管理 WorkSpaces 个人版中的 Windows WorkSpaces - Amazon WorkSpaces
为 DCV 安装组策略管理模板文件管理 DCV 的组策略设置为 PCoIP 安装组策略管理模板管理 PCoIP 的组策略设置设置 Kerberos 票证的最长使用期限配置用于互联网访问的设备代理服务器设置启用 Zoom Meeting Media Plugin 支持
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

管理 WorkSpaces 个人版中的 Windows WorkSpaces

您可以使用组策略对象 (GPO) 应用设置来管理 Windows WorkSpaces 或属于 Windows WorkSpaces 目录的用户。

注意

建议您分别为 WorkSpace 计算机对象和 WorkSpace 用户对象创建一个组织单位。

要使用特定于 Amazon WorkSpaces 的组策略设置,您必须针对正在使用的一项或多项协议(PCoIP 或 DCV)安装组策略管理模板。

警告

组策略设置可以影响 WorkSpace 用户的体验,如下所示:

  • 实施交互式登录消息以显示登录横幅的目的是阻止用户访问其 WorkSpace。PCoIP WorkSpaces 目前不支持交互式登录消息的组策略设置。DCV WorkSpaces 支持登录消息,用户在接受登录横幅后必须重新登录。启用“基于证书的登录”时,不支持登录消息。

  • 通过组策略设置禁用可移动存储会导致登录失败,从而导致用户登录到无权访问驱动器 D 的临时用户配置文件。

  • 通过组策略设置将用户从远程桌面用户本地组中移除会阻止这些用户通过 WorkSpaces 客户端应用程序进行身份验证。有关此组策略设置的更多信息,请参阅 Microsoft 文档中的允许通过远程桌面服务登录

  • 如果您从允许本地登录安全策略中移除内置用户组,则您的 PCoIP WorkSpaces 用户将无法通过 WorkSpaces 客户端应用程序连接到其 WorkSpaces。您的 PCoIP WorkSpaces 也不会收到 PCoIP 代理软件的更新。PCoIP 代理更新可能包含安全修复和其他修复,也可能会为您的 WorkSpaces 启用新功能。有关使用此安全策略的更多信息,请参阅 Microsoft 文档中的允许本地登录

  • 组策略设置可用于限制驱动器访问。如果您将组策略设置配置为限制对驱动器 C 或驱动器 D 的访问,则用户无法访问其 WorkSpaces。要防止此问题发生,请确保您的用户可以访问驱动器 C 和驱动器 D。

  • WorkSpaces 音频输入功能需要 WorkSpace 内的本地登录访问权限。Windows WorkSpaces 的音频输入功能在默认情况下处于启用状态。但是,如果您的组策略设置限制了用户在其 WorkSpaces 的本地登录,则音频输入将无法在您的 WorkSpaces 上运行。如果删除该组策略设置,则下次重启 WorkSpace 后将启用音频输入功能。有关此组策略设置的更多信息,请参阅 Microsoft 文档中的允许本地登录

    有关启用或禁用音频输入重定向的更多信息,请参阅启用或禁用 PCoIP 的音频输入重定向为 DCV 配置音频输入重定向

  • 使用组策略将 Windows 电源计划设置为平衡节电模式,可能会导致您的 WorkSpaces 在闲置时进入睡眠状态。我们强烈建议使用组策略将 Windows 电源计划设置为高性能。有关更多信息,请参阅 我的 Windows WorkSpace 在空闲时进入睡眠状态

  • 某些组策略设置会在用户从会话断开连接时迫使其注销。用户在其 WorkSpaces 上打开的任何应用程序都会关闭。

  • DCV WorkSpaces 目前不支持“为处于活动但闲置状态的远程桌面服务会话设置时间限制”。避免在 DCV 会话期间使用它,因为即使有活动且会话未处于闲置状态,也会导致断开连接。

有关使用 Active Directory 管理工具处理 GPO 的信息,请参阅为 WorkSpaces 个人版设置 Active Directory 管理工具

为 DCV 安装组策略管理模板文件

要在使用 DCV 时使用特定于 WorkSpaces 的组策略设置,必须将 DCV 的组策略管理模板 wsp.admxwsp.adml 文件添加到 WorkSpaces 目录域控制器的中央存储。有关 .admx.adml 文件的更多信息,请参阅如何在 Windows 中创建和管理组策略管理模板的中央存储

以下过程介绍了如何创建中央存储并向其中添加管理模板文件。在目录管理 WorkSpace 或加入您的 WorkSpaces 目录的 Amazon EC2 实例上执行以下步骤。

为 DCV 安装组策略管理模板文件

  1. 在运行的 Windows WorkSpace 中,复制 C:\Program Files\Amazon\WSP 目录中的 wsp.admxwsp.adml 文件。

  2. 在目录管理 WorkSpace 或已加入 WorkSpaces 目录的 Amazon EC2 实例上,打开 Windows 文件资源管理器,然后在地址栏中输入您组织的完全限定域名 (FQDN),例如 \\example.com

  3. 打开 sysvol 文件夹。

  4. 打开带有 FQDN 名称的文件夹。

  5. 打开 Policies 文件夹。您现在应该位于 \\FQDN\sysvol\FQDN\Policies 中。

  6. 如果该文件尚不存在,请创建一个名为 PolicyDefinitions 的文件夹。

  7. 打开 PolicyDefinitions 文件夹。

  8. wsp.admx 文件复制到 \\FQDN\sysvol\FQDN\Policies\PolicyDefinitions 文件夹中。

  9. PolicyDefinitions 文件夹中创建名为 en-US 的文件夹。

  10. 打开 en-US 文件夹。

  11. wsp.adml 文件复制到 \\FQDN\sysvol\FQDN\Policies\PolicyDefinitions\en-US 文件夹中。

验证管理模板文件是否已正确安装

  1. 在目录管理 WorkSpace 或已加入 WorkSpaces 目录的 Amazon EC2 实例上,打开组策略管理工具 (gpmc.msc)。

  2. 展开林(林:FQDN)。

  3. 展开

  4. 展开您的 FQDN(例如,example.com)。

  5. 展开组策略对象

  6. 选择默认域策略,打开上下文(右键单击)菜单,然后选择编辑

    注意

    如果支持 WorkSpaces 的域是 Amazon Managed Microsoft AD 目录,则无法使用默认域策略来创建 GPO。相反,您必须在具有委派权限的域容器下创建和链接 GPO。

    使用 Amazon Managed Microsoft AD 创建目录时,Amazon Directory Service 会在域根下创建一个 yourdomainname 组织单位 (OU)。此 OU 的名称基于您在创建目录时键入的 NetBIOS 名称。如果您未指定 NetBIOS 名称,则此名称将默认为您目录 DNS 名称的第一部分(例如,如果目录 DNS 名称为 corp.example.com,则 NetBIOS 名称将为 corp)。

    要创建 GPO,请改为选择默认域策略,选择 yourdomainname OU(或该组织下的任何 OU),打开上下文(右键单击)菜单,然后选择在此域中创建 GPO,并将其链接到此处

    有关 yourdomainname OU 的更多信息,请参阅《Amazon Directory Service 管理指南》中的创建的内容

  7. 在组策略管理编辑器中,依次选择计算机配置策略管理模板AmazonDCV

  8. 现在,您可以使用该 DCV 组策略对象,来修改在使用 DCV 时特定于 WorkSpaces 的组策略设置。

管理 DCV 的组策略设置

使用组策略设置来管理使用 DCV 的 Windows WorkSpaces

  1. 确保将最新 DCV 的 WorkSpaces 组策略管理模板安装在 WorkSpaces 目录域控制器的中央存储中。

  2. 验证管理模板文件是否已正确安装。有关更多信息,请参阅 验证管理模板文件是否已正确安装

默认情况下,WorkSpaces 启用基本远程打印,它提供有限的打印功能,因为它在主机端使用通用打印机驱动程序以确保兼容打印。

Windows 客户端的高级远程打印(不适用于 DCV)让您可以使用打印机的特定功能(如双面打印),但需要在主机端安装匹配的打印机驱动程序。

远程打印实施为虚拟通道。如果虚拟通道被禁用,远程打印无法正常工作。

对于 Windows WorkSpace,您可以根据需要使用组策略设置来配置打印机支持。

配置打印机支持

  1. 在组策略管理编辑器中,依次选择计算机配置策略管理模板AmazonDCV

  2. 打开配置远程打印设置。

  3. Configure remote printing (配置远程打印) 对话框中,执行下列操作之一:

    • 要启用本地打印机重定向,请选择启用,然后在打印选项中选择基本。要自动使用客户端计算机的当前默认打印机,请选择将本地默认打印机映射到远程主机

    • 要禁用打印,请选择禁用

  4. 选择确定

  5. 组策略设置更改将在 WorkSpace 的下一次组策略更新后和重新启动 WorkSpace 会话后生效。要应用组策略更改,请执行下列操作之一:

    • 重启 WorkSpace(在 Amazon WorkSpaces 控制台中,选择 WorkSpace,然后依次选择操作重启 WorkSpaces)。

    • 在管理命令提示符处,输入 gpupdate /force

默认情况下,WorkSpaces 支持双向(复制/粘贴)剪贴板重定向。对于 Windows WorkSpaces,您可以使用组策略设置来禁用此功能或配置允许剪贴板重定向的方向。

为 Windows WorkSpaces 配置剪贴板重定向

  1. 在组策略管理编辑器中,依次选择计算机配置策略管理模板AmazonDCV

  2. 打开 Configure clipboard redirection 设置。

  3. 配置剪贴板重定向对话框中,选择启用禁用

    启用配置剪贴板重定向后,以下剪贴板重定向选项将变为可用:

    • 选择复制并粘贴,以允许双向剪贴板复制和粘贴重定向。

    • 选择仅复制,以仅允许将数据从服务器剪贴板复制到客户端剪贴板。

    • 选择仅粘贴,以仅允许将数据从客户端剪贴板粘贴到服务器剪贴板。

  4. 选择确定

  5. 组策略设置更改将在 WorkSpace 的下一次组策略更新后和重新启动 WorkSpace 会话后生效。要应用组策略更改,请执行下列操作之一:

    • 重启 WorkSpace(在 Amazon WorkSpaces 控制台中,选择 WorkSpace,然后依次选择操作重启 WorkSpaces)。

    • 在管理命令提示符处,输入 gpupdate /force

已知限制

在 WorkSpace 上启用剪贴板重定向后,如果您从 Microsoft Office 应用程序复制大于 890 KB 的内容,应用程序可能会变慢或长达 5 秒钟无响应。

网络连接中断时,您的活动 WorkSpaces 客户端会话将断开连接。如果网络连接在一定时间内恢复,则用于 Windows 和 macOS 的 WorkSpaces 客户端应用程序会自动尝试重新连接会话。默认的会话恢复超时为 20 分钟(1200 秒),但您可以为由您域的组策略设置所控制的 WorkSpace 修改此值。

要设置自动会话恢复超时值

  1. 在组策略管理编辑器中,依次选择计算机配置策略管理模板AmazonDCV

  2. 打开启用/禁用自动重新连接设置。

  3. 启用/禁用自动重新连接对话框中,选择启用,然后将重新连接超时(秒)设置为所需的超时时间(以秒为单位)

  4. 选择确定

  5. 组策略设置更改将在 WorkSpace 的下一次组策略更新后和重新启动 WorkSpace 会话后生效。要应用组策略更改,请执行下列操作之一:

    • 重启 WorkSpace(在 Amazon WorkSpaces 控制台中,选择 WorkSpace,然后依次选择操作重启 WorkSpaces)。

    • 在管理命令提示符处,输入 gpupdate /force

默认情况下,WorkSpaces 支持从本地麦克风重定向数据。如果 Windows WorkSpace 需要,您可以使用组策略设置禁用此功能。

为 Windows WorkSpaces 配置视频输入重定向

  1. 在组策略管理编辑器中,依次选择计算机配置策略管理模板AmazonDCV

  2. 打开启用/禁用视频输入重定向设置。

  3. 启用/禁用视频输入重定向对话框中,选择启用禁用

  4. 选择确定

  5. 组策略设置更改将在 WorkSpace 的下一次组策略更新后和重新启动 WorkSpace 会话后生效。要应用组策略更改,请执行下列操作之一:

    • 重启 WorkSpace(在 Amazon WorkSpaces 控制台中,选择 WorkSpace,然后依次选择操作重启 WorkSpaces)。

    • 在管理命令提示符处,输入 gpupdate /force

默认情况下,WorkSpaces 支持从本地麦克风重定向数据。如果 Windows WorkSpace 需要,您可以使用组策略设置禁用此功能。

为 Windows WorkSpaces 配置音频输入重定向

  1. 在组策略管理编辑器中,依次选择计算机配置策略管理模板AmazonDCV

  2. 打开启用/禁用音频输入重定向设置。

  3. 启用/禁用音频输入重定向对话框中,选择启用禁用

  4. 选择确定

  5. 组策略设置更改将在 WorkSpace 的下一次组策略更新后和重新启动 WorkSpace 会话后生效。要应用组策略更改,请执行下列操作之一:

    • 重启 WorkSpace(在 Amazon WorkSpaces 控制台中,选择 WorkSpace,然后依次选择操作重启 WorkSpaces)。

    • 在管理命令提示符处,输入 gpupdate /force

默认情况下,WorkSpaces 会将数据重定向到本地扬声器。如果 Windows WorkSpace 需要,您可以使用组策略设置禁用此功能。

为 Windows WorkSpaces 配置音频输出重定向

  1. 在组策略管理编辑器中,依次选择计算机配置策略管理模板AmazonDCV

  2. 打开启用/禁用音频输出重定向设置。

  3. 启用/禁用音频输出重定向对话框中,选择启用禁用

  4. 选择确定

  5. 组策略设置更改将在 WorkSpace 的下一次组策略更新后和重新启动 WorkSpace 会话后生效。要应用组策略更改,请执行下列操作之一:

    • 重启 WorkSpace。在 Amazon WorkSpaces 控制台中,选择“WorkSpace”,然后依次选择操作 > 重启 WorkSpaces

    • 在管理命令提示符处,输入 gpupdate /force

默认情况下,WorkSpace 内的时间设置为用于连接到 WorkSpace 的客户端的时区。此行为是通过时区重定向控制的。您可能需要关闭时区定向的原因有多种。例如:

  • 您的公司希望所有员工在特定时区中工作(即使某些员工在其他时区)。

  • 您在 WorkSpace 中计划的任务要在特定时区内的特定时间运行。

  • 频繁出差的用户希望将其 WorkSpace 保持在一个时区中,以保持一致性和个人偏好。

如果 Windows WorkSpace 需要,您可以使用组策略设置禁用此功能。

禁用 Windows WorkSpaces 的时区重定向

  1. 在组策略管理编辑器中,依次选择计算机配置策略管理模板AmazonDCV

  2. 打开启用/禁用时区重定向设置。

  3. 启用/禁用时区重定向对话框中,选择禁用

  4. 选择确定

  5. 组策略设置更改将在 WorkSpace 的下一次组策略更新后和重新启动 WorkSpace 会话后生效。要应用组策略更改,请执行下列操作之一:

    • 重启 WorkSpace(在 Amazon WorkSpaces 控制台中,选择 WorkSpace,然后依次选择操作重启 WorkSpaces)。

    • 在管理命令提示符处,输入 gpupdate /force

  6. 将 WorkSpace 的时区设置为所需的时区。

WorkSpace 的时区现在是静态的,不再客户端计算机的时区。

对于 DCV,传输中数据使用 TLS 1.2 加密技术进行加密。默认情况下,允许使用以下所有密码进行加密,客户端和服务器协商使用哪种密码:

  • ECDHE-RSA-AES128- GCM-SHA256

  • ECDHE-ECDSA-AES128- GCM-SHA256

  • ECDHE-RSA-AES256- GCM-SHA384

  • ECDHE-ECDSA-AES256- GCM-SHA384

  • ECDHE-RSA-AES128-SHA256

  • ECDHE-RSA-AES256-SHA384

对于 Windows WorkSpaces,您可以使用组策略设置来修改 TLS 安全模式以及添加新密码套件或屏蔽某些密码套件。配置安全设置组策略对话框中提供了这些设置和支持的密码套件的详细说明。

配置 DCV 安全设置

  1. 在组策略管理编辑器中,依次选择计算机配置策略管理模板AmazonDCV

  2. 打开配置安全设置

  3. 配置安全设置对话框中,选择启用。添加要允许的密码套件,并删除要屏蔽的密码套件。有关这些设置的更多信息,请参阅配置安全设置对话框中提供的说明。

  4. 选择确定

  5. 组策略设置更改将在 WorkSpace 的下一次组策略更新后和重新启动 WorkSpace 会话后生效。要应用组策略更改,请执行下列操作之一:

    • 要重启 WorkSpace,请在 Amazon WorkSpaces 控制台中,选择“WorkSpace”,然后依次选择操作重启 WorkSpaces

    • 在管理命令提示符处,输入 gpupdate /force

默认情况下,对 WorkSpaces 扩展的支持处于禁用状态。如果需要,您可以通过以下方式将 WorkSpace 配置为使用扩展:

  • 服务器和客户端 - 为服务器和客户端启用扩展

  • 仅限服务器 - 仅为服务器启用扩展

  • 仅限客户端 - 仅为客户端启用扩展

对于 Windows WorkSpaces,您可以使用组策略设置来配置扩展的使用。

为 DCV 配置扩展

  1. 在组策略管理编辑器中,依次选择计算机配置策略管理模板AmazonDCV

  2. 打开配置扩展设置。

  3. 配置扩展对话框中,选择启用,然后设置所需的支持选项。选择仅限客户端服务器和客户端仅限服务器

  4. 选择确定

  5. 组策略设置更改将在 WorkSpace 的下一次组策略更新后和重新启动 WorkSpace 会话后生效。要应用组策略更改,请执行下列操作之一:

    • 重启 WorkSpace。在 Amazon WorkSpaces 控制台中,选择“WorkSpace”,然后依次选择操作重启 WorkSpaces

    • 在管理命令提示符处,输入 gpupdate /force

默认情况下,Amazon WorkSpaces 不支持使用智能卡进行会话前身份验证会话中身份验证。会话前身份验证是指在用户登录 WorkSpace 时执行的智能卡身份验证。会话中身份验证是指登录后执行的身份验证。

如果需要,您可以使用组策略设置为 Windows WorkSpaces 启用会话前和会话中身份验证。还必须使用 EnableClientAuthentication API 操作或 enable-client-authentication Amazon CLI 命令通过 AD Connector 目录设置,启用会话前身份验证。有关更多信息,请参阅《Amazon Directory Service 管理指南》中的为 AD Connector 启用智能卡身份验证

注意

要在 Windows WorkSpaces 中使用智能卡,需要执行其他步骤。有关更多信息,请参阅 在 WorkSpaces 个人版上使用智能卡进行身份验证

为 Windows WorkSpaces 配置智能卡重定向

  1. 在组策略管理编辑器中,依次选择计算机配置策略管理模板AmazonDCV

  2. 打开启用/禁用智能卡重定向设置。

  3. 启用/禁用智能卡重定向对话框中,选择启用禁用

  4. 选择确定

  5. 组策略设置的更改会在 WorkSpace 会话重新启动后生效。要应用组策略更改,请重启 WorkSpace(在 Amazon WorkSpaces 控制台中,选择“WorkSpace”,然后依次选择操作重启 WorkSpaces)。

默认情况下,Amazon WorkSpaces 启用 WebAuthn 重定向,允许用户在其 WorkSpace 内运行的应用程序中使用与 FIDO2 兼容的本地安全密钥和生物识别身份验证器。此功能可将来自 WorkSpace 中应用程序的身份验证请求安全地重定向到用户的本地设备,从而无缝访问身份验证方法,包括 Yubikeys 和 Windows Hello。

Amazon WorkSpaces 支持两个版本的 WebAuthn 重定向:

  • 标准版 WebAuthn:需要浏览器扩展程序,受 Windows 和 Linux WorkSpaces 支持,适用于基于浏览器的应用程序

  • 增强版 WebAuthn:无需浏览器扩展程序,具有额外的原生应用程序支持,仅受 Windows WorkSpaces 支持

标准版 WebAuthn 重定向

标准版 WebAuthn 重定向需要浏览器扩展程序,才能将 WebAuthn 提示重定向到客户端设备。

版本要求

  • Windows WorkSpaces:DCV 主机代理 2.0.0.1425 或更高版本

  • 客户端版本:

    • Windows 客户端:5.19.0 或更高版本

    • Mac 客户端:5.19.0 或更高版本

    • Linux 客户端:2024.0 或更高版本

WorkSpaces 支持的浏览器

  • Google Chrome 116+

  • Microsoft Edge 116+

增强版 WebAuthn 重定向

增强版 WebAuthn 重定向无需浏览器扩展程序,并为支持 WebAuthn 身份验证的原生 Windows 应用程序提供 WebAuthn 身份验证支持。

版本要求

  • Windows WorkSpaces:DCV 主机代理 2.1.0.2000 或更高版本

  • 客户端版本:

    • Windows 客户端:5.29.0 或更高版本

    • Mac 客户端:5.29.0 或更高版本

主要优势

  • 无需浏览器扩展程序

  • 提高性能

  • 在本机 Windows 应用程序中支持 WebAuthn

  • 跨浏览器和桌面应用程序的无缝身份验证体验

WorkSpaces 支持的浏览器

  • Google Chrome 116+

  • Microsoft Edge 116+

配置 WebAuthn 重定向

为 Windows WorkSpaces 配置 WebAuthn 重定向

  1. 在组策略管理编辑器中,依次选择计算机配置策略管理模板AmazonDCV

  2. 打开配置 WebAuthn 重定向设置。

  3. 配置 WebAuthn 重定向对话框中,选择启用禁用

  4. 选择确定

  5. 组策略设置的更改会在 WorkSpace 会话重新启动后生效。要应用组策略更改,请转至 Amazon WorkSpaces 控制台并选择 WorkSpace 来重启 WorkSpace。然后,依次选择操作重启 WorkSpace

注意

此组策略设置启用了 WebAuthn 重定向。使用的版本(标准版或增强版)取决于您的主机代理版本和操作系统支持。

配置 WebAuthn 进程兼容性

启用 WebAuthn 重定向后,您可以通过 WebAuthn 进程兼容性列表,配置允许哪些应用程序和进程使用 WebAuthn 重定向。

默认进程兼容性列表

默认情况下,WebAuthn 重定向启用以下进程:

['chrome.exe','msedge.exe','island.exe','firefox.exe','dcvwebauthnnativemsghost.exe','msedgewebview2.exe','Microsoft.AAD.BrokerPlugin.exe']
标准版 WebAuthn 所需的进程

  • dcvwebauthnnativemsghost.exe:此进程是标准版 WebAuthn 功能所必需的,使用标准版 WebAuthn 时必须保留在兼容性列表中。

配置 WebAuthn 进程兼容性列表

  1. 在组策略管理编辑器中,依次选择计算机配置策略管理模板AmazonDCV

  2. 打开配置 WebAuthn 重定向设置。

  3. 选择 Enabled (已启用)

  4. WebAuthn 进程兼容性列表字段中,指定与 WebAuthn 重定向兼容的进程名称列表。

    • 使用默认列表作为起点

    • 根据需要为您的环境添加其他进程名称

  5. 选择确定

  6. 组策略设置的更改会在 WorkSpace 会话重新启动后生效。

进程兼容性列表指南

  • 对于标准版 WebAuthn:请务必在列表中包含 dcvwebauthnnativemsghost.exe

  • 自定义应用程序:在您的环境中添加任何需要 WebAuthn 支持的其他 .exe 进程名称

  • 格式:使用逗号分隔的进程名称,用方括号括起来,每个进程名称用单引号引起来

自定义进程列表示例
['chrome.exe','msedge.exe','firefox.exe','dcvwebauthnnativemsghost.exe','msedgewebview2.exe','Microsoft.AAD.BrokerPlugin.exe','myapp.exe','customapplication.exe']

从标准版 WebAuthn 升级到增强版 WebAuthn

从标准版 WebAuthn 升级到增强版 WebAuthn 时,用户需要先卸载或禁用他们之前为标准版 WebAuthn 安装的 Amazon DCV WebAuthn 重定向浏览器扩展程序,然后才能使用增强版 WebAuthn。

为什么这一步很重要?

  • 增强版 WebAuthn 无需浏览器扩展程序即可以原生方式处理重定向

  • 将扩展程序保留为启用状态将默认采用标准版 WebAuthn 重定向

安装 Amazon DCV WebAuthn 重定向扩展程序(仅限标准版 WebAuthn)

注意

本部分仅适用于标准版 WebAuthn。增强版 WebAuthn 不需要浏览器扩展程序。

在启用标准版 WebAuthn 后,用户需要安装 Amazon DCV WebAuthn 重定向扩展程序才能使用该功能,方法是执行以下任一操作:

  • 系统将提示用户在其浏览器中启用浏览器扩展。

    注意

    这是一次性浏览器提示。当您将 DCV 代理版本更新为 2.0.0.1425 或更高版本时,您的用户将收到通知。如果您的最终用户不需要 WebAuthn 重定向,他们只需从浏览器中删除扩展即可。您也可以使用以下 GPO 策略,阻止 WebAuthn 重定向扩展程序安装提示。

  • 您可以使用 GPO 策略为用户强制安装重定向扩展程序。如果您启用了 GPO 策略,则当您的用户启动支持的浏览器并访问 Internet 时,扩展将自动安装。

  • 用户可以使用 Microsoft Edge 加载项Chrome 网上商店,手动安装扩展。

了解 WebAuthn 重定向扩展程序原生消息传递

Chrome 和 Edge 浏览器中的 WebAuthn 重定向使用浏览器扩展程序和原生消息传递主机。原生消息传递主机是一个用于实现扩展程序与主机应用程序之间通信的组件。在典型配置中,浏览器默认允许所有原生消息传递主机。但是,您可以选择使用原生消息传递阻止列表,其中 * 的值表示除非明确允许,否则所有原生消息传递主机都将被拒绝。在这种情况下,您需要通过在允许列表中明确指定值 com.dcv.webauthnredirection.nativemessagehost 来启用 Amazon DCV WebAuthn 重定向原生消息主机。

有关更多信息,请按照您的浏览器适用的指南进行操作:

使用组策略管理和安装浏览器扩展

您可以使用组策略安装 Amazon DCV WebAuthn 重定向扩展,既可以从您的域集中安装已加入 Active Directory(AD)域的会话主机,也可以为每个会话主机使用本地组策略编辑器。此过程因您使用的浏览器而有所不同。

对于 Microsoft Edge

  1. 下载并安装 Microsoft Edge 管理模板

  2. 在目录管理 WorkSpace 或已加入 WorkSpaces 目录的 Amazon EC2 实例上,打开组策略管理工具 (gpmc.msc)。

  3. 展开林(林:FQDN)。

  4. 展开

  5. 展开您的 FQDN(例如,example.com)。

  6. 展开组策略对象

  7. 选择默认域策略,打开上下文(右键单击)菜单,然后选择编辑

  8. 依次选择计算机配置管理模板Microsoft Edge扩展

  9. 打开配置扩展管理设置,并将其设置为启用

  10. 配置扩展管理设置下,输入以下内容:

    {"ihejeaahjpbegmaaegiikmlphghlfmeh":{"installation_mode":"force_installed","update_url":"https://edge.microsoft.com/extensionwebstorebase/v1/crx"}}

  11. 选择确定

  12. 组策略设置的更改会在 WorkSpace 会话重新启动后生效。要应用组策略更改,请转至 Amazon WorkSpaces 控制台并选择 WorkSpace 来重启 WorkSpace。然后,依次选择操作重启 WorkSpace

注意

您可以通过应用以下配置管理设置来阻止安装扩展:

{"ihejeaahjpbegmaaegiikmlphghlfmeh":{"installation_mode":"blocked","update_url":"https://edge.microsoft.com/extensionwebstorebase/v1/crx"}}
对于 Google Chrome

  1. 下载并安装 Google Chrome 管理模板。相关详情,请参阅 Set Chrome Browser policies on managed PCs

  2. 在目录管理 WorkSpace 或已加入 WorkSpaces 目录的 Amazon EC2 实例上,打开组策略管理工具 (gpmc.msc)。

  3. 展开林(林:FQDN)。

  4. 展开

  5. 展开您的 FQDN(例如,example.com)。

  6. 展开组策略对象

  7. 选择默认域策略,打开上下文(右键单击)菜单,然后选择编辑

  8. 依次选择计算机配置管理模板Google Chrome扩展

  9. 打开配置扩展管理设置,并将其设置为启用

  10. 配置扩展管理设置下,输入以下内容:

    {"mmiioagbgnbojdbcjoddlefhmcocfpmn":{ "installation_mode":"force_installed","update_url":"https://clients2.google.com/service/update2/crx"}}

  11. 选择确定

  12. 组策略设置的更改会在 WorkSpace 会话重新启动后生效。要应用组策略更改,请转至 Amazon WorkSpaces 控制台并选择 WorkSpace 来重启 WorkSpace。然后,依次选择操作重启 WorkSpace

注意

您可以通过应用以下配置管理设置来阻止安装扩展:

{"mmiioagbgnbojdbcjoddlefhmcocfpmn":{ "installation_mode":"blocked","update_url":"https://clients2.google.com/service/update2/crx"}}

WebRTC 重定向通过将音频和视频处理从 WorkSpaces 分载到本地客户端,增强实时通信,从而提高性能并减少延迟。但是,WebRTC 重定向并不普遍,需要第三方应用程序供应商开发与 WorkSpaces 的特定集成。默认情况下,WorkSpaces 上未启用 WebRTC 重定向。要使用 WebRTC 重定向,请确保满足以下条件:

  • 第三方应用程序供应商集成

  • 通过组策略设置启用 WorkSpaces 扩展

  • WebRTC 重定向已启用

  • WebRTC 重定向浏览器扩展已安装并启用

注意

此重定向是作为扩展实施的,需要您使用组策略设置启用对 WorkSpaces 扩展的支持。如果扩展遭到禁用,WebRTC 重定向将无法运行。

要求

DCV 的 WebRTC 重定向需要满足以下条件:

  • DCV 主机代理 2.0.0.1622 或更高版本

  • WorkSpaces 客户端:

    • Windows 5.21.0 或更高版本

    • Web 客户端

  • 安装在运行 Amazon DCV WebRTC 重定向扩展的 WorkSpaces 上的 Web 浏览器:

    • Google Chrome 116+

    • Microsoft Edge 116+

为 Windows WorkSpaces 启用或禁用 WebRTC 重定向

如果需要,您可以使用组策略设置为 Windows WorkSpaces 启用或禁用对 WebRTC 重定向的支持。如果您禁用或未配置此设置,WebRTC 重定向将遭到禁用。

启用该功能后,与 Amazon WorkSpaces 集成的 Web 应用程序能够将 WebRTC API 调用重定向到本地客户端。

为 Windows WorkSpaces 配置 WebRTC 重定向

  1. 在组策略管理编辑器中,依次选择计算机配置策略管理模板AmazonDCV

  2. 打开配置 WebRTC 重定向设置。

  3. 配置 WebRTC 重定向对话框中,选择启用禁用

  4. 选择确定

  5. 组策略设置的更改会在 WorkSpace 会话重新启动后生效。要应用组策略更改,请转至 Amazon WorkSpaces 控制台并选择 WorkSpace 来重启 WorkSpace。然后,依次选择操作重启 WorkSpace

安装 Amazon DCV WebRTC 重定向扩展

在启用 WebRTC 重定向功能后,用户需要安装 Amazon DCV WebRTC 重定向扩展才能使用该功能,方法是执行以下任一操作:

  • 系统将提示用户在其浏览器中启用浏览器扩展。

    注意

    作为一次性浏览器提示,当您启用 WebRTC 重定向时,用户将收到通知。

  • 您可以使用以下 GPO 策略,为用户强制安装重定向扩展。如果您启用 GPO 策略,则当用户启动支持的浏览器并访问 Internet 时,扩展将自动安装。

  • 用户可以使用 Microsoft Edge 加载项Chrome 网上商店,手动安装扩展。

使用组策略管理和安装浏览器扩展

您可以使用组策略安装 Amazon DCV WebRTC 重定向扩展,既可以从您的域集中安装已加入 Active Directory(AD)域的会话主机,也可以为每个会话主机使用本地组策略编辑器。此过程将根据您使用的浏览器而有所不同。

对于 Microsoft Edge

  1. 下载并安装 Microsoft Edge 管理模板

  2. 在目录管理 WorkSpace 或已加入 WorkSpaces 目录的 Amazon EC2 实例上,打开组策略管理工具 (gpmc.msc)。

  3. 展开林(林:FQDN)。

  4. 展开

  5. 展开您的 FQDN(例如,example.com)。

  6. 展开组策略对象

  7. 选择默认域策略,打开上下文(右键单击)菜单,然后选择编辑

  8. 依次选择计算机配置管理模板Microsoft Edge扩展

  9. 打开配置扩展管理设置,并将其设置为启用

  10. 配置扩展管理设置下,输入以下内容:

    {"kjbbkjjiecchbcdoollhgffghfjnbhef":{"installation_mode":"force_installed","update_url":"https://edge.microsoft.com/extensionwebstorebase/v1/crx"}}

  11. 选择确定

  12. 组策略设置的更改会在 WorkSpace 会话重新启动后生效。要应用组策略更改,请转至 Amazon WorkSpaces 控制台并选择 WorkSpace 来重启 WorkSpace。然后,依次选择操作重启 WorkSpace

注意

您可以通过应用以下配置管理设置来阻止安装扩展:

{"kjbbkjjiecchbcdoollhgffghfjnbhef":{"installation_mode":"blocked","update_url":"https://edge.microsoft.com/extensionwebstorebase/v1/crx"}}
对于 Google Chrome

  1. 下载并安装 Google Chrome 管理模板。相关详情,请参阅 Set Chrome Browser policies on managed PCs

  2. 在目录管理 WorkSpace 或已加入 WorkSpaces 目录的 Amazon EC2 实例上,打开组策略管理工具 (gpmc.msc)。

  3. 展开林(林:FQDN)。

  4. 展开

  5. 展开您的 FQDN(例如,example.com)。

  6. 展开组策略对象

  7. 选择默认域策略,打开上下文(右键单击)菜单,然后选择编辑

  8. 依次选择计算机配置管理模板Google Chrome扩展

  9. 打开配置扩展管理设置,并将其设置为启用

  10. 配置扩展管理设置下,输入以下内容:

    {"diilpfplcnhehakckkpmcmibmhbingnd":{ "installation_mode":"force_installed","update_url":"https://clients2.google.com/service/update2/crx"}}

  11. 选择确定

  12. 组策略设置的更改会在 WorkSpace 会话重新启动后生效。要应用组策略更改,请转至 Amazon WorkSpaces 控制台并选择 WorkSpace 来重启 WorkSpace。然后,依次选择操作重启 WorkSpace

注意

您可以通过应用以下配置管理设置来阻止安装扩展:

{"diilpfplcnhehakckkpmcmibmhbingnd":{ "installation_mode":"blocked","update_url":"https://clients2.google.com/service/update2/crx"}}

如果需要,您可以在检测到 Windows 锁屏时断开用户的 WorkSpaces 会话连接。要从 WorkSpaces 客户端重新连接,用户可以使用自己的密码或智能卡进行身份验证,具体取决于为其 WorkSpaces 启用了哪种类型的身份验证。

默认情况下,该组策略设置处于禁用状态。如果需要,您可以使用组策略设置,启用在检测到 Windows WorkSpaces 的 Windows 锁屏时断开会话连接。

注意
配置 Windows WorkSpaces 屏幕锁定时断开会话连接

  1. 在组策略管理编辑器中,依次选择计算机配置策略管理模板AmazonDCV

  2. 打开启用/禁用屏幕锁定时断开会话连接设置。

  3. 启用/禁用屏幕锁定时断开会话连接对话框中,选择启用禁用

  4. 选择确定

  5. 组策略设置更改将在 WorkSpace 的下一次组策略更新后和重新启动 WorkSpace 会话后生效。要应用组策略更改,请执行下列操作之一:

    • 重启 WorkSpace(在 Amazon WorkSpaces 控制台中,选择 WorkSpace,然后依次选择操作重启 WorkSpaces)。

    • 在管理命令提示符处,输入 gpupdate /force

默认情况下,WorkSpaces 支持使用间接显示驱动程序(IDD)。如果 Windows WorkSpace 需要,您可以使用组策略设置禁用此功能。

为 Windows WorkSpaces 配置间接显示驱动程序(IDD)

  1. 在组策略管理编辑器中,依次选择计算机配置策略管理模板AmazonDCV

  2. 打开启用 Amazon 间接显示驱动程序设置。

  3. 启用 Amazon 间接显示驱动程序对话框中,选择启用禁用

  4. 选择确定

  5. 组策略设置更改将在 WorkSpace 的下一次组策略更新后和重新启动 WorkSpace 会话后生效。要应用组策略更改,请执行下列操作之一:

    1. 重启 WorkSpace(在 WorkSpace 控制台中,选择“WorkSpace”,然后依次选择操作重启 WorkSpaces)。

    2. 在管理命令提示符处,输入 gpupdate /force

WorkSpaces 允许您配置几种不同的显示设置,包括最大帧速率、最低图像质量、最大图像质量和 YUV 编码。根据所需的图像质量、响应能力和色彩准确度,调整这些设置。

默认情况下,最大帧速率值为 25。最大帧速率值用于指定允许的最大每秒帧数 (fps)。值 0 表示无限制。

默认情况下,最低图像质量值为 30。可以对最低图像质量进行优化,以获得最佳图像响应能力或最佳图像质量。为了获得最佳响应能力,请减少最低质量。要获得最佳质量,请增加最低质量。

  • 最佳响应能力的理想值介于 30 和 90 之间。

  • 最佳质量的理想值介于 60 和 90 之间。

默认情况下,最大图像质量值为 80。最大图像质量不会影响图像的响应能力或质量,但会设置最大值以限制网络使用量。

默认情况下,图像编码设置为 YUV420。选择启用 YUV444 编码,可启用 YUV444 编码以实现高色彩精度。

对于 Windows WorkSpaces,您可以使用组策略设置,来配置最大帧速率、最低图像质量和最大图像质量值。

配置 Windows WorkSpaces 的显示设置

  1. 在组策略管理编辑器中,依次选择计算机配置策略管理模板AmazonDCV

  2. 打开配置显示设置设置。

  3. 配置显示设置对话框中,选择启用,然后将最大帧速率 (fps)最低图像质量最大图像质量值设置为所需的级别。

  4. 选择确定

  5. 组策略设置更改将在 WorkSpace 的下一次组策略更新后和重新启动 WorkSpace 会话后生效。要应用组策略更改,请执行下列操作之一:

    • 重启 WorkSpace。在 Amazon WorkSpaces 控制台中,选择“WorkSpace”,然后依次选择操作重启 WorkSpaces

    • 在管理命令提示符处,输入 gpupdate /force

默认情况下,WorkSpaces 支持使用 Amazon 仅虚拟显示驱动程序的 VSync 功能。如果 Windows WorkSpace 需要,您可以使用组策略设置禁用此功能。

为 Windows WorkSpaces 配置 VSync

  1. 在组策略管理编辑器中,依次选择计算机配置策略管理模板AmazonDCV

  2. 打开启用 Amazon 仅虚拟显示驱动程序的 VSync 功能设置。

  3. 启用 Amazon 仅虚拟显示驱动程序的 VSync 功能对话框中,选择启用禁用

  4. 选择确定

  5. 组策略设置更改将在 WorkSpace 的下一次组策略更新后和重新启动 WorkSpace 会话后生效。要应用组策略更改,请执行下列操作:

    1. 通过执行以下任一操作来重新启动 WorkSpace:

      1. 选项 1 - 在 WorkSpaces 控制台中,选择要重启的 WorkSpace。然后,依次选择操作重启 WorkSpace

      2. 选项 2 - 在管理命令提示符处,输入 gpupdate /force

    2. 要应用设置,请重新连接到 WorkSpace。

    3. 再次重启 WorkSpace。

默认情况下,DCV WorkSpaces 的日志详细程度级别设置为信息。您可以将日志级别设置为详细程度级别(从最不详细到最详细),详见此处:

  • 错误 - 最不详细

  • Warning

  • 信息 - 默认

  • 调试 - 最详细

对于 Windows WorkSpaces,您可以使用组策略设置来配置日志详细程度级别。

为 Windows WorkSpaces 配置日志详细程度级别

  1. 在组策略管理编辑器中,依次选择计算机配置策略管理模板AmazonDCV

  2. 打开配置日志详细程度设置。

  3. 配置日志详细程度对话框中,选择启用,然后将日志详细程度级别设置为调试错误信息警告

  4. 选择确定

  5. 组策略设置更改将在 WorkSpace 的下一次组策略更新后和重新启动 WorkSpace 会话后生效。要应用组策略更改,请执行下列操作之一:

    • 重启 WorkSpace。在 Amazon WorkSpaces 控制台中,选择“WorkSpace”,然后依次选择操作重启 WorkSpaces

    • 在管理命令提示符处,输入 gpupdate /force

WorkSpaces 允许您配置用户在连接到 WorkSpaces 后在断开连接之前可以处于非活动状态的时长。以下为用户活动输入示例:

  • 键盘事件

  • 鼠标事件(光标移动、滚动、单击)

  • 触控笔事件

  • 触摸事件(点击触摸屏、平板电脑)

  • 游戏手柄事件

  • 文件存储操作(上传、下载、目录创建、列表项)

  • 网络摄像头流式传输

音频输入、音频输出和像素更改不符合用户活动条件。

启用空闲断开连接超时后,您可以选择通知您的用户,即:除非互动,否则他们的会话将在配置的时间内断开连接。

默认情况下,空闲断开连接超时处于禁用状态,超时值设置为 0 分钟,通知处于禁用状态。如果启用此策略设置,则空闲断开连接超时值默认为 60 分钟,空闲断开连接警告值默认为 60 秒。对于 Windows WorkSpace,您可以使用组策略设置配置此功能。

配置 Windows WorkSpaces 的空闲断开连接超时

  1. 在组策略管理编辑器中,依次选择计算机配置策略管理模板AmazonDCV

  2. 打开配置空闲断开连接超时设置。

  3. 配置空闲断开连接超时对话框中,选择启用,然后设置所需的断开连接超时值(以分钟为单位),也可以选择设置警告计时器值(以秒为单位)。

  4. 选择应用确定

  5. 组策略设置的更改会在您应用更改后立即生效。

默认情况下,Amazon WorkSpaces 禁用文件传输功能。您可以启用它,以允许用户在本地计算机和 WorkSpaces 会话之间上传和下载文件。这些文件将保存在 WorkSpaces 会话的我的存储文件夹中。

为 Windows WorkSpaces 启用文件传输

  1. 在组策略管理编辑器中,依次选择计算机配置策略管理模板AmazonDCV

  2. 打开配置会话存储设置。

  3. 配置会话存储对话框中,选择启用

  4. (可选)指定用于会话存储的文件夹(例如,c:/session-storage)。如果未指定,则会话存储的默认文件夹将是主文件夹。

  5. 您可以使用以下文件传输选项之一配置您的 WorkSpaces:

    • 选择 Download and Upload,允许双向文件传输。

    • 选择 Upload Only,仅允许将文件从本地计算机上传到您的 WorkSpaces 会话。

    • 选择 Download Only,仅允许将文件从 WorkSpaces 会话下载到本地计算机。

  6. 选择确定

  7. 组策略设置更改将在 WorkSpace 的下一次组策略更新后和重新启动 WorkSpace 会话后生效。要应用组策略更改,请执行下列操作之一:

    • 重启 WorkSpace。在 Amazon WorkSpaces 控制台中,选择“WorkSpace”,然后依次选择操作重启 WorkSpaces

    • 在管理命令提示符处,输入 gpupdate /force

使用此设置来配置网络摄像头分辨率设置。如果启用此策略设置,则可以指定:

  • 最大网络摄像头分辨率:它指定可从提供的分辨率中选择的最大网络摄像头分辨率。如果缺少此值或(0, 0),则使用默认值。

  • 首选的网络摄像头分辨率:它指定客户端提供的分辨率中首选的网络摄像头分辨率。如果不支持指定的分辨率,则会选择最接近的匹配分辨率。如果缺少此值或(0, 0),则使用默认值。

如果您禁用或未配置此策略设置,则使用默认分辨率。

为 Windows WorkSpaces 配置网络摄像头分辨率

  1. 在组策略管理编辑器中,依次选择计算机配置策略管理模板AmazonWSP

  2. 打开配置网络摄像头分辨率设置。

  3. 配置网络摄像头分辨率对话框中,选择启用,然后设置最大网络摄像头分辨率(以像素为单位)和/或首选网络摄像头分辨率(以像素为单位)。

  4. 选择确定

  5. 组策略设置更改将在 WorkSpace 的下一次组策略更新后和重新启动 WorkSpace 会话后生效。要应用组策略更改,请执行下列操作之一:

    • 重启 WorkSpace。在 Amazon WorkSpaces 控制台中,选择“WorkSpace”,然后依次选择操作重启 WorkSpaces

    • 在管理命令提示符处,输入 gpupdate /force

此设置可控制是否使用服务器端键盘布局进行按键解析,而不是使用默认的客户端键盘布局。对此设置的更改将在下次连接时生效。有关键盘操作的更多详细信息,请参阅《Amazon WorkSpaces 用户指南》

如果启用此策略设置,则可以选择以下选项之一:

  • 始终关闭:始终使用客户端布局

  • 始终打开:始终使用服务器布局

如果您禁用或未配置此策略设置,则使用始终关闭选项。

注意

Amazon WorkSpaces Windows 客户端版本 5.29.2 或更高版本以及 Amazon WorkSpaces macOS 客户端版本 5.30.0 或更高版本支持此功能。

为 Windows WorkSpaces 配置服务器键盘布局使用

  1. 在组策略管理编辑器中,依次选择计算机配置策略管理模板AmazonWSP

  2. 打开配置服务器键盘布局使用设置。

  3. 配置服务器键盘布局使用对话框中,选择启用,然后设置服务器键盘布局选项

  4. 选择确定

  5. 组策略设置更改将在 WorkSpace 的下一次组策略更新后和重新启动 WorkSpace 会话后生效。要应用组策略更改,请执行下列操作之一:

    • 重启 WorkSpace。在 Amazon WorkSpaces 控制台中,选择“WorkSpace”,然后依次选择操作重启 WorkSpaces

    • 在管理命令提示符处,输入 gpupdate /force

为 PCoIP 安装组策略管理模板

要在使用 PCoIP 协议时使用特定于 Amazon WorkSpaces 的组策略设置,您必须添加适用于 WorkSpaces 所用的 PCoIP 代理版本(32 位或 64 位)的组策略管理模板。

注意

如果您的 WorkSpaces 混合使用 32 位和 64 位代理,则您可以使用 32 位代理的组策略管理模板,并且您的组策略设置将同时应用于 32 位和 64 位代理。当您的所有 WorkSpaces 都使用 64 位代理时,您可以切换到使用 64 位代理的管理模板。

确定您的 WorkSpaces 使用 32 位代理还是 64 位代理

  1. 登录 WorkSpace,然后通过选择视图发送 Ctrl + Alt + Delete 或右键单击任务栏并选择任务管理器,打开任务管理器。

  2. 在任务管理器中,转到详细信息选项卡,右键单击列标题,然后选择选择列

  3. 选择列对话框中,选择平台,然后选择确定

  4. 详细信息选项卡上,查找 pcoip_agent.exe,然后在平台列中检查其值,以确定 PCoIP 代理是 32 位还是 64 位。(您可能会看到 32 位和 64 位 WorkSpaces 组件混合在一起;这是正常现象。)

要在 32 位 PCoIP 代理中使用 PCoIP 协议时使用 WorkSpaces 特有的组策略设置,您必须安装 PCoIP 的组策略管理模板。在目录管理 WorkSpace 或加入您目录的 Amazon EC2 实例上执行以下步骤。

有关使用.adm 文件的更多信息,请参阅 Microsoft 文档中的管理组策略管理模板 (.adm) 文件的建议

为 PCoIP 安装组策略管理模板

  1. 在运行的 Windows WorkSpace 中,复制 pcoip.adm 目录中的 C:\Program Files (x86)\Teradici\PCoIP Agent\configuration 文件。

  2. 在目录管理 WorkSpace 或加入您 WorkSpaces 目录的 Amazon EC2 实例上,打开组策略管理工具 (gpmc.msc) 并导航到域中包含 WorkSpaces 计算机账户的组织单位。

  3. 打开计算机账户组织单位对应的上下文 (右键单击) 菜单,然后选择在这个域中创建 GPO 并在此处链接...

  4. New GPO (新建 GPO) 对话框中,为 GPO 输入一个描述性名称(如 WorkSpaces Machine Policies),并将 Source Starter GPO (源 Starter GPO) 保留为 (无)。选择确定

  5. 打开新 GPO 的上下文(右键单击)菜单,然后选择 Edit (编辑)

  6. 在组策略管理编辑器中,依次选择计算机配置策略管理模板。从主菜单中依次选择操作添加/删除模板

  7. 添加/删除模板对话框中,单击添加,选择之前复制的 pcoip.adm 文件,然后依次选择打开关闭

  8. 关闭组策略管理编辑器。现在,您可以使用该 GPO 来修改特定于 WorkSpaces 的组策略设置。

验证管理模板文件是否已正确安装

  1. 在目录管理 WorkSpace 或加入您 WorkSpaces 目录的 Amazon EC2 实例上,打开组策略管理工具 (gpmc.msc),然后导航到 WorkSpaces 计算机账户的 WorkSpaces GPO 并选择它。在主菜单中依次选择操作编辑

  2. 在组策略管理编辑器中,依次选择 计算机配置策略管理模板经典管理模板PCoIP Session Variables

  3. 现在,您可以使用该 PCoIP 会话变量组策略对象,来修改使用 PCoIP 时特定于 Amazon WorkSpaces 的组策略设置。

    注意

    要允许用户覆盖您的设置,请选择可覆盖的管理员设置;否则,请选择不可覆盖的管理员设置

要在使用 PCoIP 协议时使用特定于 WorkSpaces 的组策略设置,必须将 PCoIP 的组策略管理模板 PCoIP.admxPCoIP.adml 文件添加到 WorkSpaces 目录域控制器的中央存储。有关 .admx.adml 文件的更多信息,请参阅如何在 Windows 中创建和管理组策略管理模板的中央存储

以下过程介绍了如何创建中央存储并向其中添加管理模板文件。在目录管理 WorkSpace 或加入您的 WorkSpaces 目录的 Amazon EC2 实例上执行以下步骤。

为 PCoIP 安装组策略管理模板文件

  1. 在运行的 Windows WorkSpace 中,复制 C:\Program Files\Teradici\PCoIP Agent\configuration\policyDefinitions 目录中的 PCoIP.admxPCoIP.adml 文件。PCoIP.adml 文件位于该目录的 en-US 子文件夹中。

  2. 在目录管理 WorkSpace 或已加入 WorkSpaces 目录的 Amazon EC2 实例上,打开 Windows 文件资源管理器,然后在地址栏中输入您组织的完全限定域名 (FQDN),例如 \\example.com

  3. 打开 sysvol 文件夹。

  4. 打开带有 FQDN 名称的文件夹。

  5. 打开 Policies 文件夹。您现在应该位于 \\FQDN\sysvol\FQDN\Policies 中。

  6. 如果该文件尚不存在,请创建一个名为 PolicyDefinitions 的文件夹。

  7. 打开 PolicyDefinitions 文件夹。

  8. PCoIP.admx 文件复制到 \\FQDN\sysvol\FQDN\Policies\PolicyDefinitions 文件夹中。

  9. PolicyDefinitions 文件夹中创建名为 en-US 的文件夹。

  10. 打开 en-US 文件夹。

  11. PCoIP.adml 文件复制到 \\FQDN\sysvol\FQDN\Policies\PolicyDefinitions\en-US 文件夹中。

验证管理模板文件是否已正确安装

  1. 在目录管理 WorkSpace 或已加入 WorkSpaces 目录的 Amazon EC2 实例上,打开组策略管理工具 (gpmc.msc)。

  2. 展开林(林:FQDN)。

  3. 展开

  4. 展开您的 FQDN(例如,example.com)。

  5. 展开组策略对象

  6. 选择默认域策略,打开上下文(右键单击)菜单,然后选择编辑

    注意

    如果支持 WorkSpaces 的域是 Amazon Managed Microsoft AD 目录,则无法使用默认域策略来创建 GPO。相反,您必须在具有委派权限的域容器下创建和链接 GPO。

    使用 Amazon Managed Microsoft AD 创建目录时,Amazon Directory Service 会在域根下创建一个 yourdomainname 组织单位 (OU)。此 OU 的名称基于您在创建目录时键入的 NetBIOS 名称。如果您未指定 NetBIOS 名称,则此名称将默认为您目录 DNS 名称的第一部分(例如,如果目录 DNS 名称为 corp.example.com,则 NetBIOS 名称将为 corp)。

    要创建 GPO,请改为选择默认域策略,选择 yourdomainname OU(或该组织下的任何 OU),打开上下文(右键单击)菜单,然后选择在此域中创建 GPO,并将其链接到此处

    有关 yourdomainname OU 的更多信息,请参阅《Amazon Directory Service 管理指南》中的创建的内容

  7. 在组策略管理编辑器中,依次选择计算机配置策略管理模板PCoIP 会话变量

  8. 现在,您可以使用该 PCoIP 会话变量组策略对象,来修改使用 PCoIP 时特定于 WorkSpaces 的组策略设置。

    注意

    要允许用户覆盖您的设置,请选择可覆盖的管理员设置;否则,请选择不可覆盖的管理员设置

管理 PCoIP 的组策略设置

使用组策略设置来管理使用 PCoIP 的 Windows WorkSpaces。

默认情况下,WorkSpaces 启用基本远程打印,它提供有限的打印功能,因为它在主机端使用通用打印机驱动程序以确保兼容打印。

Windows 客户端的高级远程打印让您可以使用打印机的特定功能(如双面打印),但需要在主机端安装匹配的打印机驱动程序。

远程打印实施为虚拟通道。如果虚拟通道被禁用,远程打印无法正常工作。

对于 Windows WorkSpace,您可以根据需要使用组策略设置来配置打印机支持。

配置打印机支持

  1. 确保已安装最新 PCoIP 的 WorkSpaces 组策略管理模板(32 位)PCoIP 的 WorkSpaces 组策略管理模板(64 位)

  2. 在目录管理 WorkSpace 或已加入 WorkSpaces 目录的 Amazon EC2 实例上,打开组策略管理工具 (gpmc.msc),然后导航到 PCoIP 会话变量

  3. 打开配置远程打印设置。

  4. Configure remote printing (配置远程打印) 对话框中,执行下列操作之一:

    • 要启用高级远程打印,请选择已启用,然后在选项Configure remote printing (配置远程打印) 下,选择 Basic and Advanced printing for Windows clients (适用于 Windows 客户端的基本和高级打印)。要自动使用客户端计算机的当前默认打印机,选择 Automatically set default printer (自动设置默认打印机)

    • 要禁用打印,请选择 Enabled (已启用),然后在 Options (选项)Configure remote printing (配置远程打印) 下选择 Printing disabled (已禁用打印)

  5. 选择确定

  6. 组策略设置更改将在 WorkSpace 的下一次组策略更新后和重新启动 WorkSpace 会话后生效。要应用组策略更改,请执行下列操作之一:

    • 重启 WorkSpace(在 Amazon WorkSpaces 控制台中,选择 WorkSpace,然后依次选择操作重启 WorkSpaces)。

    • 在管理命令提示符处,输入 gpupdate /force

默认情况下,本地打印机自动重定向被禁用。您可以使用组策略设置启用此功能,以便每次连接到 WorkSpace 时都将本地打印机设置为默认打印机。

注意

本地打印机重定向不适用于 Amazon Linux WorkSpaces。

启用本地打印机自动重定向

  1. 确保已安装最新 PCoIP 的 WorkSpaces 组策略管理模板(32 位)PCoIP 的 WorkSpaces 组策略管理模板(64 位)

  2. 在目录管理 WorkSpace 或已加入 WorkSpaces 目录的 Amazon EC2 实例上,打开组策略管理工具 (gpmc.msc),然后导航到 PCoIP 会话变量

  3. 打开配置远程打印设置。

  4. 选择启用,然后在选项配置远程打印下,选择以下一个选项:

    • 适用于 Windows 客户端的基本和高级打印

    • 基本打印

  5. 选择自动设置默认打印机,然后选择确定

  6. 组策略设置更改将在 WorkSpace 的下一次组策略更新后和重新启动 WorkSpace 会话后生效。要应用组策略更改,请执行下列操作之一:

    • 重启 WorkSpace(在 Amazon WorkSpaces 控制台中,选择 WorkSpace,然后依次选择操作重启 WorkSpaces)。

    • 在管理命令提示符处,输入 gpupdate /force

默认情况下,WorkSpaces 支持剪贴板重定向。如果 Windows WorkSpace 需要,您可以使用组策略设置禁用此功能。

要启用或禁用剪贴板重定向

  1. 确保已安装最新 PCoIP 的 WorkSpaces 组策略管理模板(32 位)PCoIP 的 WorkSpaces 组策略管理模板(64 位)

  2. 在目录管理 WorkSpace 或已加入 WorkSpaces 目录的 Amazon EC2 实例上,打开组策略管理工具 (gpmc.msc),然后导航到 PCoIP 会话变量

  3. 打开 Configure clipboard redirection 设置。

  4. 配置剪贴板重定向对话框中,选择启用,然后选择以下设置之一以确定允许剪贴板重定向的方向。完成后,选择确定

    • 双向禁用

    • 仅从代理到客户端单向启用(WorkSpace 到本地计算机)

    • 仅从客户端到代理单向启用(本地计算机到 WorkSpace)

    • 双向启用

  5. 组策略设置更改将在 WorkSpace 的下一次组策略更新后和重新启动 WorkSpace 会话后生效。要应用组策略更改,请执行下列操作之一:

    • 重启 WorkSpace(在 Amazon WorkSpaces 控制台中,选择 WorkSpace,然后依次选择操作重启 WorkSpaces)。

    • 在管理命令提示符处,输入 gpupdate /force

已知限制

在 WorkSpace 上启用剪贴板重定向后,如果您从 Microsoft Office 应用程序复制大于 890 KB 的内容,应用程序可能会变慢或长达 5 秒钟无响应。

网络连接中断时,您的活动 WorkSpaces 客户端会话将断开连接。如果网络连接在一定时间内恢复,则用于 Windows 和 macOS 的 WorkSpaces 客户端应用程序会自动尝试重新连接会话。默认的会话恢复超时为 20 分钟,但您可以为由您的域的组策略设置所控制的 WorkSpace 修改此值。

要设置自动会话恢复超时值

  1. 确保已安装最新 PCoIP 的 WorkSpaces 组策略管理模板(32 位)PCoIP 的 WorkSpaces 组策略管理模板(64 位)

  2. 在目录管理 WorkSpace 或已加入 WorkSpaces 目录的 Amazon EC2 实例上,打开组策略管理工具 (gpmc.msc),然后导航到 PCoIP 会话变量

  3. 打开 Configure Session Automatic Reconnection Policy 设置。

  4. Configure Session Automatic Reconnection Policy 对话框中,选择 Enabled,将 Configure Session Automatic Reconnection Policy 选项设置为所需的超时 (以分钟为单位),然后选择 OK

  5. 组策略设置更改将在 WorkSpace 的下一次组策略更新后和重新启动 WorkSpace 会话后生效。要应用组策略更改,请执行下列操作之一:

    • 重启 WorkSpace(在 Amazon WorkSpaces 控制台中,选择 WorkSpace,然后依次选择操作重启 WorkSpaces)。

    • 在管理命令提示符处,输入 gpupdate /force

默认情况下,Amazon WorkSpaces 支持从本地麦克风重定向数据。如果 Windows WorkSpace 需要,您可以使用组策略设置禁用此功能。

注意

如果您的组策略设置限制了用户在其 WorkSpaces 的本地登录,则音频输入将无法在您的 WorkSpaces 上运行。如果删除该组策略设置,则下次重启 WorkSpace 后将启用音频输入功能。有关此组策略设置的更多信息,请参阅 Microsoft 文档中的允许本地登录

启用或禁用音频输入重定向

  1. 确保已安装最新 PCoIP 的 WorkSpaces 组策略管理模板(32 位)PCoIP 的 WorkSpaces 组策略管理模板(64 位)

  2. 在目录管理 WorkSpace 或已加入 WorkSpaces 目录的 Amazon EC2 实例上,打开组策略管理工具 (gpmc.msc),然后导航到 PCoIP 会话变量

  3. 打开启用/禁用 PCoIP 会话的音频设置。

  4. 启用/禁用 PCoIP 会话的音频对话框中,选择启用禁用

  5. 选择确定

  6. 组策略设置更改将在 WorkSpace 的下一次组策略更新后和重新启动 WorkSpace 会话后生效。要应用组策略更改,请执行下列操作之一:

    • 重启 WorkSpace(在 Amazon WorkSpaces 控制台中,选择 WorkSpace,然后依次选择操作重启 WorkSpaces)。

    • 在管理命令提示符处,输入 gpupdate /force

默认情况下,WorkSpace 内的时间设置为用于连接到 WorkSpace 的客户端的时区。此行为是通过时区重定向控制的。您可能需要关闭时区定向的原因有多种:

  • 您的公司希望所有员工在特定时区中工作(即使某些员工在其他时区)。

  • 您在 WorkSpace 中计划的任务要在特定时区内的特定时间运行。

  • 频繁出差的用户希望将其 WorkSpace 保持在一个时区中,以保持一致性和个人偏好。

如果 Windows WorkSpace 需要,您可以使用组策略设置禁用此功能。

禁用时区重定向

  1. 确保已安装最新 PCoIP 的 WorkSpaces 组策略管理模板(32 位)PCoIP 的 WorkSpaces 组策略管理模板(64 位)

  2. 在目录管理 WorkSpace 或已加入 WorkSpaces 目录的 Amazon EC2 实例上,打开组策略管理工具 (gpmc.msc),然后导航到 PCoIP 会话变量

  3. 打开配置时区重定向设置。

  4. 配置时区重定向对话框中,选择禁用

  5. 选择确定

  6. 组策略设置更改将在 WorkSpace 的下一次组策略更新后和重新启动 WorkSpace 会话后生效。要应用组策略更改,请执行下列操作之一:

    • 重启 WorkSpace(在 Amazon WorkSpaces 控制台中,选择 WorkSpace,然后依次选择操作重启 WorkSpaces)。

    • 在管理命令提示符处,输入 gpupdate /force

  7. 将 WorkSpace 的时区设置为所需的时区。

WorkSpace 的时区现在是静态的,不再客户端计算机的时区。

对于 PCoIP,传输中数据使用 TLS 1.2 加密和 SigV4 请求签名进行加密。PCoIP 协议使用加密的 UDP 流量和 AES 加密来传输像素。使用端口 4172(TCP 和 UDP)的流式传输连接通过 AES-128 和 AES-256 密码进行加密,但加密默认为 128 位。您可以使用配置 PCoIP 安全设置组策略设置,将此默认值更改为 256 位。

您还可以使用此组策略设置来修改 TLS 安全模式以及屏蔽某些密码套件。配置 PCoIP 安全设置组策略对话框中提供了这些设置和支持的密码套件的详细说明。

配置 PCoIP 安全设置

  1. 确保已安装最新 PCoIP 的 WorkSpaces 组策略管理模板(32 位)PCoIP 的 WorkSpaces 组策略管理模板(64 位)

  2. 在目录管理 WorkSpace 或已加入 WorkSpaces 目录的 Amazon EC2 实例上,打开组策略管理工具 (gpmc.msc),然后导航到 PCoIP 会话变量

  3. 打开配置 PCoIP 安全设置设置。

  4. 配置 PCoIP 安全设置对话框中,选择启用。要将流式传输流量的默认加密设置为 256 位,请转到 PCoIP 数据加密密码选项,然后选择仅限 AES-256-GCM

  5. (可选)调整 TLS 安全模式设置,然后列出要屏蔽的所有密码套件。有关这些设置的更多信息,请参阅配置 PCoIP 安全设置对话框中提供的说明。

  6. 选择确定

  7. 组策略设置更改将在 WorkSpace 的下一次组策略更新后和重新启动 WorkSpace 会话后生效。要应用组策略更改,请执行下列操作之一:

    • 重启 WorkSpace(在 Amazon WorkSpaces 控制台中,选择 WorkSpace,然后依次选择操作重启 WorkSpaces)。

    • 在管理命令提示符处,输入 gpupdate /force

注意

Amazon WorkSpaces 目前仅支持针对 YubiKey U2F 进行 USB 重定向。其他类型的 USB 设备可能会被重定向,但它们不受支持,也可能无法正常运行。

为 YubiKey U2F 启用 USB 重定向

  1. 确保已安装最新 PCoIP 的 WorkSpaces 组策略管理模板(32 位)PCoIP 的 WorkSpaces 组策略管理模板(64 位)

  2. 在目录管理 WorkSpace 或已加入 WorkSpaces 目录的 Amazon EC2 实例上,打开组策略管理工具 (gpmc.msc),然后导航到 PCoIP 会话变量

  3. 打开启用/禁用 PCoIP 会话的 USB 设置。

  4. 选择启用,然后选择确定

  5. 打开配置 PCoIP USB 允许和不允许的设备规则设置。

  6. 选择启用,然后在输入 USB 授权表(最多十条规则)下,配置您的 USB 设备允许列表规则。

    1. 授权规则 - 110500407。此值是供应商 ID (VID) 和产品 ID (PID) 的组合。VID/PID 组合的格式为 1xxxxyyyy,其中 xxxx 是十六进制格式的 VID,yyyy 是十六进制格式的 PID。在本例中,1050 是 VID,0407 是 PID。要了解更多 YubiKey USB 值,请参阅 YubiKey USB ID 值

  7. 输入 USB 授权表(最多十条规则)下,配置您的 USB 设备屏蔽列表规则。

    1. 对于取消授权规则,设置一个空字符串。这意味着仅允许授权列表中的 USB 设备。

    注意

    您最多可以定义 10 条 USB 授权规则和最多 10 条 USB 取消授权规则。使用竖线 (|) 字符分隔多个规则。有关授权/取消授权规则的详细信息,请参阅适用于 Windows 的 Teradici PCoIP 标准代理

  8. 选择确定

  9. 组策略设置更改将在 WorkSpace 的下一次组策略更新后和重新启动 WorkSpace 会话后生效。要应用组策略更改,请执行下列操作之一:

    • 重启 WorkSpace(在 Amazon WorkSpaces 控制台中,选择 WorkSpace,然后依次选择操作重启 WorkSpaces)。

    • 在管理命令提示符处,输入 gpupdate /force

设置生效后,除非通过 USB 设备规则设置配置限制,否则所有支持的 USB 设备都可以重定向到 WorkSpaces。

设置 Kerberos 票证的最长使用期限

如果您尚未禁用 Windows WorkSpaces 的记住我功能,则您的 WorkSpace 用户可以使用其 WorkSpaces 客户端应用程序中的记住我保持登录状态复选框来保存其凭证。此功能允许用户在客户端应用程序保持运行时轻松连接到他们的 WorkSpaces。他们的凭证安全地缓存到 Kerberos 票证中,时间可达其最长使用期限。

如果您的 WorkSpace 使用 AD Connector 目录,则可以按照 Microsoft Windows 文档中用户票证的最长使用期限中的步骤,通过组策略来修改 WorkSpaces 用户的 Kerberos 票证的最长使用期限。

要启用或禁用 Remember Me 功能,请参阅 为 WorkSpaces 个人版中的用户启用自助式 WorkSpace 管理功能

配置用于互联网访问的设备代理服务器设置

默认情况下,WorkSpaces 客户端应用程序使用在设备操作系统设置中为 HTTPS(端口 443)流量指定的代理服务器。Amazon WorkSpaces 客户端应用程序使用 HTTPS 端口进行更新、注册和身份验证。

注意

不支持需要使用登录凭证进行身份验证的代理服务器。

您可以按照 Microsoft 文档内配置设备代理和互联网连接设置中的步骤,通过组策略为 Windows WorkSpaces 配置设备代理服务器设置。

有关在 WorkSpaces Windows 客户端应用程序中配置代理设置的更多信息,请参阅《Amazon WorkSpaces 用户指南》中的代理服务器

有关在 WorkSpaces macOS 客户端应用程序中配置代理设置的更多信息,请参阅《Amazon WorkSpaces 用户指南》中的代理服务器

有关在 WorkSpaces Web Access 客户端应用程序中配置代理设置的更多信息,请参阅《Amazon WorkSpaces 用户指南》中的代理服务器

代理桌面流量

对于 PCoIP WorkSpaces,桌面客户端应用程序不支持使用代理服务器,也不支持 TLS 对 UDP 中的端口 4172 流量(用于桌面流量)进行解密和检查。它们需要直接连接到端口 4172。

对于 DCV WorkSpaces,WorkSpaces Windows 客户端应用程序(5.1 及更高版本)和 macOS 客户端应用程序(5.4 及更高版本)支持使用 HTTP 代理服务器处理端口 4195 TCP 流量。不支持 TLS 解密和检查。

DCV 不支持使用代理来处理通过 UDP 进行的桌面流量。只有 WorkSpaces Windows 和 macOS 桌面客户端应用程序以及 Web Access 支持对 TCP 流量使用代理。

注意

如果您选择使用代理服务器,则还会代理客户端应用程序对 WorkSpaces 服务进行的 API 调用。API 调用和桌面流量都应通过同一个代理服务器。

关于使用代理服务器的建议

我们不建议使用代理服务器来处理您的 WorkSpaces 桌面流量。

Amazon WorkSpaces 桌面流量已经过加密,因此,代理并不能提高安全性。代理代表网络路径中的额外跳跃,它可能会通过引入延迟来影响流式传输质量。如果代理的大小不合适,无法处理桌面流式传输流量,则代理也可能会降低吞吐量。此外,大多数代理不是为支持长时间运行的 WebSocket (TCP) 连接而设计的,因此,可能会影响流式传输质量和稳定性。

如果您必须使用代理,请使代理服务器尽可能靠近 WorkSpace 客户端,最好位于同一网络中,以免增加网络延迟,从而可能会对流式传输质量和响应能力产生负面影响。

启用 Amazon WorkSpaces for Zoom Meeting Media Plugin 支持

使用 Zoom VDI 插件,Zoom 支持针对基于 DCV 和 PCoIP Windows 的 WorkSpaces 进行优化的实时通信。直接客户端通信允许视频通话绕过基于云的虚拟桌面,并在用户 WorkSpaces 内进行会议时提供类似本地的 Zoom 体验。

为 DCV 启用 Zoom Meeting Media Plugin

在安装 Zoom VDI 组件之前,更新您的 WorkSpaces 配置以支持 Zoom 优化。

先决条件

在使用该插件之前,请确保您满足以下要求。

开始前的准备工作

  1. 启用扩展组策略设置。有关更多信息,请参阅 为 DCV 配置扩展

  2. 禁用自动重新连接组策略设置。有关更多信息,请参阅 为 DCV 设置会话恢复超时

安装 Zoom 组件

要启用 Zoom 优化,请在您的 Windows WorkSpaces 上安装 Zoom 提供的两个组件。有关更多信息,请参阅 Using Zoom for Amazon Web Services

  1. 在您的 WorkSpace 中安装 Zoom VDI Meeting 客户端 5.12.6+ 版本。

  2. 在安装 WorkSpace 的客户端上安装 Zoom VDI 插件(Windows 通用安装程序)5.12.6+ 版本

  3. 通过确认您的 VDI 插件状态在 Zoom VDI 客户端中显示为已连接,验证插件是否在优化 Zoom 流量。有关更多信息,请参阅 How to confirm Amazon WorkSpaces optimization

为 PCoIP 启用 Zoom Meeting Media Plugin

拥有 Active Directory 管理员权限的用户可以使用其组策略对象(GPO)生成注册表项。这允许用户使用强制更新将注册表项发送到您域中的所有 Windows WorkSpaces。或者,拥有管理员权限的用户也可以在他们的 WorkSpaces 主机上单独安装注册表项。

先决条件

在使用该插件之前,请确保您满足以下要求。

  • Windows WorkSpaces 客户端 5.4.0+ 版本,并带有 Zoom VDI 插件 5.12.6+ 版本。

  • 在您的 WorkSpaces 中 - Zoom VDI Meeting 客户端 5.12.6+ 版本。

在 Windows WorkSpaces 主机上创建注册表项

完成以下步骤,在 Windows WorkSpaces 主机上创建注册表项。在 Windows WorkSpaces 上使用 Zoom 需要注册表项。

  1. 以管理员身份打开 Windows 注册表编辑器。

  2. 转到 \HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Amazon

  3. 如果扩展密钥不存在,请右键单击并选择新建 > 密钥,然后将其命名为 Extension

  4. 在新的扩展密钥中,右键单击并选择新建 > DWORD,然后将其命名为 enable。名称必须为小写。

  5. 选择新的 DWORD,并将更改为 1

  6. 重启计算机以完成该过程。

  7. 在您的 WorkSpaces 主机上,下载并安装最新的 Zoom VDI 客户端。在 WorkSpaces 客户端(5.4 或更高版本)上,下载并安装适用于 Amazon WorkSpaces 的最新 Zoom VDI 客户端插件。有关更多信息,请参阅 Zoom 支持网站 上的 VDI 版本和下载内容

启动 Zoom 开始视频通话。

故障排除

完成以下操作,排查 Zoom on Windows WorkSpaces 问题。

  • 确认注册表项激活并已正确应用。

  • 转到 C:\ProgramData\Amazon\Amazon WorkSpaces Extension。您应查看 wse_core_dll

  • 确保主机和客户端上的版本正确且相同。

如果您仍然遇到问题,请使用 Amazon Web Services 支持 中心联系 Amazon Web Services 支持。

您可以使用以下示例将 GPO 应用为目录管理员。

  • WSE.adml

    <?xml version="1.0" encoding="utf-8"?>
<policyDefinitionResources xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" revision="1.0" schemaVersion="1.0" xmlns="http://www.microsoft.com/GroupPolicy/PolicyDefinitions">
    <!-- 'displayName' and 'description' don't appear anywhere. All Windows native GPO template files have them set like this. -->
    <displayName>enter display name here</displayName>
    <description>enter description here</description>

    <resources>
    <stringTable>
        <string id="SUPPORTED_ProductOnly">N/A</string>
        <string id="Amazon">Amazon</string>
        <string id="Amazon_Help">Amazon Group Policies</string>
        <string id="WorkspacesExtension">Workspaces Extension</string>
        <string id="WorkspacesExtension_Help">Workspace Extension Group Policies</string>

        <!-- Extension Itself -->
        <string id="ToggleExtension">Enable/disable Extension Virtual Channel</string>
        <string id="ToggleExtension_Help">
Allows two-way Virtual Channel data communication for multiple purposes

By default, Extension is disabled.</string>

    </stringTable>
    </resources>
</policyDefinitionResources>

  • WSE.admx

    <?xml version="1.0" encoding="utf-8"?>
<policyDefinitions xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" revision="1.0" schemaVersion="1.0" xmlns="http://www.microsoft.com/GroupPolicy/PolicyDefinitions">
    <policyNamespaces>
        <target prefix="WorkspacesExtension" namespace="Microsoft.Policies.Amazon.WorkspacesExtension" />
    </policyNamespaces>
    <supersededAdm fileName="wse.adm" />
    <resources minRequiredRevision="1.0" />
    <supportedOn>
        <definitions>
            <definition name="SUPPORTED_ProductOnly" displayName="$(string.SUPPORTED_ProductOnly)"/>
        </definitions>
    </supportedOn>
    <categories>
        <category name="Amazon" displayName="$(string.Amazon)" explainText="$(string.Amazon_Help)" />
        <category name="WorkspacesExtension" displayName="$(string.WorkspacesExtension)" explainText="$(string.WorkspacesExtension_Help)">
            <parentCategory ref="Amazon" />
        </category>
    </categories>

    <policies>
        <policy name="ToggleExtension" class="Machine" displayName="$(string.ToggleExtension)" explainText="$(string.ToggleExtension_Help)" key="Software\Policies\Amazon\Extension" valueName="enable">
            <parentCategory ref="WorkspacesExtension" />
            <supportedOn ref="SUPPORTED_ProductOnly" />
            <enabledValue>
                <decimal value="1" />
            </enabledValue>
            <disabledValue>
                <decimal value="0" />
            </disabledValue>
        </policy>
    </policies>
</policyDefinitions>