管理 Windows WorkSpaces - Amazon WorkSpaces
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

管理 Windows WorkSpaces

您可以使用组策略对象 (GPO) 应用设置来管理 Windows WorkSpaces 或属于 Windows WorkSpaces 目录的用户。

注意

Linux 实例不遵循组策略。有关管理 Amazon Linux WorkSpaces 的信息,请参阅管理您的亚马逊 Linux WorkSpaces.

我们建议您分别为 WorkSpace 计算机对象和 WorkSpace 用户对象创建一个组织单位。

要使用特定于 Amazon WorkSpaces 的组策略设置,您必须为您使用的协议(PCoIP 或 WorkSpaces 流式处理协议 (WSP))安装组策略管理模板。

警告

组策略设置可以影响工作区用户的体验,如下所示:

  • 实施交互式登录消息以显示登录横幅的目的是阻止用户访问其 WorkSpace。 WorkSpaces 目前不支持交互式登录消息的组策略设置。

  • 通过组策略设置禁用可移动存储会导致登录失败,从而导致用户登录到无权访问驱动器 D 的临时用户配置文件。

  • 通过组策略设置从远程桌面用户本地组中删除用户会阻止这些用户进行身份验证通过 WorkSpaces 客户端应用程序。有关此组策略设置的更多信息,请参阅允许通过远程桌面服务登录Microsoft 文档中的。

  • 如果您将内置的用户组从允许本地登录安全策略,您的 PCoIP WorkSpaces 用户将无法通过 WorkSpace 客户端应用程序连接到其工作空间。 您的 PCoIP WorkSpaces 也不会接收 PCoIP 代理软件的更新。PCoIP 代理更新可能包含安全性和其他修复程序,或者它们可能为您的 WorkSpaces 启用新功能。有关使用此安全策略的更多信息,请参阅允许本地登录Microsoft 文档中的。

  • 组策略设置可用于限制驱动器访问。如果您将组策略设置配置为限制对驱动器 C 或驱动器 D 的访问,则用户无法访问其 WorkSpaces。 要防止此问题发生,请确保您的用户可以访问驱动器 C 和驱动器 D。

  • WorkSpaces 音频输入功能需要在 WorkSpace 内进行本地登录访问。 默认情况下会为 Windows WorkSpace 启用音频输入功能。但是,如果您的组策略设置限制用户在其 WorkSpace 中的本地登录,则音频输入将无法在您的 WorkSpace 上工作。如果删除该组策略设置,则音频输入功能将在下次重新启动 WorkSpace 后启用。有关此组策略设置的更多信息,请参阅允许本地登录Microsoft 文档中的。

    有关启用或禁用音频重定向的更多信息,请参阅启用或禁用 PCoIP 的音频输入重定向或者启用或禁用 WSP 的音频输入重定向.

  • 使用组策略将 Windows 电源计划设置为均衡或者节电可能会导致工作空间处于空闲状态时休眠状态。我们强烈建议使用组策略将 Windows 电源计划设置为高性能性能. 有关更多信息,请参阅我的 Windows WorkSpace 在空闲时进入睡眠状态

  • 某些组策略设置会在用户从会话断开连接时迫使其注销。用户在其 WorkSpaces 上打开的任何应用程序都会关闭。

有关使用 Active Directory 管理工具处理 GPO 的信息,请参阅为 WorkSpace 设置 Active Directory 管理 WorkSpaces 具

为 PCoIP 安装组策略管理模板

要在使用 PCoIP 协议时使用特定于 Amazon WorkSpaces 的组策略设置,您必须添加适用于您的 WorkSpaces 的 PCoIP 代理版本(32 位或 64 位)的组策略管理模板。

注意

如果混合使用具有 32 位和 64 位代理的 WorkSpaces,则可以对 32 位代理使用组策略管理模板,并且组策略设置将应用于 32 位和 64 位代理。当您的所有 WorkSpaces 都使用 64 位代理时,您可以切换到使用 64 位代理的管理模板。

确定您的 WorkSpaces 是 32 位代理还是 64 位代理

  1. 登录到 WorkSpace,然后打开任务管理器,方法是选择查看发送 Ctrl + Alt + 删除或右键单击任务栏并选择任务管理器.

  2. 在任务管理器中,转到详细信息选项卡上,右键单击列标题,然后选择选择列.

  3. 选择列对话框中,选择平台,然后选择确定.

  4. 在存储库的详细信息选项卡, 查找pcoip_agent.exe,然后在平台列来确定 PCoIP 代理是 32 位还是 64 位。(您可能会看到 32 位和 64 位 WorkSpaces 组件的混合;这是正常的。)

要在使用 32 位 PCoIP 代理时使用特定于 WorkSpaces 的组策略设置,您必须安装 PCoIP 的组策略管理模板。在目录管理 WorkSpace 或加入您的目录的目录的 Amazon EC2 实例上执行以下步骤。

有关使用 .adm 文件的更多信息,请参阅管理组策略管理模板 (.adm) 文件的建议Microsoft 文档中的。

为 PCoIP 安装组策略管理模板

  1. 在运行的 Windows WorkSpace 中,复制 C:\Program Files (x86)\Teradici\PCoIP Agent\configuration 目录中的 pcoip.adm 文件。

  2. 在目录管理 WorkSpace 或加入您的 WorkSpaces 目录的 Amazon EC2 实例上,打开组策略管理工具 (gpmc.msc)并导航到域中包含 WorkSpaces 计算机帐户的组织单位。

  3. 打开计算机账户组织单位对应的上下文 (右键单击) 菜单,然后选择在这个域中创建 GPO 并在此处链接...

  4. New GPO (新建 GPO) 对话框中,为 GPO 输入一个描述性名称(如 WorkSpaces Machine Policies),并将 Source Starter GPO (源 Starter GPO) 保留为 (无)。选择 OK (确定)

  5. 打开新 GPO 的上下文(右键单击)菜单,然后选择 Edit (编辑)

  6. 在组策略管理编辑器中,依次选择计算机配置策略管理模板。从主菜单中依次选择操作添加/删除模板

  7. 添加/删除模板对话框中,单击添加,选择之前复制的 pcoip.adm 文件,然后依次选择打开关闭

  8. 关闭组策略管理编辑器。现在,您可以使用该 GPO 来修改特定于 WorkSpaces 的组策略设置。

验证管理模板文件是否已正确安装

  1. 在目录管理 WorkSpace 或加入您的 WorkSpaces 目录的 Amazon EC2 实例上,打开组策略管理工具 (gpmc.msc),导航到您的 WorkSpace 计算机帐户的 WorkSpace GPO 并选择它。在主菜单中依次选择操作编辑

  2. 在组策略管理编辑器中,依次选择 计算机配置策略管理模板经典管理模板PCoIP Session Variables

  3. 现在,您可以使用此PCoIP 会话变量组策略对象,用于在使用 PCoIP 时修改特定于 Amazon WorkSpaces 的组策略设置。

    注意

    要允许用户覆盖您的设置,请选择 Overridable Administrator Defaults (可覆盖的管理员默认值);否则,请选择 Not Overridable Administrator Defaults (不可覆盖的管理员默认值)

要在使用 PCoIP 协议时使用特定于 WorkSpaces 的组策略设置,您必须添加组策略管理模板PCoIP.admxPCoIP.adml文件到您的 WorkSpace 目录的域控制器的中央存储区。有关 的更多信息.admx.adml文件,请参阅如何在 Windows 中创建和管理组策略管理模板的中心存储.

以下过程介绍如何创建中央存储并将管理模板文件添加到它。在目录管理 WorkSpace 或加入您的 WorkSpaces 目录的 Amazon EC2 实例上执行以下步骤。

为 PCoIP 安装组策略管理模板文件

  1. 在运行的 Windows WorkSpace 中,复制PCoIP.admxPCoIP.adml文件中的C:\Program Files\Teradici\PCoIP Agent\configuration\policyDefinitions目录。这些区域有:PCoIP.adml文件位于en-US子文件夹。

  2. 在目录管理 WorkSpace 或加入您的 WorkSpaces 目录的 Amazon EC2 实例上,打开 Windows 文件资源管理器,然后在地址栏中输入您的 WorkSpaces 目录的完全限定域名 (FQDN),如\\example.com.

  3. 打开 sysvol 文件夹。

  4. 打开文件夹FQDN名称。

  5. 打开 Policies 文件夹。您现在应该在\\FQDN\sysvol\FQDN\Policies.

  6. 如果它尚不存在,请创建一个名为PolicyDefinitions.

  7. 打开 PolicyDefinitions 文件夹。

  8. 复制PCoIP.admx文件添加到\\FQDN\sysvol\FQDN\Policies\PolicyDefinitionsfolder。

  9. 创建一个名为en-US中的PolicyDefinitionsfolder。

  10. 打开 en-US 文件夹。

  11. 复制PCoIP.adml文件添加到\\FQDN\sysvol\FQDN\Policies\PolicyDefinitions\en-USfolder。

验证管理模板文件是否已正确安装

  1. 在目录管理 WorkSpace 或加入您的 WorkSpaces 目录的 Amazon EC2 实例上,打开组策略管理工具 (gpmc.msc)。

  2. 展开林(林:FQDN)。

  3. Expand.

  4. 扩展您的 FQDN(例如example.com)。

  5. Expand组策略对象.

  6. Select默认域策略,打开上下文 (右键单击) 菜单,然后选择编辑.

    注意

    如果支持工作空间的域是Amazon Managed Microsoft AD目录中,则无法使用默认域策略创建 GPO。相反,您必须在具有委派权限的域容器下创建并链接 GPO。

    当您使用Amazon Managed Microsoft AD、Amazon Directory Service创建一个域名组织单位 (OU) 下。此 OU 的名称基于您在创建目录时键入的 NetBIOS 名称。如果您未指定 NetBIOS 名称,则此名称将默认为您的目录 DNS 名称的第一个部分(例如,在corp.example.com,则 NetBIOS 名称为corp)。

    要创建 GPO,而不是选择默认域策略中,选择域名OU(或该 OU 下的任何 OU),打开上下文菜单 (右键单击),然后选择在此域中创建 GPO,并将其链接到此处.

    有关的更多信息域名OU,请参阅创建的内容中的Amazon Directory Service管理指南.

  7. 在组策略管理编辑器中,选择Computer 配置策略管理 Templates, 和PCoIP 会话变量.

  8. 现在,您可以使用此PCoIP 会话变量组策略对象,用于修改特定于 WorkSpaces 时使用 PCoIP 时特定于 WorkSpaces 的组策略设置。

    注意

    要允许用户覆盖您的设置,选择可覆盖的管理员默认值;否则,选择不可覆盖的管理员默认值.

配置 PCoIP 的打印机支持

默认情况下,WorkSpaces 启用基本远程打印,它提供有限的打印功能,因为它在主机端使用通用打印机驱动程序以确保兼容打印。

Windows 客户端的高级远程打印让您可以使用打印机的特定功能(如双面打印),但需要在主机端安装匹配的打印机驱动程序。

远程打印实施为虚拟通道。如果虚拟通道被禁用,远程打印无法正常工作。

对于 Windows WorkSpace,您可以根据需要使用组策略设置来配置打印机支持。

配置打印机支持

  1. 请确保您已安装了最新的用于 PCoIP 的 WorkSpaces 组策略管理模板(32 位)或者用于 PCoIP 的 WorkSpaces 组策略管理模板(64 位).

  2. 在目录管理 WorkSpace 或加入您的 WorkSpaces 目录的 Amazon EC2 实例上,打开组策略管理工具 (gpmc.msc) 并导航到PCoIP 会话变量.

    要允许用户覆盖您的设置,请选择 Overridable Administrator Defaults (可覆盖的管理员默认值);否则,请选择 Not Overridable Administrator Defaults (不可覆盖的管理员默认值)

  3. 打开配置远程打印设置。

  4. Configure remote printing (配置远程打印) 对话框中,执行下列操作之一:

    • 要启用高级远程打印,请选择已启用,然后在选项Configure remote printing (配置远程打印) 下,选择 Basic and Advanced printing for Windows clients (适用于 Windows 客户端的基本和高级打印)。要自动使用客户端计算机的当前默认打印机,选择 Automatically set default printer (自动设置默认打印机)

    • 要禁用打印,请选择 Enabled (已启用),然后在 Options (选项)Configure remote printing (配置远程打印) 下选择 Printing disabled (已禁用打印)

  5. 选择 OK (确定)

  6. 组策略设置更改将在 WorkSpace 的下一次组策略更新后和重新启动 WorkSpace 会话后生效。要应用组策略更改,请执行下列操作之一:

    • 重启 WorkSpace 控制台中的 WorkSpace 控制台,选择 WorkSpace 中的 WorkSpaces WorkSpace操作重启 WorkSpaces)。

    • 在管理命令提示符下,输入gpupdate /force.

默认情况下,本地打印机自动重定向被禁用。您可以使用组策略设置启用此功能,以便每次连接到 WorkSpace 时都将本地打印机设置为默认打印机。

注意

本地打印机重定向不适用于 Amazon Linux WorkSpaces。

启用本地打印机自动重定向

  1. 请确保您已安装了最新的用于 PCoIP 的 WorkSpaces 组策略管理模板(32 位)或者用于 PCoIP 的 WorkSpaces 组策略管理模板(64 位).

  2. 在目录管理 WorkSpace 或加入您的 WorkSpaces 目录的 Amazon EC2 实例上,打开组策略管理工具 (gpmc.msc) 并导航到PCoIP 会话变量.

    要允许用户覆盖您的设置,请选择 Overridable Administrator Defaults (可覆盖的管理员默认值);否则,请选择 Not Overridable Administrator Defaults (不可覆盖的管理员默认值)

  3. 打开配置远程打印设置。

  4. 选择Enabled (已启用),然后在选项配置远程打印,选择下列操作之一:

    • 适用于 Windows 客户端的基本和高级打印

    • 基本打印

  5. Select自动设置默认打印机,然后选择确定.

  6. 组策略设置更改将在 WorkSpace 的下一次组策略更新后和重新启动 WorkSpace 会话后生效。要应用组策略更改,请执行下列操作之一:

    • 重启 WorkSpace Spaces 控制台(在 Amazon WorkSpaces 控制台中,选择 WorkSpace Spaces(在 Amazon WorkS操作重启 WorkSpaces)。

    • 在管理命令提示符下,输入gpupdate /force.

为 PCoIP 启用或禁用剪贴板重定向

默认情况下,WorkSpaces 支持剪贴板重定向。如果 Windows WorkSpace 需要,您可以使用组策略设置禁用此功能。

要启用或禁用剪贴板重定向

  1. 请确保您已安装了最新的用于 PCoIP 的 WorkSpaces 组策略管理模板(32 位)或者用于 PCoIP 的 WorkSpaces 组策略管理模板(64 位).

  2. 在目录管理 WorkSpace 或加入您的 WorkSpaces 目录的 Amazon EC2 实例上,打开组策略管理工具 (gpmc.msc) 并导航到PCoIP 会话变量.

    要允许用户覆盖您的设置,请选择 Overridable Administrator Defaults (可覆盖的管理员默认值);否则,请选择 Not Overridable Administrator Defaults (不可覆盖的管理员默认值)

  3. 打开 Configure clipboard redirection 设置。

  4. 配置剪贴板重定向对话框中,选择启用,然后选择以下设置之一以确定允许剪贴板重定向的方向。完成后,选择确定

    • 双向禁用

    • 仅从代理到客户端单向启用(WorkSpace 到本地计算机)

    • 仅从客户端到代理单向启用(本地计算机到 WorkSpace)

    • 双向启用

  5. 组策略设置更改将在 WorkSpace 的下一次组策略更新后和重新启动 WorkSpace 会话后生效。要应用组策略更改,请执行下列操作之一:

    • 重启 WorkSpace Spaces 控制台(在 Amazon WorkSpaces 控制台中,选择 WorkSpace Spaces(在 Amazon WorkS操作重启 WorkSpaces)。

    • 在管理命令提示符下,输入gpupdate /force.

已知限制条件

在 WorkSpace 上启用剪贴板重定向后,如果您从 Microsoft Office 应用程序复制大于 890 KB 的内容,应用程序可能会变慢或长达 5 秒钟无响应。

设置 PCoIP 的会话恢复超时

在使用 WorkSpaces 客户端应用程序时,网络连接中断会导致活动会话断开连接。这可能会因如下事件导致:合上笔记本电脑的盖子,或无线网连接丢失。如果网络连接在一定时间内恢复,用于 Windows 和 macOS 的 WorkSpaces 客户端应用程序会自动重新连接会话。默认的会话恢复超时为 20 分钟,但您可以为由您的域的组策略设置所控制的 WorkSpace 修改此值。

要设置自动会话恢复超时值

  1. 请确保您已安装了最新的用于 PCoIP 的 WorkSpaces 组策略管理模板(32 位)或者用于 PCoIP 的 WorkSpaces 组策略管理模板(64 位).

  2. 在目录管理 WorkSpace 或加入您的 WorkSpaces 目录的 Amazon EC2 实例上,打开组策略管理工具 (gpmc.msc) 并导航到PCoIP 会话变量.

    要允许用户覆盖您的设置,请选择 Overridable Administrator Defaults (可覆盖的管理员默认值);否则,请选择 Not Overridable Administrator Defaults (不可覆盖的管理员默认值)

  3. 打开 Configure Session Automatic Reconnection Policy 设置。

  4. Configure Session Automatic Reconnection Policy 对话框中,选择 Enabled,将 Configure Session Automatic Reconnection Policy 选项设置为所需的超时 (以分钟为单位),然后选择 OK

  5. 组策略设置更改将在 WorkSpace 的下一次组策略更新后和重新启动 WorkSpace 会话后生效。要应用组策略更改,请执行下列操作之一:

    • 重启 WorkSpace 控制台中的 WorkSpace 控制台,选择 WorkSpace 中的 WorkSpaces WorkSpace操作重启 WorkSpaces)。

    • 在管理命令提示符下,输入gpupdate /force.

启用或禁用 PCoIP 的音频输入重定向

默认情况下,Amazon WorkSpaces 支持从本地麦克风重定向数据。如果 Windows WorkSpace 需要,您可以使用组策略设置禁用此功能。

注意

如果您的组策略设置限制用户在其 WorkSpace 中的本地登录,则音频输入将无法在您的 WorkSpace 上工作。如果删除该组策略设置,则音频输入功能将在下次重新启动 WorkSpace 后启用。有关此组策略设置的更多信息,请参阅允许在本地登录Microsoft 文档中的。

要启用或禁用音频输入重定向

  1. 请确保您已安装了最新的用于 PCoIP 的 WorkSpaces 组策略管理模板(32 位)或者用于 PCoIP 的 WorkSpaces 组策略管理模板(64 位).

  2. 在目录管理 WorkSpace 或加入您的 WorkSpaces 目录的 Amazon EC2 实例上,打开组策略管理工具 (gpmc.msc) 并导航到PCoIP 会话变量.

    要允许用户覆盖您的设置,请选择 Overridable Administrator Defaults (可覆盖的管理员默认值);否则,请选择 Not Overridable Administrator Defaults (不可覆盖的管理员默认值)

  3. 打开启用/禁用PCoIP 会话中的音频设置设置。

  4. 启用/禁用PCoIP 会话中的音频对话框中,选择Enabled (已启用)或者Disabled.

  5. 选择 OK (确定)

  6. 组策略设置更改将在 WorkSpace 的下一次组策略更新后和重新启动 WorkSpace 会话后生效。要应用组策略更改,请执行下列操作之一:

    • 重启 WorkSpace 控制台中的 WorkSpace 控制台,选择 WorkSpace 中的 WorkSpaces WorkSpace操作重启 WorkSpaces)。

    • 在管理命令提示符下,输入gpupdate /force.

禁用 PCoIP 的时区重定向

默认情况下,WorkSpace 内的时间设置为镜像用于连接到 WorkSpace 的客户端的时区。此行为是通过时区重定向控制的。您可能需要关闭时区定向的原因有多种:

  • 您的公司希望所有员工在特定时区中工作(即使某些员工在其他时区)。

  • 您在 WorkSpace 中计划的任务要在特定时区内的特定时间运行。

  • 频繁出差的用户希望将其 WorkSpace 保持在一个时区中,以保持一致性和个人偏好。

如果 Windows WorkSpace 需要,您可以使用组策略设置禁用此功能。

禁用时区重定向

  1. 请确保您已安装了最新的用于 PCoIP 的 WorkSpaces 组策略管理模板(32 位)或者用于 PCoIP 的 WorkSpaces 组策略管理模板(64 位).

  2. 在目录管理 WorkSpace 或加入您的 WorkSpaces 目录的 Amazon EC2 实例上,打开组策略管理工具 (gpmc.msc) 并导航到PCoIP 会话变量.

    要允许用户覆盖您的设置,请选择 Overridable Administrator Defaults (可覆盖的管理员默认值);否则,请选择 Not Overridable Administrator Defaults (不可覆盖的管理员默认值)

  3. 打开配置时区重定向设置设置。

  4. 配置时区重定向对话框中,选择Disabled.

  5. 选择 OK (确定)

  6. 组策略设置更改将在 WorkSpace 的下一次组策略更新后和重新启动 WorkSpace 会话后生效。要应用组策略更改,请执行下列操作之一:

    • 重启 WorkSpace 控制台中的 WorkSpace 控制台,选择 WorkSpace 中的 WorkSpaces WorkSpace操作重启 WorkSpaces)。

    • 在管理命令提示符下,输入gpupdate /force.

  7. 将 WorkSpace 的时区设置为所需的时区。

WorkSpace 的时区现在是静态的,不再镜像客户端计算机的时区。

配置 PCoIP 安全设置

对于 PCoIP,传输中的数据使用 TLS 1.2 加密和 SigV4 请求签名进行加密。PCoIP 协议使用加密的 UDP 流量和 AES 加密来传输像素。使用端口 4172(TCP 和 UDP)的流连接使用 AES-128 和 AES-256 密码进行加密,但加密默认为 128 位。您可以将此默认值更改为 256 位,方法是使用配置 PCoIP 安全设置组策略设置。

您还可以使用此组策略设置修改 TLS 安全模式并阻止某些密码套件。有关这些设置和受支持的密码套件的详细说明,请参阅配置 PCoIP 安全设置组策略对话框。

配置 PCoIP 安全设置

  1. 请确保您已安装了最新的用于 PCoIP 的 WorkSpaces 组策略管理模板(32 位)或者用于 PCoIP 的 WorkSpaces 组策略管理模板(64 位).

  2. 在目录管理 WorkSpace 或加入您的 WorkSpaces 目录的 Amazon EC2 实例上,打开组策略管理工具 (gpmc.msc) 并导航到PCoIP 会话变量.

    要允许用户覆盖您的设置,请选择 Overridable Administrator Defaults (可覆盖的管理员默认值);否则,请选择 Not Overridable Administrator Defaults (不可覆盖的管理员默认值)

  3. 打开配置 PCoIP 安全设置设置设置。

  4. 配置 PCoIP 安全设置对话框中,选择Enabled (已启用). 要将流式传输流量的默认加密设置为 256 位,请转到PCoIP 数据加密密码选项,然后选择仅限于 AES-256-GCM.

  5. (可选)调整TLS 安全模式设置,然后列出要阻止的任何密码套件。有关这些设置的更多信息,请参阅配置 PCoIP 安全设置对话框。

  6. 选择 OK (确定)

  7. 组策略设置更改将在 WorkSpace 的下一次组策略更新后和重新启动 WorkSpace 会话后生效。要应用组策略更改,请执行下列操作之一:

    • 重启 WorkSpace 控制台中的 WorkSpace 控制台,选择 WorkSpace 中的 WorkSpaces WorkSpace操作重启 WorkSpaces)。

    • 在管理命令提示符下,输入gpupdate /force.

启用 USB 重定向的 YubiKey U2F

注意

Amazon WorkSpaces 目前仅支持用于 YubiKey U2F 的 USB 重定向。其他类型的 USB 设备可能会被重定向,但它们不受支持,可能无法正常工作。

启用 USB 重定向的 YubiKey U2F

  1. 请确保您已安装了最新的用于 PCoIP 的 WorkSpaces 组策略管理模板(32 位)或者用于 PCoIP 的 WorkSpaces 组策略管理模板(64 位).

  2. 在目录管理 WorkSpace 或加入您的 WorkSpaces 目录的 Amazon EC2 实例上,打开组策略管理工具 (gpmc.msc) 并导航到PCoIP 会话变量.

  3. 要允许用户覆盖您的设置,请选择可覆盖的管理员默认值. 否则,请选择不可覆盖的管理员默认值.

  4. 打开在PCOIP 会议中启用/禁用USB设置设置。

  5. 选择Enabled (已启用),然后选择确定.

  6. 打开配置 PCoIP USB 允许和不允许的设备规则设置设置。

  7. 选择Enabled (已启用), 在下输入 USB 授权表(最多十条规则)中,配置 USB 设备允许列表规则。

    1. 授权规则- 此值是供应商 ID (VID) 和产品 ID (PID) 的组合。VID/PID 组合的格式为 1xxxxyyyy,其中 xxxx 是十六进制格式的 VID,yyy 是十六进制格式的 PID。在此示例中,1050 是 VID,0407 是 PID。有关更多 YubiKey USB 值,请参阅YubiKey USB ID 值.

  8. 在下输入 USB 授权表(最多十条规则)中,配置 USB 设备阻止列表规则。

    1. 适用于未授权规则,设置一个空字符串。这意味着只允许授权列表中的 USB 设备。

    注意

    最多可以定义 10 个 USB 授权规则和最多 10 个 USB 未授权规则。使用垂直条 (|) 字符分隔多个规则。有关授权/未授权规则的详细信息,请参阅适用于 Windows 的特拉迪基 PCoIP 标准代理.

  9. 选择 OK (确定)

  10. 组策略设置更改将在 WorkSpace 的下一次组策略更新后和重新启动 WorkSpace 会话后生效。要应用组策略更改,请执行下列操作之一:

    • 重启 WorkSpace 控制台中的 WorkSpace 控制台,选择 WorkSpace 中的 WorkSpaces WorkSpace操作重启 WorkSpaces)。

    • 在管理命令提示符下,输入gpupdate /force.

设置生效后,所有受支持的 USB 设备都可以重定向到 WorkSpaces,除非通过 USB 设备规则设置配置了限制。

安装 WorkSpaces 流协议 (WSP) 的组策略管理模板文件

要使用 WorkSpaces 流式处理协议 (WSP) 时特定于 WorkSpaces 的组策略设置,您必须添加组策略管理模板wsp.admxwsp.adml文件到您的 WorkSpaces 目录的域控制器的中央存储区。有关 的更多信息.admx.adml文件,请参阅如何在 Windows 中创建和管理组策略管理模板的中心存储.

以下过程介绍如何创建中央存储并将管理模板文件添加到它。在目录管理 WorkSpace 或加入您的 WorkSpaces 目录的 Amazon EC2 实例上执行以下步骤。

要安装 WSP 的组策略管理模板文件

  1. 在运行的 Windows WorkSpace 中,复制wsp.admxwsp.adml文件中的C:\Program Files\Amazon\WSP目录。

  2. 在目录管理 WorkSpace 或加入您的 WorkSpaces 目录的 Amazon EC2 实例上,打开 Windows 文件资源管理器,然后在地址栏中输入您的 WorkSpaces 目录的完全限定域名 (FQDN),如\\example.com.

  3. 打开 sysvol 文件夹。

  4. 打开文件夹FQDN名称。

  5. 打开 Policies 文件夹。您现在应该在\\FQDN\sysvol\FQDN\Policies.

  6. 如果它尚不存在,请创建一个名为PolicyDefinitions.

  7. 打开 PolicyDefinitions 文件夹。

  8. 复制wsp.admx文件添加到\\FQDN\sysvol\FQDN\Policies\PolicyDefinitionsfolder。

  9. 创建一个名为en-US中的PolicyDefinitionsfolder。

  10. 打开 en-US 文件夹。

  11. 复制wsp.adml文件添加到\\FQDN\sysvol\FQDN\Policies\PolicyDefinitions\en-USfolder。

验证管理模板文件是否已正确安装

  1. 在目录管理 WorkSpace 或加入您的 WorkSpaces 目录的 Amazon EC2 实例上,打开组策略管理工具 (gpmc.msc)。

  2. 展开林(林:FQDN)。

  3. Expand.

  4. 扩展您的 FQDN(例如example.com)。

  5. Expand组策略对象.

  6. Select默认域策略,打开上下文 (右键单击) 菜单,然后选择编辑.

    注意

    如果支持工作空间的域是Amazon Managed Microsoft AD目录中,则无法使用默认域策略创建 GPO。相反,您必须在具有委派权限的域容器下创建并链接 GPO。

    当您使用Amazon Managed Microsoft AD、Amazon Directory Service创建一个您的域名称组织单位 (OU) 下。此 OU 的名称基于您在创建目录时键入的 NetBIOS 名称。如果您未指定 NetBIOS 名称,则此名称将默认为您的目录 DNS 名称的第一个部分(例如,在corp.example.com,则 NetBIOS 名称为corp)。

    要创建 GPO,而不是选择默认域策略中,选择域名OU(或该 OU 下的任何 OU),打开上下文菜单 (右键单击),然后选择在此域中创建 GPO,并将其链接到此处.

    有关的更多信息域名OU,请参阅创建的内容中的Amazon Directory Service管理指南.

  7. 在组策略管理编辑器中,选择Computer 配置策略管理 TemplatesAmazon, 和WSP.

  8. 现在,您可以使用此WSP组策略对象,用于修改特定于 WorkSpaces 时使用 WSP 时的组策略设置。

配置 WSP 的打印机支持

默认情况下,WorkSpaces 启用基本远程打印,它提供有限的打印功能,因为它在主机端使用通用打印机驱动程序以确保兼容打印。

Windows 客户端的高级远程打印(WSP 不可用)让您可以使用打印机的特定功能(如双面打印),但需要在主机端安装匹配的打印机驱动程序。

远程打印实施为虚拟通道。如果虚拟通道被禁用,远程打印无法正常工作。

对于 Windows WorkSpace,您可以根据需要使用组策略设置来配置打印机支持。

配置打印机支持

  1. 确保最近的WSP 的 WorkSpaces 组策略管理模板安装在您的 WorkSpaces 目录的域控制器的中央存储区中。

  2. 在目录管理 WorkSpace 或加入您的 WorkSpaces 目录的 Amazon EC2 实例上,打开组策略管理工具 (gpmc.msc)。

  3. 展开林(林:FQDN)。

  4. Expand.

  5. 扩展您的 FQDN(例如example.com)。

  6. Expand组策略对象.

  7. Select默认域策略,打开上下文 (右键单击) 菜单,然后选择编辑.

    注意

    如果支持工作空间的域是Amazon Managed Microsoft AD目录中,则无法使用默认域策略创建 GPO。相反,选择域名OU(或该 OU 下的任何 OU),打开上下文菜单 (右键单击),然后选择在此域中创建 GPO,并将其链接到此处. 有关的更多信息域名OU,请参阅创建的内容中的Amazon Directory Service管理指南.

  8. 在组策略管理编辑器中,选择Computer 配置策略管理 TemplatesAmazon, 和WSP.

  9. 打开配置远程打印设置。

  10. Configure remote printing (配置远程打印) 对话框中,执行下列操作之一:

    • 要启用本地打印机重定向,请选择Enabled (已启用),然后用于打印选项中,选择基本. 要自动使用客户端计算机的当前默认打印机,选择将本地默认打印机映射到远程主机.

    • 要禁用打印,请选择Disabled.

  11. 选择 OK (确定)

  12. 组策略设置更改将在 WorkSpace 的下一次组策略更新后和重新启动 WorkSpace 会话后生效。要应用组策略更改,请执行下列操作之一:

    • 重启 WorkSpace 控制台中的 WorkSpace 控制台,选择 WorkSpace 中的 WorkSpaces WorkSpace操作重启 WorkSpaces)。

    • 在管理命令提示符下,输入gpupdate /force.

为 WSP 启用或禁用剪贴板重定向

默认情况下,WorkSpaces 支持双向(复制/粘贴)剪贴板重定向。如果 Windows WorkSpace 需要,您可以使用组策略设置禁用此功能。

为 Windows WorkSpace 启用或禁用剪贴板重定向

  1. 确保最近的WSP 的 WorkSpaces 组策略管理模板安装在您的 WorkSpaces 目录的域控制器的中央存储区中。

  2. 在目录管理 WorkSpace 或加入您的 WorkSpaces 目录的 Amazon EC2 实例上,打开组策略管理工具 (gpmc.msc)。

  3. 展开林(林:FQDN)。

  4. Expand.

  5. 扩展您的 FQDN(例如example.com)。

  6. Expand组策略对象.

  7. Select默认域策略,打开上下文 (右键单击) 菜单,然后选择编辑.

    注意

    如果支持工作空间的域是Amazon Managed Microsoft AD目录中,则无法使用默认域策略创建 GPO。相反,选择域名OU(或该 OU 下的任何 OU),打开上下文菜单 (右键单击),然后选择在此域中创建 GPO,并将其链接到此处. 有关的更多信息域名OU,请参阅创建的内容中的Amazon Directory Service管理指南.

  8. 在组策略管理编辑器中,选择Computer 配置策略管理 TemplatesAmazon, 和WSP.

  9. 打开启用/禁用剪贴板重定向设置设置。

  10. 启用/禁用剪贴板重定向对话框中,选择Enabled (已启用)或者Disabled.

  11. 选择 OK (确定)

  12. 组策略设置更改将在 WorkSpace 的下一次组策略更新后和重新启动 WorkSpace 会话后生效。要应用组策略更改,请执行下列操作之一:

    • 重启 WorkSpace 控制台中的 WorkSpace 控制台,选择 WorkSpace 中的 WorkSpaces WorkSpace操作重启 WorkSpaces)。

    • 在管理命令提示符下,输入gpupdate /force.

已知限制条件

在 WorkSpace 上启用剪贴板重定向后,如果您从 Microsoft Office 应用程序复制大于 890 KB 的内容,应用程序可能会变慢或长达 5 秒钟无响应。

设置 WSP 的会话恢复超时

在使用 WorkSpaces 客户端应用程序时,网络连接中断会导致活动会话断开连接。这可能会因如下事件导致:合上笔记本电脑的盖子,或无线网连接丢失。如果网络连接在一定时间内恢复,用于 Windows 和 macOS 的 WorkSpaces 客户端应用程序会自动重新连接会话。默认的会话恢复超时为 20 分钟 (1200 秒),但您可以为由您的域的组策略设置控制的 WorkSpaces 修改此值。

要设置自动会话恢复超时值

  1. 确保最近的WSP 的 WorkSpaces 组策略管理模板安装在您的 WorkSpaces 目录的域控制器的中央存储区中。

  2. 在目录管理 WorkSpace 或加入您的 WorkSpaces 目录的 Amazon EC2 实例上,打开组策略管理工具 (gpmc.msc)。

  3. 展开林(林:FQDN)。

  4. Expand.

  5. 扩展您的 FQDN(例如example.com)。

  6. Expand组策略对象.

  7. Select默认域策略,打开上下文 (右键单击) 菜单,然后选择编辑.

    注意

    如果支持工作空间的域是Amazon Managed Microsoft AD目录中,则无法使用默认域策略创建 GPO。相反,选择域名OU(或该 OU 下的任何 OU),打开上下文菜单 (右键单击),然后选择在此域中创建 GPO,并将其链接到此处. 有关的更多信息域名OU,请参阅创建的内容中的Amazon Directory Service管理指南.

  8. 在组策略管理编辑器中,选择Computer 配置策略管理 TemplatesAmazon, 和WSP.

  9. 打开启用/禁用自动重新连接设置设置。

  10. 启用/禁用自动重新连接对话框中,选择Enabled (已启用),然后设置重新连接超时(秒)设置为所需的超时(以秒为单位)。

  11. 选择 OK (确定)

  12. 组策略设置更改将在 WorkSpace 的下一次组策略更新后和重新启动 WorkSpace 会话后生效。要应用组策略更改,请执行下列操作之一:

    • 重启 WorkSpace 控制台中的 WorkSpace 控制台,选择 WorkSpace 中的 WorkSpaces WorkSpace操作重启 WorkSpaces)。

    • 在管理命令提示符下,输入gpupdate /force.

启用或禁用 WSP 的视频输入重定向

默认情况下,WorkSpaces 支持从本地摄像机重定向数据。如果 Windows WorkSpace 需要,您可以使用组策略设置禁用此功能。

为 Windows WorkSpaces 启用或禁用视频重定向

  1. 确保最近的WSP 的 WorkSpaces 组策略管理模板安装在您的 WorkSpaces 目录的域控制器的中央存储区中。

  2. 在目录管理 WorkSpace 或加入您的 WorkSpaces 目录的 Amazon EC2 实例上,打开组策略管理工具 (gpmc.msc)。

  3. 展开林(林:FQDN)。

  4. Expand.

  5. 扩展您的 FQDN(例如example.com)。

  6. Expand组策略对象.

  7. Select默认域策略,打开上下文 (右键单击) 菜单,然后选择编辑.

    注意

    如果支持工作空间的域是Amazon Managed Microsoft AD目录中,则无法使用默认域策略创建 GPO。相反,选择域名OU(或该 OU 下的任何 OU),打开上下文菜单 (右键单击),然后选择在此域中创建 GPO,并将其链接到此处. 有关的更多信息域名OU,请参阅创建的内容中的Amazon Directory Service管理指南.

  8. 在组策略管理编辑器中,选择Computer 配置策略管理 TemplatesAmazon, 和WSP.

  9. 打开启用/禁用视频输入重定向设置设置。

  10. 启用/禁用视频输入重定向对话框中,选择Enabled (已启用)或者Disabled.

  11. 选择 OK (确定)

  12. 组策略设置更改将在 WorkSpace 的下一次组策略更新后和重新启动 WorkSpace 会话后生效。要应用组策略更改,请执行下列操作之一:

    • 重启 WorkSpace 控制台中的 WorkSpace 控制台,选择 WorkSpace 中的 WorkSpaces WorkSpace操作重启 WorkSpaces)。

    • 在管理命令提示符下,输入gpupdate /force.

启用或禁用 WSP 的音频输入重定向

默认情况下,WorkSpaces 支持从本地麦克风重定向数据。如果 Windows WorkSpace 需要,您可以使用组策略设置禁用此功能。

为 Windows WorkSpaces 启用或禁用音频输入重定向

  1. 确保最近的WSP 的 WorkSpaces 组策略管理模板安装在您的 WorkSpaces 目录的域控制器的中央存储区中。

  2. 在目录管理 WorkSpace 或加入您的 WorkSpaces 目录的 Amazon EC2 实例上,打开组策略管理工具 (gpmc.msc)。

  3. 展开林(林:FQDN)。

  4. Expand.

  5. 扩展您的 FQDN(例如example.com)。

  6. Expand组策略对象.

  7. Select默认域策略,打开上下文 (右键单击) 菜单,然后选择编辑.

    注意

    如果支持工作空间的域是Amazon Managed Microsoft AD目录中,则无法使用默认域策略创建 GPO。相反,选择域名OU(或该 OU 下的任何 OU),打开上下文菜单 (右键单击),然后选择在此域中创建 GPO,并将其链接到此处. 有关的更多信息域名OU,请参阅创建的内容中的Amazon Directory Service管理指南.

  8. 在组策略管理编辑器中,选择Computer 配置策略管理 TemplatesAmazon, 和WSP.

  9. 打开启用/禁用音频输入重定向设置设置。

  10. 启用/禁用音频输入重定向对话框中,选择Enabled (已启用)或者Disabled.

  11. 选择 OK (确定)

  12. 组策略设置更改将在 WorkSpace 的下一次组策略更新后和重新启动 WorkSpace 会话后生效。要应用组策略更改,请执行下列操作之一:

    • 重启 WorkSpace 控制台中的 WorkSpace 控制台,选择 WorkSpace 中的 WorkSpaces WorkSpace操作重启 WorkSpaces)。

    • 在管理命令提示符下,输入gpupdate /force.

禁用 WSP 的时区重定向

默认情况下,WorkSpace 内的时间设置为镜像用于连接到 WorkSpace 的客户端的时区。此行为是通过时区重定向控制的。您可能需要关闭时区定向的原因有多种:

  • 您的公司希望所有员工在特定时区中工作(即使某些员工在其他时区)。

  • 您在 WorkSpace 中计划的任务要在特定时区内的特定时间运行。

  • 频繁出差的用户希望将其 WorkSpace 保持在一个时区中,以保持一致性和个人偏好。

如果 Windows WorkSpace 需要,您可以使用组策略设置禁用此功能。

禁用 Windows WorkSpaces 的时区重定向

  1. 确保最近的WSP 的 WorkSpaces 组策略管理模板安装在您的 WorkSpaces 目录的域控制器的中央存储区中。

  2. 在目录管理 WorkSpace 或加入您的 WorkSpaces 目录的 Amazon EC2 实例上,打开组策略管理工具 (gpmc.msc)。

  3. 展开林(林:FQDN)。

  4. Expand.

  5. 扩展您的 FQDN(例如example.com)。

  6. Expand组策略对象.

  7. Select默认域策略,打开上下文 (右键单击) 菜单,然后选择编辑.

    注意

    如果支持工作空间的域是Amazon Managed Microsoft AD目录中,则无法使用默认域策略创建 GPO。相反,选择域名OU(或该 OU 下的任何 OU),打开上下文菜单 (右键单击),然后选择在此域中创建 GPO,并将其链接到此处. 有关的更多信息域名OU,请参阅创建的内容中的Amazon Directory Service管理指南.

  8. 在组策略管理编辑器中,选择Computer 配置策略管理 TemplatesAmazon, 和WSP.

  9. 打开启用/禁用时区重定向设置设置。

  10. 启用/禁用时区重定向对话框中,选择Disabled.

  11. 选择 OK (确定)

  12. 组策略设置更改将在 WorkSpace 的下一次组策略更新后和重新启动 WorkSpace 会话后生效。要应用组策略更改,请执行下列操作之一:

    • 重启 WorkSpace 控制台中的 WorkSpace 控制台,选择 WorkSpace 中的 WorkSpaces WorkSpace操作重启 WorkSpaces)。

    • 在管理命令提示符下,输入gpupdate /force.

  13. 将 WorkSpace 的时区设置为所需的时区。

WorkSpace 的时区现在是静态的,不再镜像客户端计算机的时区。

为 WSP 启用或禁用智能卡重定向

默认情况下,Amazon WorkSpaces 未启用,以支持使用智能卡会话前身份验证或者会话中身份验证. 会话前身份验证是指在用户登录其 WorkSpaces 时执行的智能卡身份验证。会话内身份验证是指登录后执行的身份验证。

如果需要,可以使用组策略设置为 Windows WorkSpace 启用会话前身份验证和会话中身份验证。还必须通过 AD Connector 目录设置启用会话前身份验证,方法是使用EnableClientAuthenticationAPI 操作或enable-client-authentication Amazon CLI命令。有关更多信息,请参阅 。启用 AD Connector 的智能卡身份验证中的Amazon Directory Service管理指南.

注意

若要在 Windows WorkSpaces 中使用智能卡,需要执行其他步骤。有关更多信息,请参阅使用智能卡进行身份验证

为 Windows WorkSpaces 启用或禁用智能卡重定向

  1. 确保最近的WSP 的 WorkSpaces 组策略管理模板安装在您的 WorkSpaces 目录的域控制器的中央存储区中。

  2. 在目录管理 WorkSpace 或加入您的 WorkSpaces 目录的 Amazon EC2 实例上,打开组策略管理工具 (gpmc.msc)。

  3. 展开林(林:FQDN)。

  4. Expand.

  5. 扩展您的 FQDN(例如example.com)。

  6. Expand组策略对象.

  7. Select默认域策略,打开上下文 (右键单击) 菜单,然后选择编辑.

    注意

    如果支持工作空间的域是Amazon Managed Microsoft AD目录中,则无法使用默认域策略创建 GPO。相反,选择域名OU(或该 OU 下的任何 OU),打开上下文菜单 (右键单击),然后选择在此域中创建 GPO,并将其链接到此处. 有关的更多信息域名OU,请参阅创建的内容中的Amazon Directory Service管理指南.

  8. 在组策略管理编辑器中,选择Computer 配置策略管理 TemplatesAmazon, 和WSP.

  9. 打开启用/禁用智能卡重定向设置设置。

  10. 启用/禁用智能卡重定向对话框中,选择Enabled (已启用)或者Disabled.

  11. 选择 OK (确定)

  12. 组策略设置的更改会在 WorkSpace 会话重启后生效。要应用组策略更改,请重启 WorkSpaces 控制台(在 Amazon WorkSpace Spaces 控制台中,选择 WorkSpaces,然后选择 WorkSpaces (操作重启 WorkSpaces)。

为 WSP 启用或禁用屏幕锁定断开连接会话

如果需要,您可以在检测到 Windows 锁定屏幕时断开用户的 WorkSpaces 会话。要从 WorkSpaces 客户端重新连接,用户可以使用其密码或智能卡对自己进行身份验证,具体取决于为其 WorkSpaces 启用了哪种身份验证类型。

默认情况下,此组策略设置处于禁用状态。如果需要,您可以使用组策略设置在检测到 Windows WorkSpaces 的 Windows 锁定屏幕时启用断开会话连接。

注意
  • 此组策略设置仅适用于AmazonGovCloud(美国西部)地区。

  • 此组策略设置同时适用于通过密码身份验证的会话和智能卡身份验证的会话。

  • 若要在 Windows WorkSpaces 中使用智能卡,需要执行其他步骤。有关更多信息,请参阅使用智能卡进行身份验证

为 Windows WorkSpaces 启用或禁用屏幕锁定向上的断开连接会话

  1. 确保最近的WSP 的 WorkSpaces 组策略管理模板安装在您的 WorkSpaces 目录的域控制器的中央存储区中。

  2. 在目录管理 WorkSpace 或加入您的 WorkSpaces 目录的 Amazon EC2 实例上,打开组策略管理工具 (gpmc.msc)。

  3. 展开林(林:FQDN)。

  4. Expand.

  5. 扩展您的 FQDN(例如example.com)。

  6. Expand组策略对象.

  7. Select默认域策略,打开上下文 (右键单击) 菜单,然后选择编辑.

    注意

    如果支持工作空间的域是Amazon Managed Microsoft AD目录中,则无法使用默认域策略创建 GPO。相反,选择域名OU(或该 OU 下的任何 OU),打开上下文菜单 (右键单击),然后选择在此域中创建 GPO,并将其链接到此处. 有关的更多信息域名OU,请参阅创建的内容中的Amazon Directory Service管理指南.

  8. 在组策略管理编辑器中,选择Computer 配置策略管理 TemplatesAmazon, 和WSP.

  9. 打开启用/禁用屏幕锁定上的断开会话设置设置。

  10. 启用/禁用屏幕锁定上的断开会话对话框中,选择Enabled (已启用)或者Disabled.

  11. 选择 OK (确定)

  12. 组策略设置更改将在 WorkSpace 的下一次组策略更新后和重新启动 WorkSpace 会话后生效。要应用组策略更改,请执行下列操作之一:

    • 重启 WorkSpace 控制台中的 WorkSpace 控制台,选择 WorkSpace 中的 WorkSpaces WorkSpace操作重启 WorkSpaces)。

    • 在管理命令提示符下,输入gpupdate /force.

设置 Kerberos 票的最长生命周期

如果您尚未禁用请记住我功能,则 WorkSpaces 用户可以使用请记住我或者让我保持登录复选框以保 WorkSpaces 其凭据。此功能允许用户在客户端应用程序保持运行时轻松连接到他们的 WorkSpaces。他们的凭证安全地缓存到 Kerberos 票证中,时间可达其最长使用期限。

如果您的 WorkSpace 使用 AD Connector 目录,则可以按照 Microsoft Windows 文档中用户票证的最长使用期限中的步骤,通过组策略来修改 WorkSpaces 用户的 Kerberos 票证的最长使用期限。

要启用或禁用 Remember Me 功能,请参阅 为您的用户启用自助服务 WorkSpace 管理功能

配置互联网访问的设备代理服务器设置

默认情况下,WorkSpaces Windows 客户端应用程序使用在 HTTPS(端口 443)通信的设备操作系统设置中指定的代理服务器。Amazon WorkSpaces 客户端应用程序使用 HTTPS 端口进行更新、注册和身份验证。

注意
  • 与 WorkSpace 的桌面流式处理连接需要启用端口 4172 和 4195,而且不能通过代理服务器。

  • 不支持要求使用用户名和密码进行身份验证的代理服务器。

您可以通过组策略为 Windows WorkSpaces 配置设备代理服务器设置,方法是按照配置设备代理和互联网连接设置Microsoft 文档中的。

有关在 WorkSpaces Windows 客户端应用程序中配置代理设置的更多信息,请参阅代理服务器中的Amazon WorkSpaces 用户指南.