkSpace 或加入您的 WorkSpaces 目录的 Amazon EC2 实例上,打开组策略管理工具 (gpmc.msc)。

  3. 扩展森林(森林:FQDN)。

  4. 扩展域名

  5. 扩展您的 FQDN(例如example.com)。

  6. 展开组策略对象

  7. 选择默认域策略,打开上下文(右键单击)菜单,然后选择编辑

    注意

    如果支持的域 WorkSpaces 是Amazon Managed Microsoft AD目录,则无法使用默认域策略创建 GPO。而是选择 y ourdomainname OU(或该域名下的任何 OU),打开上下文(右键单击)菜单,然后选择在此域中创建 GPO,然后将其链接到此处。有关 y ourdomainname OU 的更多信息,请参阅《Amazon Directory Service管理指南》中的创建内容

  8. 在组策略管理编辑器中,选择计算机配置策略管理模板AmazonWSP

  9. 打开 Configure clipboard redirection 设置。

  10. 在 “配置剪贴板重定向” 对话框中,选择 “启用” 或 “禁用”。

    “配置剪贴板重定向” 处于启用状态时,以下剪贴板重定向选项将可用:

    • 选择 “复制和粘贴” 以允许双向剪贴板复制和粘贴重定向。

    • 选择 “仅复制” 仅允许将数据从服务器剪贴板复制到客户端剪贴板。

    • 选择 “仅粘贴” 仅允许将数据从客户端剪贴板粘贴到服务器剪贴板。

  11. 选择 OK(确定)

  12. 组策略设置更改在的下一次组策略更新后 WorkSpace 以及会 WorkSpace 话重新启动后生效。要应用组策略更改,请执行下列操作之一:

    • 重启 WorkSpace (在亚马逊 WorkSpaces 控制台中,选择 WorkSpace,然后选择操作重启 WorkSpaces)。

    • 在管理命令提示符下,输入gpupdate /force

已知的限制

启用剪贴板重定向后 WorkSpace,如果您从 Microsoft Office 应用程序复制大于 890 KB 的内容,则该应用程序可能会在 5 秒钟内变慢或无响应。

为 WSP 设置会话恢复超时

当您断开网络连接时,您的活动 WorkSpaces 客户端会话将断开连接。 WorkSpaces 如果网络连接在一定时间内恢复,Windows 和 macOS 的客户端应用程序会自动尝试重新连接会话。默认会话恢复超时为 20 分钟(1200 秒),但您可以修改该值 WorkSpaces ,使其由您的域的组策略设置控制。

要设置自动会话恢复超时值

  1. 确保将最新的 WSPWorkSpaces 组策略管理模板安装在您的 WorkSpaces目录域控制器的中央存储区中。

  2. 在目录管理 WorkSpace 或加入您的 WorkSpaces 目录的 Amazon EC2 实例上,打开组策略管理工具 (gpmc.msc)。

  3. 扩展森林(森林:FQDN)。

  4. 扩展域名

  5. 扩展您的 FQDN(例如example.com)。

  6. 展开组策略对象

  7. 选择默认域策略,打开上下文(右键单击)菜单,然后选择编辑

    注意

    如果支持的域 WorkSpaces 是Amazon Managed Microsoft AD目录,则无法使用默认域策略创建 GPO。而是选择 y ourdomainname OU(或该域名下的任何 OU),打开上下文(右键单击)菜单,然后选择在此域中创建 GPO,然后将其链接到此处。有关 y ourdomainname OU 的更多信息,请参阅《Amazon Directory Service管理指南》中的创建内容

  8. 在组策略管理编辑器中,选择计算机配置策略管理模板AmazonWSP

  9. 打开启用/禁用自动重新连接设置。

  10. 启用/禁用自动重新连接对话框中,选择启用,然后将重新连接超时(秒)设置为所需的超时时间(以秒为单位)。

  11. 选择 OK(确定)

  12. 组策略设置更改在的下一次组策略更新后 WorkSpace 以及会 WorkSpace 话重新启动后生效。要应用组策略更改,请执行下列操作之一:

    • 重启 WorkSpace (在亚马逊 WorkSpaces 控制台中,选择 WorkSpace,然后选择操作重启 WorkSpaces)。

    • 在管理命令提示符下,输入gpupdate /force

启用或禁用 WSP 的视频输入重定向

默认情况下, WorkSpaces 支持重定向来自本地摄像机的数据。如果 Windows 需要 WorkSpaces,您可以使用组策略设置来禁用此功能。

启用或禁用 Windows 的视频输入重定向 WorkSpaces

  1. 确保将最新的 WSPWorkSpaces 组策略管理模板安装在您的 WorkSpaces目录域控制器的中央存储区中。

  2. 在目录管理 WorkSpace 或加入您的 WorkSpaces 目录的 Amazon EC2 实例上,打开组策略管理工具 (gpmc.msc)。

  3. 扩展森林(森林:FQDN)。

  4. 扩展域名

  5. 扩展您的 FQDN(例如example.com)。

  6. 展开组策略对象

  7. 选择默认域策略,打开上下文(右键单击)菜单,然后选择编辑

    注意

    如果支持的域 WorkSpaces 是Amazon Managed Microsoft AD目录,则无法使用默认域策略创建 GPO。而是选择 y ourdomainname OU(或该域名下的任何 OU),打开上下文(右键单击)菜单,然后选择在此域中创建 GPO,然后将其链接到此处。有关 y ourdomainname OU 的更多信息,请参阅《Amazon Directory Service管理指南》中的创建内容

  8. 在组策略管理编辑器中,选择计算机配置策略管理模板AmazonWSP

  9. 打开启用/禁用视频输入重定向设置。

  10. 启用/禁用视频输入重定向对话框中,选择启用禁用

  11. 选择 OK(确定)

  12. 组策略设置更改在的下一次组策略更新后 WorkSpace 以及会 WorkSpace 话重新启动后生效。要应用组策略更改,请执行下列操作之一:

    • 重启 WorkSpace (在亚马逊 WorkSpaces 控制台中,选择 WorkSpace,然后选择操作重启 WorkSpaces)。

    • 在管理命令提示符下,输入gpupdate /force

启用或禁用 WSP 的音频输入重定向

默认情况下, WorkSpaces 支持重定向来自本地麦克风的数据。如果 Windows 需要 WorkSpaces,您可以使用组策略设置来禁用此功能。

启用或禁用 Windows 的音频输入重定向 WorkSpaces

  1. 确保将最新的 WSPWorkSpaces 组策略管理模板安装在您的 WorkSpaces目录域控制器的中央存储区中。

  2. 在目录管理 WorkSpace 或加入您的 WorkSpaces 目录的 Amazon EC2 实例上,打开组策略管理工具 (gpmc.msc)。

  3. 扩展森林(森林:FQDN)。

  4. 扩展域名

  5. 扩展您的 FQDN(例如example.com)。

  6. 展开组策略对象

  7. 选择默认域策略,打开上下文(右键单击)菜单,然后选择编辑

    注意

    如果支持的域 WorkSpaces 是Amazon Managed Microsoft AD目录,则无法使用默认域策略创建 GPO。而是选择 y ourdomainname OU(或该域名下的任何 OU),打开上下文(右键单击)菜单,然后选择在此域中创建 GPO,然后将其链接到此处。有关 y ourdomainname OU 的更多信息,请参阅《Amazon Directory Service管理指南》中的创建内容

  8. 在组策略管理编辑器中,选择计算机配置策略管理模板AmazonWSP

  9. 打开启用/禁用音频输入重定向设置。

  10. 启用/禁用音频输入重定向对话框中,选择启用禁用

  11. 选择 OK(确定)

  12. 组策略设置更改在的下一次组策略更新后 WorkSpace 以及会 WorkSpace 话重新启动后生效。要应用组策略更改,请执行下列操作之一:

    • 重启 WorkSpace (在亚马逊 WorkSpaces 控制台中,选择 WorkSpace,然后选择操作重启 WorkSpaces)。

    • 在管理命令提示符下,输入gpupdate /force

禁用 WSP 的时区重定向

默认情况下,工作区内的时间设置为镜像用于连接的客户端的时区 WorkSpace。此行为是通过时区重定向控制的。您可能需要关闭时区定向的原因有多种:

  • 您的公司希望所有员工在特定时区中工作(即使某些员工在其他时区)。

  • 您在 a 中有计划任务 WorkSpace ,这些任务本应在特定时区的特定时间运行。

  • 为了保持一致性和个人喜好,经常出差 WorkSpaces 的用户希望将自己的时区保持在一个时区。

如果 Windows 需要 WorkSpaces,您可以使用组策略设置来禁用此功能。

禁用 Windows 的时区重定向 WorkSpaces

  1. 确保将最新的 WSPWorkSpaces 组策略管理模板安装在您的 WorkSpaces目录域控制器的中央存储区中。

  2. 在目录管理 WorkSpace 或加入您的 WorkSpaces 目录的 Amazon EC2 实例上,打开组策略管理工具 (gpmc.msc)。

  3. 扩展森林(森林:FQDN)。

  4. 扩展域名

  5. 扩展您的 FQDN(例如example.com)。

  6. 展开组策略对象

  7. 选择默认域策略,打开上下文(右键单击)菜单,然后选择编辑

    注意

    如果支持的域 WorkSpaces 是Amazon Managed Microsoft AD目录,则无法使用默认域策略创建 GPO。而是选择 y ourdomainname OU(或该域名下的任何 OU),打开上下文(右键单击)菜单,然后选择在此域中创建 GPO,然后将其链接到此处。有关 y ourdomainname OU 的更多信息,请参阅《Amazon Directory Service管理指南》中的创建内容

  8. 在组策略管理编辑器中,选择计算机配置策略管理模板AmazonWSP

  9. 打开启用/禁用时区重定向设置。

  10. 启用/禁用时区重定向对话框中,选择禁用

  11. 选择 OK(确定)

  12. 组策略设置更改在的下一次组策略更新后 WorkSpace 以及会 WorkSpace 话重新启动后生效。要应用组策略更改,请执行下列操作之一:

    • 重启 WorkSpace (在亚马逊 WorkSpaces 控制台中,选择 WorkSpace,然后选择操作重启 WorkSpaces)。

    • 在管理命令提示符下,输入gpupdate /force

  13. 将的时区设置 WorkSpaces 为所需的时区。

的时区现在 WorkSpaces 是静态的,不再镜像客户端计算机的时区。

启用或禁用 WSP 的智能卡重定向

默认情况下,Amazon WorkSpaces 不支持使用智能卡进行会话前身份验证或会话中身份验证。会话前身份验证是指在用户登录时执行的智能卡身份验证 WorkSpaces。会话内身份验证是指登录后执行的身份验证。

如果需要,您可以使用组策略设置为 Windows WorkSpaces 启用会话前和会话中身份验证。还必须使用EnableClientAuthentication API 操作或enable-client-authenticationAmazon CLI命令通过 AD Connector 目录设置启用会话前身份验证。有关更多信息,请参阅《Amazon Directory Service管理指南》中的 “为 AD Connector 启用智能卡身份验证”。

注意

要在 Windows 上启用智能卡 WorkSpaces,还需要执行其他步骤。有关更多信息,请参阅使用智能卡进行身份验证

启用或禁用 Windows 的智能卡重定向 WorkSpaces

  1. 确保将最新的 WSPWorkSpaces 组策略管理模板安装在您的 WorkSpaces目录域控制器的中央存储区中。

  2. 在目录管理 WorkSpace 或加入您的 WorkSpaces 目录的 Amazon EC2 实例上,打开组策略管理工具 (gpmc.msc)。

  3. 扩展森林(森林:FQDN)。

  4. 扩展域名

  5. 扩展您的 FQDN(例如example.com)。

  6. 展开组策略对象

  7. 选择默认域策略,打开上下文(右键单击)菜单,然后选择编辑

    注意

    如果支持的域 WorkSpaces 是Amazon Managed Microsoft AD目录,则无法使用默认域策略创建 GPO。而是选择 y ourdomainname OU(或该域名下的任何 OU),打开上下文(右键单击)菜单,然后选择在此域中创建 GPO,然后将其链接到此处。有关 y ourdomainname OU 的更多信息,请参阅《Amazon Directory Service管理指南》中的创建内容

  8. 在组策略管理编辑器中,选择计算机配置策略管理模板AmazonWSP

  9. 打开启用/禁用智能卡重定向设置。

  10. 启用/禁用智能卡重定向对话框中,选择启用禁用

  11. 选择 OK(确定)

  12. 组策略设置更改在 WorkSpace 会话重新启动后生效。要应用组策略更改,请重新启动 WorkSpace (在亚马逊 WorkSpaces 控制台中,选择 WorkSpace,然后选择操作重启 WorkSpaces)。

启用或禁用 WSP 的屏幕锁定时断开会话连接

如果需要,可以在检测到 Windows 锁屏时断开用户的 WorkSpaces 会话。要从 WorkSpaces 客户端重新连接,用户可以使用其密码或智能卡对自己进行身份验证,具体取决于为其启用了哪种类型的身份验证 WorkSpaces。

默认情况下,禁用此组策略设置。如果需要,您可以使用组策略设置在检测到 Windows 的 Windows WorkSpaces 锁定屏幕时启用断开会话连接。

注意

  • 此组策略设置目前仅在Amazon GovCloud (美国西部)区域可用。

  • 此组策略设置适用于经过密码验证的会话和经过智能卡身份验证的会话。

  • 要在 Windows 上启用智能卡 WorkSpaces,还需要执行其他步骤。有关更多信息,请参阅使用智能卡进行身份验证

启用或禁用 Windows 屏幕锁定时断开会话连接 WorkSpaces

  1. 确保将最新的 WSPWorkSpaces 组策略管理模板安装在您的 WorkSpaces目录域控制器的中央存储区中。

  2. 在目录管理 WorkSpace 或加入您的 WorkSpaces 目录的 Amazon EC2 实例上,打开组策略管理工具 (gpmc.msc)。

  3. 扩展森林(森林:FQDN)。

  4. 扩展域名

  5. 扩展您的 FQDN(例如example.com)。

  6. 展开组策略对象

  7. 选择默认域策略,打开上下文(右键单击)菜单,然后选择编辑

    注意

    如果支持的域 WorkSpaces 是Amazon Managed Microsoft AD目录,则无法使用默认域策略创建 GPO。而是选择 y ourdomainname OU(或该域名下的任何 OU),打开上下文(右键单击)菜单,然后选择在此域中创建 GPO,然后将其链接到此处。有关 y ourdomainname OU 的更多信息,请参阅《Amazon Directory Service管理指南》中的创建内容

  8. 在组策略管理编辑器中,选择计算机配置策略管理模板AmazonWSP

  9. 打开 “启用/禁用屏幕锁定时断开会话连接” 设置。

  10. 在 “启用/禁用屏幕锁定时断开会话连接” 对话框中,选择 “启用” 或 “用”。

  11. 选择 OK(确定)

  12. 组策略设置更改在的下一次组策略更新后 WorkSpace 以及会 WorkSpace 话重新启动后生效。要应用组策略更改,请执行下列操作之一:

    • 重启 WorkSpace (在亚马逊 WorkSpaces 控制台中,选择 WorkSpace,然后选择操作重启 WorkSpaces)。

    • 在管理命令提示符下,输入gpupdate /force

设置 Kerberos 票证的最大有效期

如果您尚未禁用 Windows 的 “记住我” 功能 WorkSpaces,则您的 WorkSpace 用户可以使用其 WorkSpaces 客户端应用程序中的 “记住我” 或 “保持我的登录状态” 复选框来保存他们的凭据。此功能允许用户在客户端应用程序保持运行的 WorkSpaces 同时轻松连接到他们的。他们的凭证安全地缓存到 Kerberos 票证中,时间可达其最长使用期限。

如果您 WorkSpace 使用 AD Connector 目录,则可以按照 Microsoft Windows 文档中 WorkSpaces 用户票证的最大寿命中的步骤,通过组策略修改用户的 Kerberos 票据的最大有效期。

要启用或禁用 Remember Me 功能,请参阅 为用户启用自助 WorkSpace管理功能

配置用于访问互联网的设备代理服务器设置

默认情况下, WorkSpaces 客户端应用程序使用在设备操作系统设置中为 HTTPS(端口 443)流量指定的代理服务器。Amazon WorkSpaces 客户端应用程序使用 HTTPS 端口进行更新、注册和身份验证。

注意

不支持需要使用登录凭据进行身份验证的代理服务器。

您可以按照 Microsoft 文档中配置设备代理和互联网连接设置中的步骤, WorkSpaces 通过组策略为 Windows 配置设备代理服务器设置

有关在 WorkSpaces Windows 客户端应用程序中配置代理设置的更多信息,请参阅亚马逊 WorkSpaces 用户指南中的代理服务器

有关在 WorkSpaces macOS 客户端应用程序中配置代理设置的更多信息,请参阅 Amazon WorkSpaces 用户指南中的代理服务器

有关在 WorkSpaces Web Access 客户端应用程序中配置代理设置的更多信息,请参阅亚马逊 WorkSpaces 用户指南中的代理服务器

代理桌面流量

对于 PCoIP WorkSpaces,桌面客户端应用程序不支持使用代理服务器,也不支持对 UDP 中的 4172 端口 4172 流量(用于桌面流量)使用 TLS 解密和检查。它们需要直接连接到端口 4172。

对于 WSP WorkSpaces, WorkSpaces Windows 客户端应用程序(版本 5.1 及更高版本)和 macOS 客户端应用程序(版本 5.4 及以上)支持使用 HTTP 代理服务器传输端口 4195 TCP 流量。不支持 TLS 解密和检查。

WSP 不支持使用代理处理通过 UDP 传输桌面流量。只有 WorkSpaces Windows 和 macOS 桌面客户端应用程序和 WSP Web 访问支持使用代理进行 TCP 流量。

注意

如果您选择使用代理服务器,则客户端应用程序对 WorkSpaces 服务进行的 API 调用也会被代理。API 调用和桌面流量都应通过同一个代理服务器。

关于使用代理服务器的建议

我们不建议使用代理服务器来处理您的 WorkSpaces 桌面流量。

Amazon WorkSpaces 桌面流量已经加密,因此代理并不能提高安全性。代理代表网络路径中的额外一跳,可能会通过引入延迟来影响流媒体质量。如果代理的大小不适合处理桌面流量,代理也可能会降低吞吐量。此外,大多数代理不是为支持长时间运行 WebSocket (TCP) 连接而设计的,可能会影响流媒体质量和稳定性。

如果您必须使用代理,请将您的代理服务器放置在尽可能靠近 WorkSpace 客户端的位置,最好位于同一网络中,以避免增加网络延迟,这可能会对流媒体质量和响应能力产生负面影响。

启用亚马逊 WorkSpaces 支持 Zoom 会议媒体插件

拥有 Active Directory 管理员权限的用户可以使用其组策略对象 (GPO) 生成注册表项。这允许用户使用强制更新将注册表项发送到您域 WorkSpaces 内的所有 Windows。或者,拥有管理员权限的客户也可以在其 WorkSpaces 主机上单独安装注册表项。

使用 Zoom 的先决条件 WorkSpaces

支持的 WorkSpaces 客户端版本:Windows:5.4.0.xxxx 或更高版本。

在 Windows WorkSpaces 主机上创建注册表项

完成以下步骤以在 Windows WorkSpaces 主机上创建注册表项。在 Windows 上使用 Zoom 需要注册表项 WorkSpaces。

  1. 以管理员身份打开 Windows 注册表编辑器。

  2. 转到 \HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Amazon

  3. 如果扩展密钥不存在,请右键单击并选择 “新建” > “密钥” 并将其命名为 “扩展”。

  4. 在新的扩展键中,右键单击并选择 “新建” > “DWORD” 并将其命名为启用。名称必须为小写。

  5. 单击新的 DWORD 并将更改为 1

  6. 重新启动计算机以完成该过程。

  7. 在您的 WorkSpaces 主机上,下载并安装最新的 Zoom VDI 客户端。在您的 WorkSpaces 客户端(5.4 或更高版本)上,下载并安装适用于亚马逊的最新 Zoom VDI 客户端插件 WorkSpaces。有关更多信息,请参阅 Zoom 支持网站上VDI 版本和下载

启动 Zoom 开始视频通话。

问题排查

完成以下操作以对 Windows 上的 Zoom 进行故障排除 WorkSpaces。

  • 确认注册表项的激活和应用正确。

  • 转到 C:\ProgramData\Amazon\Amazon WorkSpaces Extension。您应看看wse_core_dll

  • 确保主机和客户端上的版本正确且相同。

如果您仍然遇到困难,请Amazon Web Services Support使用Amazon Web Services Support中心联系。

您可以使用以下示例将 GPO 应用于您的目录。

wse.adml:

<?xml version="1.0" encoding="utf-8"?>
<policyDefinitionResources xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" revision="1.0" schemaVersion="1.0" xmlns="http://www.microsoft.com/GroupPolicy/PolicyDefinitions">
    <!-- 'displayName' and 'description' don't appear anywhere. All Windows native GPO template files have them set like this. -->
    <displayName>enter display name here</displayName>
    <description>enter description here</description>

    <resources>
    <stringTable>
        <string id="SUPPORTED_ProductOnly">N/A</string>
        <string id="Amazon">Amazon</string>
        <string id="Amazon_Help">Amazon Group Policies</string>
        <string id="WorkspacesExtension">Workspaces Extension</string>
        <string id="WorkspacesExtension_Help">Workspace Extension Group Policies</string>

        <!-- Extension Itself -->
        <string id="ToggleExtension">Enable/disable Extension Virtual Channel</string>
        <string id="ToggleExtension_Help">
Allows two-way Virtual Channel data communication for multiple purposes

By default, Extension is disabled.</string>

    </stringTable>
    </resources>
</policyDefinitionResources>

wse.admx

<?xml version="1.0" encoding="utf-8"?>
<policyDefinitions xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" revision="1.0" schemaVersion="1.0" xmlns="http://www.microsoft.com/GroupPolicy/PolicyDefinitions">
    <policyNamespaces>
        <target prefix="WorkspacesExtension" namespace="Microsoft.Policies.Amazon.WorkspacesExtension" />
    </policyNamespaces>
    <supersededAdm fileName="wse.adm" />
    <resources minRequiredRevision="1.0" />
    <supportedOn>
        <definitions>
            <definition name="SUPPORTED_ProductOnly" displayName="$(string.SUPPORTED_ProductOnly)"/>
        </definitions>
    </supportedOn>
    <categories>
        <category name="Amazon" displayName="$(string.Amazon)" explainText="$(string.Amazon_Help)" />
        <category name="WorkspacesExtension" displayName="$(string.WorkspacesExtension)" explainText="$(string.WorkspacesExtension_Help)">
            <parentCategory ref="Amazon" />
        </category>
    </categories>

    <policies>
        <policy name="ToggleExtension" class="Machine" displayName="$(string.ToggleExtension)" explainText="$(string.ToggleExtension_Help)" key="Software\Policies\Amazon\Extension" valueName="enable">
            <parentCategory ref="WorkspacesExtension" />
            <supportedOn ref="SUPPORTED_ProductOnly" />
            <enabledValue>
                <decimal value="1" />
            </enabledValue>
            <disabledValue>
                <decimal value="0" />
            </disabledValue>
        </policy>
    </policies>
</policyDefinitions>