管理 Windows WorkSpaces - 亚马逊 WorkSpaces
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

管理 Windows WorkSpaces

您可以使用组策略对象 (GPO) 应用设置来管理 Windows WorkSpaces 或属于 Windows WorkSpaces 目录的用户。

注意

Linux 实例不遵循组策略。有关管理 Amazon Linux WorkSpaces 的信息,请参阅管理你的亚马逊 Linux WorkSpaces.

我们建议您分别为 WorkSpace 计算机对象和 WorkSpace 用户对象创建一个组织单位。

要使用特定于 Amazon WorkSpaces 的组策略设置,您必须为您使用的协议(pCoIP 或 WorkSpaces Streaming Protocol (WSP) 安装组策略管理模板。

警告

组策略设置可以影响工作区用户的体验,如下所示:

  • 实施交互式登录消息以显示登录横幅的目的是阻止用户访问其 WorkSpace。WorkSpaces 目前不支持交互式登录消息的组策略设置。

  • 通过组策略设置禁用可移动存储会导致登录失败,从而导致用户登录到无权访问驱动器 D 的临时用户配置文件。

  • 通过组策略设置从远程桌面用户本地组中删除用户可防止这些用户进行身份验证通过 WorkSpaces 客户端应用程序。有关此组策略设置的更多信息,请参阅。允许通过远程桌面服务登录在 Microsoft 文档中。

  • 如果从中删除内置的用户组允许本地登录安全策略,你的 pCoIP WorkSpaces 用户将无法通过 WorkSpaces 客户端应用程序连接到他们的 WorkSpaces。你的 pCoIP WorkSpaces 也不会收到 PCoIP 代理软件的更新。pCoIP 代理更新可能包含安全性和其他修复程序,或者它们可能会为 WorkSpaces 启用新功能。有关使用此安全策略的更多信息,请参阅。允许本地登录在 Microsoft 文档中。

  • 组策略设置可用于限制驱动器访问。如果您将组策略设置配置为限制对驱动器 C 或驱动器 D 的访问,则用户无法访问其 WorkSpaces。要防止此问题发生,请确保您的用户可以访问驱动器 C 和驱动器 D。

  • WorkSpaces 音频输入功能需要在 WorkSpace 中访问本地登录权限 默认情况下,为 Windows WorkSpaces 启用音频输入功能。但是,如果您的组策略设置限制用户在 WorkSpaces 中的本地登录,音频输入将不适用于 WorkSpaces。如果删除该组策略设置,则在下次重新启动 WorkSpace 后,音频输入功能将启用。有关此组策略设置的更多信息,请参阅。允许本地登录在 Microsoft 文档中。

    有关启用或禁用音频输入重定向的更多信息,请参阅启用或禁用 pCoIP 的音频输入重定向要么启用或禁用 WSP 的音频输入重定向.

  • 使用组策略将 Windows 电源计划设置为均衡要么省电可能会导致 WorkSpaces 闲置时睡觉。我们强烈建议使用组策略将 Windows 电源计划设置为高性能. 有关更多信息,请参阅我的 Windows WorkSpace 空闲时进入睡眠状态

  • 某些组策略设置会在用户从会话断开连接时迫使其注销。用户在其 WorkSpaces 上打开的任何应用程序都会关闭。

  • WSP WorkSpaces 目前不支持 “为活动但空闲的远程桌面服务会话设置时间限制”。避免在 WSP 会话期间使用它,因为即使存在活动且会话不处于空闲状态,也会导致断开连接。

有关使用 Active Directory 管理工具处理 GPO 的信息,请参阅为 WorkSpace 设置 Active Directory 管理 WorkSpaces 具

为 pCoIP 安装组策略管理模板

要在使用 pCoIP 协议时使用特定于 Amazon WorkSpaces 的组策略设置,必须添加适合用于 WorkSpaces 的 PCoIP 代理版本(32 位或 64 位)的组策略管理模板。

注意

如果您混合使用 32 位和 64 位代理的 WorkSpaces,则可以对 32 位代理使用组策略管理模板,并且组策略设置将应用于 32 位和 64 位代理。当所有 WorkSpaces 都在使用 64 位代理时,您可以切换到使用 64 位代理的管理模板。

确定 WorkSpaces 是 32 位代理还是 64 位代理

  1. 登录到 WorkSpace,然后通过选择打开任务管理器查看发送 Ctrl + Alt + 删除或者右键单击任务栏然后选择任务管理器.

  2. 在任务管理器中,转到详细信息选项卡,右键单击列标题,然后选择。选择列.

  3. 选择列对话框中,选择平台,然后选择确定.

  4. 在存储库的详细信息选项卡,查找pcoip_agent.exe,然后在平台列来确定 pCoIP 代理程序是 32 位还是 64 位。(你可能会看到 32 位和 64 位 WorkSpaces 组件的混合;这是正常的。)

在将 pCoIP 协议与 32 位 pCoIP 代理结合使用时,要使用特定于 WorkSpaces 的组策略设置,您必须安装用于 pCoIP 的组策略管理模板。在目录管理 WorkSpace 或加入您的目录的 Amazon EC2 实例上执行以下步骤。

有关使用 .adm 文件的更多信息,请参阅。管理组策略管理模板 (.adm) 文件的建议在 Microsoft 文档中。

要安装 pCoIP 的组策略管理模板

  1. 在运行的 Windows WorkSpace 中,复制 C:\Program Files (x86)\Teradici\PCoIP Agent\configuration 目录中的 pcoip.adm 文件。

  2. 在目录管理 WorkSpace 或加入您的 WorkSpaces 目录的 Amazon EC2 实例上,打开组策略管理工具 (gpmc.msc)并导航到域中包含 WorkSpaces 计算机帐户的组织单位。

  3. 打开计算机账户组织单位对应的上下文 (右键单击) 菜单,然后选择在这个域中创建 GPO 并在此处链接...

  4. New GPO (新建 GPO) 对话框中,为 GPO 输入一个描述性名称(如 WorkSpaces Machine Policies),并将 Source Starter GPO (源 Starter GPO) 保留为 (无)。选择 OK(确定)。

  5. 打开新 GPO 的上下文(右键单击)菜单,然后选择 Edit (编辑)

  6. 在组策略管理编辑器中,依次选择计算机配置策略管理模板。从主菜单中依次选择操作添加/删除模板

  7. 添加/删除模板对话框中,单击添加,选择之前复制的 pcoip.adm 文件,然后依次选择打开关闭

  8. 关闭组策略管理编辑器。现在,您可以使用该 GPO 来修改特定于 WorkSpaces 的组策略设置。

验证管理模板文件是否已正确安装

  1. 在目录管理 WorkSpace 或加入您的 WorkSpaces 目录的 Amazon EC2 实例上,打开组策略管理工具 (gpmc.msc),导航到您的 WorkSpaces 计算机帐户的 WorkSpaces GPO 并选择它。在主菜单中依次选择操作编辑

  2. 在组策略管理编辑器中,依次选择 计算机配置策略管理模板经典管理模板PCoIP Session Variables

  3. 现在,您可以使用这个PCoIP 会话变量在使用 pCoIP 时,用于修改特定于 Amazon WorkSpaces 的组策略设置。

    注意

    要允许用户覆盖您的设置,请选择 Overridable Administrator Defaults (可覆盖的管理员默认值);否则,请选择 Not Overridable Administrator Defaults (不可覆盖的管理员默认值)

要在使用 pCoIP 协议时使用特定于 WorkSpaces 的组策略设置,您必须添加组策略管理模板。PCoIP.admxPCoIP.admlpCoIP 的文件转移到 WorkSpaces 目录的域控制器的中央存储中心。有关 的更多信息.admx.adml文件,请参阅如何在 Windows 中创建和管理组策略管理模板的中央存储.

以下过程介绍如何创建 Central Store 并向其添加管理模板文件。在目录管理 WorkSpace 或加入您的 WorkSpaces 目录的 Amazon EC2 实例上执行以下步骤。

要安装 PcoIP 的组策略管理模板文件

  1. 在运行的 Windows WorkSpace 中,复制PCoIP.admxPCoIP.adml中的文件C:\Program Files\Teradici\PCoIP Agent\configuration\policyDefinitions目录。这些区域有:PCoIP.adml文件位于en-US该目录的子文件夹。

  2. 在目录管理 WorkSpace 或加入您的 WorkSpaces 目录的 Amazon EC2 实例上,打开 Windows 文件资源管理器,然后在地址栏中输入组织的完全限定域名 (FQDN),如\\example.com.

  3. 打开 sysvol 文件夹。

  4. 使用打开文件夹FQDN名称。

  5. 打开 Policies 文件夹。现在,您应该进入\\FQDN\sysvol\FQDN\Policies.

  6. 如果它尚不存在,请创建名为PolicyDefinitions.

  7. 打开 PolicyDefinitions 文件夹。

  8. 将复制到PCoIP.admx文件进入\\FQDN\sysvol\FQDN\Policies\PolicyDefinitionsfolder。

  9. 创建名为的文件夹en-US中的PolicyDefinitionsfolder。

  10. 打开 en-US 文件夹。

  11. 将复制到PCoIP.adml文件进入\\FQDN\sysvol\FQDN\Policies\PolicyDefinitions\en-USfolder。

验证管理模板文件是否已正确安装

  1. 在目录管理 WorkSpace 或加入您的 WorkSpaces 目录的 Amazon EC2 实例上,打开组策略管理工具 (gpmc.msc)。

  2. 展开森林(林:FQDN)。

  3. Expand.

  4. 扩展你的 FQDN(例如,example.com)。

  5. Expand组策略对象.

  6. Select默认域策略,打开上下文 (右键单击) 菜单,然后选择。编辑.

    注意

    如果支持 WorkSpaces 的域是Amazon Managed Microsoft AD目录中,您不能使用默认域策略来创建 GPO。相反,您必须在具有委派权限的域容器下创建并链接 GPO。

    当你使用创建目录时Amazon Managed Microsoft AD、Amazon Directory Service创建你的域名在域根下,组织部门 (OU)。此 OU 的名称基于您在创建目录时键入的 NetBIOS 名称。如果您未指定 NetBIOS 名称,它将默认为您的目录 DNS 名称的第一个部分(例如,如果您的目录 DNS 名称的第一个部分)。corp.example.com,NetBIOS 的名字是corp)。

    要创建 GPO,而不是选择默认域策略*, 选择你的域名OU(或该组件下的任何 OU),请打开上下文菜单 (右键单击),然后选择在此域中创建 GPO,然后将其链接到此处.

    有关的更多信息你的域名OU, 请参见创建的内容中的Amazon Directory Service管理指南.

  7. 在组策略管理编辑器中,选择。计算机配置策略管理员模板, 和PCoIP 会话变量.

  8. 现在,您可以使用这个PCoIP 会话变量在组策略对象上,用于修改使用 pCoIP 时特定于 WorkSpaces 的组策略设置。

    注意

    要允许用户覆盖您的设置,请选择可覆盖的管理员默认值;否则,选择不可覆盖的管理员默认值.

为 pCoIP 配置打印机支持

默认情况下,WorkSpaces 启用基本远程打印,它提供有限的打印功能,因为它在主机端使用通用打印机驱动程序以确保兼容打印。

Windows 客户端的高级远程打印让您可以使用打印机的特定功能(如双面打印),但需要在主机端安装匹配的打印机驱动程序。

远程打印实施为虚拟通道。如果虚拟通道被禁用,远程打印无法正常工作。

对于 Windows WorkSpace,您可以根据需要使用组策略设置来配置打印机支持。

配置打印机支持

  1. 请确保您已安装了最新的pCoIP 的 WorkSpaces 组策略管理模板 (32 位)要么pCoIP 的 WorkSpaces 组策略管理模板(64 位).

  2. 在目录管理 WorkSpace 或加入您的 WorkSpaces 目录的 Amazon EC2 实例上,打开组策略管理工具 (gpmc.msc) 并导航到PCoIP 会话变量.

    要允许用户覆盖您的设置,请选择 Overridable Administrator Defaults (可覆盖的管理员默认值);否则,请选择 Not Overridable Administrator Defaults (不可覆盖的管理员默认值)

  3. 打开配置远程打印设置。

  4. Configure remote printing (配置远程打印) 对话框中,执行下列操作之一:

    • 要启用高级远程打印,请选择已启用,然后在选项Configure remote printing (配置远程打印) 下,选择 Basic and Advanced printing for Windows clients (适用于 Windows 客户端的基本和高级打印)。要自动使用客户端计算机的当前默认打印机,选择 Automatically set default printer (自动设置默认打印机)

    • 要禁用打印,请选择 Enabled (已启用),然后在 Options (选项)Configure remote printing (配置远程打印) 下选择 Printing disabled (已禁用打印)

  5. 选择 OK(确定)。

  6. 组策略设置更改将在 WorkSpace 的下一次组策略更新后和重新启动 WorkSpace 会话后生效。要应用组策略更改,请执行下列操作之一:

    • 重启 WorkSpace(在 Amazon WorkSpace 控制台中,选择 WorkSpace,然后选择 WorkSpace操作重启 WorkSpaces)。

    • 在管理命令提示符下,输入。gpupdate /force.

默认情况下,本地打印机自动重定向被禁用。您可以使用组策略设置启用此功能,以便每次连接到 WorkSpace 时都将本地打印机设置为默认打印机。

注意

本地打印机重定向不适用于 Amazon Linux WorkSpaces。

启用本地打印机自动重定向

  1. 请确保您已安装了最新的pCoIP 的 WorkSpaces 组策略管理模板 (32 位)要么pCoIP 的 WorkSpaces 组策略管理模板(64 位).

  2. 在目录管理 WorkSpace 或加入您的 WorkSpaces 目录的 Amazon EC2 实例上,打开组策略管理工具 (gpmc.msc) 并导航到PCoIP 会话变量.

    要允许用户覆盖您的设置,请选择 Overridable Administrator Defaults (可覆盖的管理员默认值);否则,请选择 Not Overridable Administrator Defaults (不可覆盖的管理员默认值)

  3. 打开配置远程打印设置。

  4. 选择Enabled (已启用),然后在选项配置远程打印,选择下列操作之一:

    • Windows 客户端的基本和高级打印

    • 基本打印

  5. Select自动设置默认打印机,然后选择确定.

  6. 组策略设置更改将在 WorkSpace 的下一次组策略更新后和重新启动 WorkSpace 会话后生效。要应用组策略更改,请执行下列操作之一:

    • 重启 WorkSpace(在 Amazon WorkSpace 控制台中,选择 WorkSpace,然后选择 WorkSpace操作重启 WorkSpaces)。

    • 在管理命令提示符下,输入。gpupdate /force.

为 pCoIP 启用或禁用剪贴板重定向

默认情况下,WorkSpaces 支持剪贴板重定向 如果 Windows WorkSpace 需要,您可以使用组策略设置禁用此功能。

要启用或禁用剪贴板重定向

  1. 请确保您已安装了最新的pCoIP 的 WorkSpaces 组策略管理模板 (32 位)要么pCoIP 的 WorkSpaces 组策略管理模板(64 位).

  2. 在目录管理 WorkSpace 或加入您的 WorkSpaces 目录的 Amazon EC2 实例上,打开组策略管理工具 (gpmc.msc) 并导航到PCoIP 会话变量.

    要允许用户覆盖您的设置,请选择 Overridable Administrator Defaults (可覆盖的管理员默认值);否则,请选择 Not Overridable Administrator Defaults (不可覆盖的管理员默认值)

  3. 打开 Configure clipboard redirection 设置。

  4. 配置剪贴板重定向对话框中,选择启用,然后选择以下设置之一以确定允许剪贴板重定向的方向。完成后,选择确定

    • 双向禁用

    • 仅从代理到客户端单向启用(WorkSpace 到本地计算机)

    • 仅从客户端到代理单向启用(本地计算机到 WorkSpace)

    • 双向启用

  5. 组策略设置更改将在 WorkSpace 的下一次组策略更新后和重新启动 WorkSpace 会话后生效。要应用组策略更改,请执行下列操作之一:

    • 重启 WorkSpace(在 Amazon WorkSpaces 控制台中,选择 WorkSpace,然后选择操作重启 WorkSpaces)。

    • 在管理命令提示符下,输入。gpupdate /force.

已知限制

在 WorkSpace 上启用剪贴板重定向后,如果您从 Microsoft Office 应用程序复制大于 890 KB 的内容,应用程序可能会变慢或长达 5 秒钟无响应。

为 pCoIP 设置会话恢复超时

在使用 WorkSpaces 客户端应用程序时,网络连接中断会导致活动会话断开连接。这可能会因如下事件导致:合上笔记本电脑的盖子,或无线网连接丢失。如果网络连接在一定时间内恢复,用于 Windows 和 macOS 的 WorkSpaces 客户端应用程序会自动重新连接会话。默认的会话恢复超时为 20 分钟,但您可以为由您的域的组策略设置所控制的 WorkSpace 修改此值。

要设置自动会话恢复超时值

  1. 请确保您已安装了最新的pCoIP 的 WorkSpaces 组策略管理模板 (32 位)要么pCoIP 的 WorkSpaces 组策略管理模板(64 位).

  2. 在目录管理 WorkSpace 或加入您的 WorkSpaces 目录的 Amazon EC2 实例上,打开组策略管理工具 (gpmc.msc) 并导航到PCoIP 会话变量.

    要允许用户覆盖您的设置,请选择 Overridable Administrator Defaults (可覆盖的管理员默认值);否则,请选择 Not Overridable Administrator Defaults (不可覆盖的管理员默认值)

  3. 打开 Configure Session Automatic Reconnection Policy 设置。

  4. Configure Session Automatic Reconnection Policy 对话框中,选择 Enabled,将 Configure Session Automatic Reconnection Policy 选项设置为所需的超时 (以分钟为单位),然后选择 OK

  5. 组策略设置更改将在 WorkSpace 的下一次组策略更新后和重新启动 WorkSpace 会话后生效。要应用组策略更改,请执行下列操作之一:

    • 重启 WorkSpace(在 Amazon WorkSpace 控制台中,选择 WorkSpace,然后选择 WorkSpace操作重启 WorkSpaces)。

    • 在管理命令提示符下,输入。gpupdate /force.

启用或禁用 pCoIP 的音频输入重定向

默认情况下,Amazon WorkSpaces 支持从本地麦克风重定向数据。如果 Windows WorkSpace 需要,您可以使用组策略设置禁用此功能。

注意

如果您的组策略设置限制用户在 WorkSpaces 中的本地登录,音频输入将不适用于 WorkSpaces。如果删除该组策略设置,则在下次重新启动 WorkSpace 后,音频输入功能将启用。有关此组策略设置的更多信息,请参阅。允许在本地登录在 Microsoft 文档中。

要启用或禁用音频输入重定向

  1. 请确保您已安装了最新的pCoIP 的 WorkSpaces 组策略管理模板 (32 位)要么pCoIP 的 WorkSpaces 组策略管理模板(64 位).

  2. 在目录管理 WorkSpace 或加入您的 WorkSpaces 目录的 Amazon EC2 实例上,打开组策略管理工具 (gpmc.msc) 并导航到PCoIP 会话变量.

    要允许用户覆盖您的设置,请选择 Overridable Administrator Defaults (可覆盖的管理员默认值);否则,请选择 Not Overridable Administrator Defaults (不可覆盖的管理员默认值)

  3. 打开在 pCoIP 会话中启用/禁用音频设置。

  4. 在 pCoIP 会话中启用/禁用音频对话框中,选择Enabled (已启用)要么Disabled.

  5. 选择 OK(确定)。

  6. 组策略设置更改将在 WorkSpace 的下一次组策略更新后和重新启动 WorkSpace 会话后生效。要应用组策略更改,请执行下列操作之一:

    • 重启 WorkSpace(在 Amazon WorkSpace 控制台中,选择 WorkSpace,然后选择 WorkSpace操作重启 WorkSpaces)。

    • 在管理命令提示符下,输入。gpupdate /force.

禁用时区重定向

默认情况下,WorkSpace 内的时间设置为镜像用于连接到 WorkSpace 的客户端的时区。此行为是通过时区重定向控制的。您可能需要关闭时区定向的原因有多种:

  • 您的公司希望所有员工在特定时区中工作(即使某些员工在其他时区)。

  • 您在 WorkSpace 中计划的任务要在特定时区内的特定时间运行。

  • 频繁出差的用户希望将其 WorkSpace 保持在一个时区中,以保持一致性和个人偏好。

如果 Windows WorkSpace 需要,您可以使用组策略设置禁用此功能。

禁用时区重定向

  1. 请确保您已安装了最新的pCoIP 的 WorkSpaces 组策略管理模板 (32 位)要么pCoIP 的 WorkSpaces 组策略管理模板(64 位).

  2. 在目录管理 WorkSpace 或加入您的 WorkSpaces 目录的 Amazon EC2 实例上,打开组策略管理工具 (gpmc.msc) 并导航到PCoIP 会话变量.

    要允许用户覆盖您的设置,请选择 Overridable Administrator Defaults (可覆盖的管理员默认值);否则,请选择 Not Overridable Administrator Defaults (不可覆盖的管理员默认值)

  3. 打开配置时区重定向设置。

  4. 配置时区重定向对话框中,选择Disabled.

  5. 选择 OK(确定)。

  6. 组策略设置更改将在 WorkSpace 的下一次组策略更新后和重新启动 WorkSpace 会话后生效。要应用组策略更改,请执行下列操作之一:

    • 重启 WorkSpace(在 Amazon WorkSpace 控制台中,选择 WorkSpace,然后选择 WorkSpace操作重启 WorkSpaces)。

    • 在管理命令提示符下,输入。gpupdate /force.

  7. 将 WorkSpace 的时区设置为所需的时区。

WorkSpace 的时区现在是静态的,不再镜像客户端计算机的时区。

配置 PCoIP 安全设置

对于 PCoIP,传输中的数据使用 TLS 1.2 加密和 SigV4 请求签名进行加密。PCoIP 协议使用加密的 UDP 流量和 AES 加密来传输像素。使用端口 4172(TCP 和 UDP)的流连接使用 AES-128 和 AES-256 密码进行加密,但加密默认为 128 位。您可以通过使用配置 PCoIP 安全设置组策略设置。

您还可以使用此组策略设置修改 TLS 安全模式并阻止某些密码套件。有关这些设置和支持的密码套件的详细说明,请参阅配置 PCoIP 安全设置组策略对话框。

配置 PCoIP 安全设置

  1. 请确保您已安装了最新的pCoIP 的 WorkSpaces 组策略管理模板 (32 位)要么pCoIP 的 WorkSpaces 组策略管理模板(64 位).

  2. 在目录管理 WorkSpace 或加入您的 WorkSpaces 目录的 Amazon EC2 实例上,打开组策略管理工具 (gpmc.msc) 并导航到PCoIP 会话变量.

    要允许用户覆盖您的设置,请选择 Overridable Administrator Defaults (可覆盖的管理员默认值);否则,请选择 Not Overridable Administrator Defaults (不可覆盖的管理员默认值)

  3. 打开配置 PCoIP 安全设置设置。

  4. 配置 PCoIP 安全设置对话框中,选择Enabled (已启用). 要将流媒体流量的默认加密设置为 256 位,请转到pCoIP 数据加密密码选项,然后选择仅限 AES-256-GCM.

  5. (可选)调整TLS 安全模式设置,然后列出要阻止的所有密码套件。有关这些设置的更多信息,请参阅配置 PCoIP 安全设置对话框。

  6. 选择 OK(确定)。

  7. 组策略设置更改将在 WorkSpace 的下一次组策略更新后和重新启动 WorkSpace 会话后生效。要应用组策略更改,请执行下列操作之一:

    • 重启 WorkSpace(在 Amazon WorkSpace 控制台中,选择 WorkSpace,然后选择 WorkSpace操作重启 WorkSpaces)。

    • 在管理命令提示符下,输入。gpupdate /force.

为 YubiKey U2F 启用 USB 重定向

注意

Amazon WorkSpaces 目前仅支持 YubiKey U2F 的 USB 重定向。其他类型的 USB 设备可能会被重定向,但它们不受支持,可能无法正常工作。

为 YubiKey U2F 启用 USB 重定向

  1. 请确保您已安装了最新的pCoIP 的 WorkSpaces 组策略管理模板 (32 位)要么pCoIP 的 WorkSpaces 组策略管理模板(64 位).

  2. 在目录管理 WorkSpace 或加入您的 WorkSpaces 目录的 Amazon EC2 实例上,打开组策略管理工具 (gpmc.msc) 并导航到PCoIP 会话变量.

  3. 要允许用户覆盖您的设置,请选择。可覆盖的管理员默认值. 否则,请选择不可覆盖的管理员默认值.

  4. 打开在PCOIP 会话中启用/禁用 USB设置。

  5. 选择Enabled (已启用),然后选择确定.

  6. 打开配置 PCoIP USB 允许和不允许的设备规则设置。

  7. 选择Enabled (已启用)在下输入 USB 授权表(最多 10 条规则)中,配置 USB 设备允许列表规则。

    1. 授权规则-110500407。此值是供应商 ID (VID) 和产品 ID (PID) 的组合。VID/PID 组合的格式为 1xxxxyyyy,其中 xxxx 是十六进制格式的 VID,yyyy 是十六进制格式的 PID。在此示例中,1050 是 VID,0407 是 PID。有关更多 YubiKey USB 值,请参阅YubiKey USB ID 值.

  8. 在下输入 USB 授权表(最多 10 条规则)中,配置 USB 设备阻止列表规则。

    1. 适用于取消授权规则设置一个空字符串。这意味着只允许授权列表中的 USB 设备。

    注意

    您最多可以定义 10 个 USB 授权规则和最多 10 个 USB 取消授权规则。使用垂直条 (|) 字符分隔多个规则。有关授权/取消授权规则的详细信息,请参阅。Teradici pCoIP 适用于 Windows 的标准代理.

  9. 选择 OK(确定)。

  10. 组策略设置更改将在 WorkSpace 的下一次组策略更新后和重新启动 WorkSpace 会话后生效。要应用组策略更改,请执行下列操作之一:

    • 重启 WorkSpace(在 Amazon WorkSpace 控制台中,选择 WorkSpace,然后选择 WorkSpace操作重启 WorkSpaces)。

    • 在管理命令提示符下,输入。gpupdate /force.

设置生效后,除非通过 USB 设备规则设置配置限制,否则所有受支持的 USB 设备都将能够重定向到 WorkSpaces。

安装 WorkSpaces 流协议 (WSP) 的组策略管理模板文件。

要在使用 WorkSpaces 流协议 (WSP) 时使用特定于 WorkSpaces 的组策略设置,您必须添加组策略管理模板。wsp.admxwsp.admlWSP 的文件转移到 WorkSpaces 目录的域控制器的中央存储中心。有关 的更多信息.admx.adml文件,请参阅如何在 Windows 中创建和管理组策略管理模板的中央存储.

以下过程介绍如何创建 Central Store 并向其添加管理模板文件。在目录管理 WorkSpace 或加入您的 WorkSpaces 目录的 Amazon EC2 实例上执行以下步骤。

要安装 WSP 的组策略管理模板文件

  1. 在运行的 Windows WorkSpace 中,复制wsp.admxwsp.adml中的文件C:\Program Files\Amazon\WSP目录。

  2. 在目录管理 WorkSpace 或加入您的 WorkSpaces 目录的 Amazon EC2 实例上,打开 Windows 文件资源管理器,然后在地址栏中输入组织的完全限定域名 (FQDN),如\\example.com.

  3. 打开 sysvol 文件夹。

  4. 使用打开文件夹FQDN名称。

  5. 打开 Policies 文件夹。现在,您应该进入\\FQDN\sysvol\FQDN\Policies.

  6. 如果它尚不存在,请创建名为PolicyDefinitions.

  7. 打开 PolicyDefinitions 文件夹。

  8. 将复制到wsp.admx文件进入\\FQDN\sysvol\FQDN\Policies\PolicyDefinitionsfolder。

  9. 创建名为的文件夹en-US中的PolicyDefinitionsfolder。

  10. 打开 en-US 文件夹。

  11. 将复制到wsp.adml文件进入\\FQDN\sysvol\FQDN\Policies\PolicyDefinitions\en-USfolder。

验证管理模板文件是否已正确安装

  1. 在目录管理 WorkSpace 或加入您的 WorkSpaces 目录的 Amazon EC2 实例上,打开组策略管理工具 (gpmc.msc)。

  2. 展开森林(林:FQDN)。

  3. Expand.

  4. 扩展你的 FQDN(例如,example.com)。

  5. Expand组策略对象.

  6. Select默认域策略,打开上下文 (右键单击) 菜单,然后选择。编辑.

    注意

    如果支持 WorkSpaces 的域是Amazon Managed Microsoft AD目录中,您不能使用默认域策略来创建 GPO。相反,您必须在具有委派权限的域容器下创建并链接 GPO。

    当你使用创建目录时Amazon Managed Microsoft AD、Amazon Directory Service创建你的域名称在域根下,组织部门 (OU)。此 OU 的名称基于您在创建目录时键入的 NetBIOS 名称。如果您未指定 NetBIOS 名称,它将默认为您的目录 DNS 名称的第一个部分(例如,如果您的目录 DNS 名称的第一个部分)。corp.example.com,NetBIOS 的名字是corp)。

    要创建 GPO,而不是选择默认域策略*, 选择你的域名称OU(或该组件下的任何 OU),请打开上下文菜单 (右键单击),然后选择在此域中创建 GPO,然后将其链接到此处.

    有关的更多信息你的域名OU, 请参见创建的内容中的Amazon Directory Service管理指南.

  7. 在组策略管理编辑器中,选择。计算机配置策略管理员模板亚马逊, 和WSP.

  8. 现在,您可以使用这个WSP组策略对象,用于修改使用 WSP 时特定于 WorkSpaces 的组策略设置。

为 WSP 配置打印机支持

默认情况下,WorkSpaces 启用基本远程打印,它提供有限的打印功能,因为它在主机端使用通用打印机驱动程序以确保兼容打印。

Windows 客户端的高级远程打印(不适用于 WSP)让您可以使用打印机的特定功能(如双面打印),但需要在主机端安装匹配的打印机驱动程序。

远程打印实施为虚拟通道。如果虚拟通道被禁用,远程打印无法正常工作。

对于 Windows WorkSpace,您可以根据需要使用组策略设置来配置打印机支持。

配置打印机支持

  1. 确保最近的WSP 的 WorkSpaces 组策略管理模板已安装在 WorkSpaces 目录的域控制器的中央存储中。

  2. 在目录管理 WorkSpace 或加入您的 WorkSpaces 目录的 Amazon EC2 实例上,打开组策略管理工具 (gpmc.msc)。

  3. 展开森林(林:FQDN)。

  4. Expand.

  5. 扩展你的 FQDN(例如,example.com)。

  6. Expand组策略对象.

  7. Select默认域策略,打开上下文 (右键单击) 菜单,然后选择。编辑.

    注意

    如果支持 WorkSpaces 的域是Amazon Managed Microsoft AD目录中,您不能使用默认域策略来创建 GPO。相反,选择你的域名OU(或该组件下的任何 OU),请打开上下文菜单 (右键单击),然后选择在此域中创建 GPO,然后将其链接到此处. 有关的更多信息你的域名OU, 请参见创建的内容中的Amazon Directory Service管理指南.

  8. 在组策略管理编辑器中,选择。计算机配置策略管理员模板亚马逊, 和WSP.

  9. 打开配置远程打印设置。

  10. Configure remote printing (配置远程打印) 对话框中,执行下列操作之一:

    • 要启用本地打印机重定向,选择Enabled (已启用),然后为打印选项,选择基本. 要自动使用客户端计算机的当前默认打印机,选择将本地默认打印机映射到远程主机.

    • 要禁用打印,请选择Disabled.

  11. 选择 OK(确定)。

  12. 组策略设置更改将在 WorkSpace 的下一次组策略更新后和重新启动 WorkSpace 会话后生效。要应用组策略更改,请执行下列操作之一:

    • 重启 WorkSpace(在 Amazon WorkSpace 控制台中,选择 WorkSpace,然后选择 WorkSpace操作重启 WorkSpaces)。

    • 在管理命令提示符下,输入。gpupdate /force.

为 WSP 启用或禁用剪贴板重定向

默认情况下,WorkSpaces 支持双向(复制/粘贴)剪贴板重定向。如果 Windows WorkSpace 需要,您可以使用组策略设置禁用此功能。

为 Windows WorkSpace 启用或禁用剪贴板重定向

  1. 确保最近的WSP 的 WorkSpaces 组策略管理模板已安装在 WorkSpaces 目录的域控制器的中央存储中。

  2. 在目录管理 WorkSpace 或加入您的 WorkSpaces 目录的 Amazon EC2 实例上,打开组策略管理工具 (gpmc.msc)。

  3. 展开森林(林:FQDN)。

  4. Expand.

  5. 扩展你的 FQDN(例如,example.com)。

  6. Expand组策略对象.

  7. Select默认域策略,打开上下文 (右键单击) 菜单,然后选择。编辑.

    注意

    如果支持 WorkSpaces 的域是Amazon Managed Microsoft AD目录中,您不能使用默认域策略来创建 GPO。相反,选择你的域名OU(或该组件下的任何 OU),请打开上下文菜单 (右键单击),然后选择在此域中创建 GPO,然后将其链接到此处. 有关的更多信息你的域名OU, 请参见创建的内容中的Amazon Directory Service管理指南.

  8. 在组策略管理编辑器中,选择。计算机配置策略管理员模板亚马逊, 和WSP.

  9. 打开启用/禁用剪贴板重定向设置。

  10. 启用/禁用剪贴板重定向对话框中,选择Enabled (已启用)要么Disabled.

  11. 选择 OK(确定)。

  12. 组策略设置更改将在 WorkSpace 的下一次组策略更新后和重新启动 WorkSpace 会话后生效。要应用组策略更改,请执行下列操作之一:

    • 重启 WorkSpace(在 Amazon WorkSpace 控制台中,选择 WorkSpace,然后选择 WorkSpace操作重启 WorkSpaces)。

    • 在管理命令提示符下,输入。gpupdate /force.

已知限制

在 WorkSpace 上启用剪贴板重定向后,如果您从 Microsoft Office 应用程序复制大于 890 KB 的内容,应用程序可能会变慢或长达 5 秒钟无响应。

为 WSP 设置会话恢复超时

在使用 WorkSpaces 客户端应用程序时,网络连接中断会导致活动会话断开连接。这可能会因如下事件导致:合上笔记本电脑的盖子,或无线网连接丢失。如果网络连接在一定时间内恢复,用于 Windows 和 macOS 的 WorkSpaces 客户端应用程序会自动重新连接会话。默认的会话恢复超时为 20 分钟(1200 秒),但您可以为由您的域的组策略设置所控制的 WorkSpaces 修改该值。

要设置自动会话恢复超时值

  1. 确保最近的WSP 的 WorkSpaces 组策略管理模板已安装在 WorkSpaces 目录的域控制器的中央存储中。

  2. 在目录管理 WorkSpace 或加入您的 WorkSpaces 目录的 Amazon EC2 实例上,打开组策略管理工具 (gpmc.msc)。

  3. 展开森林(林:FQDN)。

  4. Expand.

  5. 扩展你的 FQDN(例如,example.com)。

  6. Expand组策略对象.

  7. Select默认域策略,打开上下文 (右键单击) 菜单,然后选择。编辑.

    注意

    如果支持 WorkSpaces 的域是Amazon Managed Microsoft AD目录中,您不能使用默认域策略来创建 GPO。相反,选择你的域名OU(或该组件下的任何 OU),请打开上下文菜单 (右键单击),然后选择在此域中创建 GPO,然后将其链接到此处. 有关的更多信息你的域名OU, 请参见创建的内容中的Amazon Directory Service管理指南.

  8. 在组策略管理编辑器中,选择。计算机配置策略管理员模板亚马逊, 和WSP.

  9. 打开启用/禁用自动重新连接设置。

  10. 启用/禁用自动重新连接对话框中,选择Enabled (已启用),然后设置重新连接超时(秒)以秒为单位达到所需的超时。

  11. 选择 OK(确定)。

  12. 组策略设置更改将在 WorkSpace 的下一次组策略更新后和重新启动 WorkSpace 会话后生效。要应用组策略更改,请执行下列操作之一:

    • 重启 WorkSpace(在 Amazon WorkSpace 控制台中,选择 WorkSpace,然后选择 WorkSpace操作重启 WorkSpaces)。

    • 在管理命令提示符下,输入。gpupdate /force.

启用或禁用 WSP 的视频输入重定向

默认情况下,WorkSpaces 支持从本地摄像机重定向数据。如果 Windows WorkSpace 需要,您可以使用组策略设置禁用此功能。

为 Windows WorkSpaces 启用或禁用视频输入重定向

  1. 确保最近的WSP 的 WorkSpaces 组策略管理模板已安装在 WorkSpaces 目录的域控制器的中央存储中。

  2. 在目录管理 WorkSpace 或加入您的 WorkSpaces 目录的 Amazon EC2 实例上,打开组策略管理工具 (gpmc.msc)。

  3. 展开森林(林:FQDN)。

  4. Expand.

  5. 扩展你的 FQDN(例如,example.com)。

  6. Expand组策略对象.

  7. Select默认域策略,打开上下文 (右键单击) 菜单,然后选择。编辑.

    注意

    如果支持 WorkSpaces 的域是Amazon Managed Microsoft AD目录中,您不能使用默认域策略来创建 GPO。相反,选择你的域名OU(或该组件下的任何 OU),请打开上下文菜单 (右键单击),然后选择在此域中创建 GPO,然后将其链接到此处. 有关的更多信息你的域名OU, 请参见创建的内容中的Amazon Directory Service管理指南.

  8. 在组策略管理编辑器中,选择。计算机配置策略管理员模板亚马逊, 和WSP.

  9. 打开启用/禁用视频输入重定向设置。

  10. 启用/禁用视频输入重定向对话框中,选择Enabled (已启用)要么Disabled.

  11. 选择 OK(确定)。

  12. 组策略设置更改将在 WorkSpace 的下一次组策略更新后和重新启动 WorkSpace 会话后生效。要应用组策略更改,请执行下列操作之一:

    • 重启 WorkSpace(在 Amazon WorkSpace 控制台中,选择 WorkSpace,然后选择 WorkSpace操作重启 WorkSpaces)。

    • 在管理命令提示符下,输入。gpupdate /force.

启用或禁用 WSP 的音频输入重定向

默认情况下,WorkSpaces 支持从本地麦克风重定向数据。如果 Windows WorkSpace 需要,您可以使用组策略设置禁用此功能。

为 Windows WorkSpaces 启用或禁用音频输入重定向

  1. 确保最近的WSP 的 WorkSpaces 组策略管理模板已安装在 WorkSpaces 目录的域控制器的中央存储中。

  2. 在目录管理 WorkSpace 或加入您的 WorkSpaces 目录的 Amazon EC2 实例上,打开组策略管理工具 (gpmc.msc)。

  3. 展开森林(林:FQDN)。

  4. Expand.

  5. 扩展你的 FQDN(例如,example.com)。

  6. Expand组策略对象.

  7. Select默认域策略,打开上下文 (右键单击) 菜单,然后选择。编辑.

    注意

    如果支持 WorkSpaces 的域是Amazon Managed Microsoft AD目录中,您不能使用默认域策略来创建 GPO。相反,选择你的域名OU(或该组件下的任何 OU),请打开上下文菜单 (右键单击),然后选择在此域中创建 GPO,然后将其链接到此处. 有关的更多信息你的域名OU, 请参见创建的内容中的Amazon Directory Service管理指南.

  8. 在组策略管理编辑器中,选择。计算机配置策略管理员模板亚马逊, 和WSP.

  9. 打开启用/禁用音频输入重定向设置。

  10. 启用/禁用音频输入重定向对话框中,选择Enabled (已启用)要么Disabled.

  11. 选择 OK(确定)。

  12. 组策略设置更改将在 WorkSpace 的下一次组策略更新后和重新启动 WorkSpace 会话后生效。要应用组策略更改,请执行下列操作之一:

    • 重启 WorkSpace(在 Amazon WorkSpace 控制台中,选择 WorkSpace,然后选择 WorkSpace操作重启 WorkSpaces)。

    • 在管理命令提示符下,输入。gpupdate /force.

禁用时区重定向 WSP

默认情况下,WorkSpace 内的时间设置为镜像用于连接到 WorkSpace 的客户端的时区。此行为是通过时区重定向控制的。您可能需要关闭时区定向的原因有多种:

  • 您的公司希望所有员工在特定时区中工作(即使某些员工在其他时区)。

  • 您在 WorkSpace 中计划的任务要在特定时区内的特定时间运行。

  • 频繁出差的用户希望将其 WorkSpace 保持在一个时区中,以保持一致性和个人偏好。

如果 Windows WorkSpace 需要,您可以使用组策略设置禁用此功能。

禁用 Windows WorkSpaces 的时区重定向

  1. 确保最近的WSP 的 WorkSpaces 组策略管理模板已安装在 WorkSpaces 目录的域控制器的中央存储中。

  2. 在目录管理 WorkSpace 或加入您的 WorkSpaces 目录的 Amazon EC2 实例上,打开组策略管理工具 (gpmc.msc)。

  3. 展开森林(林:FQDN)。

  4. Expand.

  5. 扩展你的 FQDN(例如,example.com)。

  6. Expand组策略对象.

  7. Select默认域策略,打开上下文 (右键单击) 菜单,然后选择。编辑.

    注意

    如果支持 WorkSpaces 的域是Amazon Managed Microsoft AD目录中,您不能使用默认域策略来创建 GPO。相反,选择你的域名OU(或该组件下的任何 OU),请打开上下文菜单 (右键单击),然后选择在此域中创建 GPO,然后将其链接到此处. 有关的更多信息你的域名OU, 请参见创建的内容中的Amazon Directory Service管理指南.

  8. 在组策略管理编辑器中,选择。计算机配置策略管理员模板亚马逊, 和WSP.

  9. 打开启用/禁用时区重定向设置。

  10. 启用/禁用时区重定向对话框中,选择Disabled.

  11. 选择 OK(确定)。

  12. 组策略设置更改将在 WorkSpace 的下一次组策略更新后和重新启动 WorkSpace 会话后生效。要应用组策略更改,请执行下列操作之一:

    • 重启 WorkSpace(在 Amazon WorkSpace 控制台中,选择 WorkSpace,然后选择 WorkSpace操作重启 WorkSpaces)。

    • 在管理命令提示符下,输入。gpupdate /force.

  13. 将 WorkSpace 的时区设置为所需的时区。

WorkSpace 的时区现在是静态的,不再镜像客户端计算机的时区。

为 WSP 启用或禁用智能卡重定向

默认情况下,Amazon WorkSpaces 未启用以支持将智能卡用于会前身份验证要么会话中身份验证. 会话前身份验证是指用户登录 WorkSpaces 时执行的智能卡身份验证。会话中身份验证是指登录后执行的身份验证。

如果需要,可以使用组策略设置为 Windows WorkSpaces 启用会前身份验证和会话期间身份验证。还必须通过 AD Connector 目录设置启用会话前身份验证,方法是使用EnableClientAuthenticationAPI 操作或enable-client-authentication Amazon CLI命令。有关更多信息,请参阅 。为 AD Connector 启用智能卡身份验证中的Amazon Directory Service管理指南.

注意

要在 Windows WorkSpaces 中启用智能卡,需要执行其他步骤。有关更多信息,请参阅使用智能卡进行身份验证

为 Windows WorkSpaces 启用或禁用智能卡重定向

  1. 确保最近的WSP 的 WorkSpaces 组策略管理模板已安装在 WorkSpaces 目录的域控制器的中央存储中。

  2. 在目录管理 WorkSpace 或加入您的 WorkSpaces 目录的 Amazon EC2 实例上,打开组策略管理工具 (gpmc.msc)。

  3. 展开森林(林:FQDN)。

  4. Expand.

  5. 扩展你的 FQDN(例如,example.com)。

  6. Expand组策略对象.

  7. Select默认域策略,打开上下文 (右键单击) 菜单,然后选择。编辑.

    注意

    如果支持 WorkSpaces 的域是Amazon Managed Microsoft AD目录中,您不能使用默认域策略来创建 GPO。相反,选择你的域名OU(或该组件下的任何 OU),请打开上下文菜单 (右键单击),然后选择在此域中创建 GPO,然后将其链接到此处. 有关的更多信息你的域名OU, 请参见创建的内容中的Amazon Directory Service管理指南.

  8. 在组策略管理编辑器中,选择。计算机配置策略管理员模板亚马逊, 和WSP.

  9. 打开启用/禁用智能卡重定向设置。

  10. 启用/禁用智能卡重定向对话框中,选择Enabled (已启用)要么Disabled.

  11. 选择 OK(确定)。

  12. 组策略设置的更改会在 WorkSpace 会话重启后生效。要应用组策略更改,请重启 WorkSpace (在 Amazon WorkSpaces 控制台中,选择 WorkSpace),然后选择操作重启 WorkSpaces)。

启用或禁用 WSP 屏幕锁定时的断开会话

如果需要,可以在检测到 Windows 锁屏时断开用户的 WorkSpaces 会话的连接。要从 WorkSpaces 客户端重新连接,用户可以使用自己的密码或智能卡对自己进行身份验证,具体取决于已为其 WorkSpaces 启用的身份验证类型。

默认情况下此组策略设置处于禁用状态。如果需要,可以使用组策略设置在检测到 Windows WorkSpaces 的 Windows 锁定屏幕时启用断开会话的连接。

注意
  • 该组策略设置仅在Amazon目前 GovCloud (US-West) 区域。

  • 此组策略设置适用于经过密码身份验证的会话和智能卡身份验证的会话。

  • 要在 Windows WorkSpaces 中启用智能卡,需要执行其他步骤。有关更多信息,请参阅使用智能卡进行身份验证

为 Windows WorkSpaces 启用或禁用屏幕锁定向

  1. 确保最近的WSP 的 WorkSpaces 组策略管理模板已安装在 WorkSpaces 目录的域控制器的中央存储中。

  2. 在目录管理 WorkSpace 或加入您的 WorkSpaces 目录的 Amazon EC2 实例上,打开组策略管理工具 (gpmc.msc)。

  3. 展开森林(林:FQDN)。

  4. Expand.

  5. 扩展你的 FQDN(例如,example.com)。

  6. Expand组策略对象.

  7. Select默认域策略,打开上下文 (右键单击) 菜单,然后选择。编辑.

    注意

    如果支持 WorkSpaces 的域是Amazon Managed Microsoft AD目录中,您不能使用默认域策略来创建 GPO。相反,选择你的域名OU(或该组件下的任何 OU),请打开上下文菜单 (右键单击),然后选择在此域中创建 GPO,然后将其链接到此处. 有关的更多信息你的域名OU, 请参见创建的内容中的Amazon Directory Service管理指南.

  8. 在组策略管理编辑器中,选择。计算机配置策略管理员模板亚马逊, 和WSP.

  9. 打开启用/禁用屏幕锁定时断开连接会话设置。

  10. 启用/禁用屏幕锁定时断开连接会话对话框中,选择Enabled (已启用)要么Disabled.

  11. 选择 OK(确定)。

  12. 组策略设置更改将在 WorkSpace 的下一次组策略更新后和重新启动 WorkSpace 会话后生效。要应用组策略更改,请执行下列操作之一:

    • 重启 WorkSpace(在 Amazon WorkSpace 控制台中,选择 WorkSpace,然后选择 WorkSpace操作重启 WorkSpaces)。

    • 在管理命令提示符下,输入。gpupdate /force.

设置 Kerberos 机票的最长寿命

如果你还没有禁用请记住我你的 Windows WorkSpaces 的功能,你的 WorkSpace 用户可以使用请记住我要么保持我的登录状态在 WorkSpaces 客户端应用程序中复选框以保存其凭据。此功能允许用户在客户端应用程序保持运行时轻松连接到他们的 WorkSpaces。他们的凭证安全地缓存到 Kerberos 票证中,时间可达其最长使用期限。

如果您的 WorkSpace 使用 AD Connector 目录,则可以按照 Microsoft Windows 文档中用户票证的最长使用期限中的步骤,通过组策略来修改 WorkSpaces 用户的 Kerberos 票证的最长使用期限。

要启用或禁用 Remember Me 功能,请参阅 为用户启用自助 WorkSpace 管理功能

为访问互联网配置设备代理服务器设

默认情况下,WorkSpaces Windows 客户端应用程序使用在设备操作系统设置中为 HTTPS(端口 443)流量指定的代理服务器。Amazon WorkSpaces 客户端应用程序使用 HTTPS 端口进行更新、注册和身份验证。

注意
  • 与 WorkSpace 的桌面流式处理连接需要启用端口 4172 和 4195,而且不能通过代理服务器。

  • 不支持需要使用用户名和密码进行身份验证的代理服务器。

您可以按照中的步骤通过组策略为 Windows WorkSpaces 配置设备代理服务器设置配置设备代理和互联网连接设置在 Microsoft 文档中。

有关在 WorkSpaces Windows 客户端应用程序中配置代理设置的更多信息,请参阅代理服务器中的Amazon WorkSpaces 用户指南.