Blog de Amazon Web Services (AWS)

Amazon WorkSpaces – La falta de acceso al disco local (D:)

Por Caio Ribeiro Cesar, Arquitecto de Solciones Especializadas en Tecnología de Microsoft en la nube AWS
Daniel Pires, Sr. Technical Account Manager de AWS

 

Recientemente, se nos informó de que al instalar Amazon WorkSpaces en un entorno integrado con Active Directory existente, los usuarios finales recibían errores de “driver is not accessible”. En esta publicación, analizaremos cómo resolver este problema cuando su organización tenga un entorno de Amazon WorkSpaces, utilizando AD Connector para dirigir las solicitudes de directorio a Microsoft Active Directory local (sin almacenar en caché ninguna información en la nube) o incluso utilizando el servicio administrado de AWS Active Directory, denominado AWS Managed Microsoft AD.

Amazon WorkSpaces es una solución de desktop como servicio (DaaS) administrada y segura. Puede utilizar Amazon WorkSpaces para aprovisionar desktops Windows o Linux en cuestión de minutos y escalar rápidamente para entregar miles de desktops a empleados de todo el mundo. Amazon WorkSpaces ayuda a eliminar la complejidad de administrar el inventario de hardware, las versiones y parches del SO y la infraestructura de escritorio virtual (VDI), lo que ayuda a simplificar su estrategia de entrega de desktops.

Con Amazon WorkSpaces, los usuarios obtienen un desktop rápido y sensible de su elección al que se puede acceder desde cualquier lugar, en cualquier momento y desde cualquier dispositivo compatible. Comprueba aquí si tu dispositivo es compatible.

Amazon WorkSpaces utiliza directorios para almacenar y administrar información de WorkSpaces y usuarios. Como servicio de directorio, puede elegir entre las siguientes opciones:

  • Simple Active Directory (no disponible en la región de Brasil).
  • Active Directory Connector.
  • AWS Directory Service para Microsoft Active Directory, también conocido como “AWS Managed AD”
  • Directorios externos, como Servicios de dominio de Azure Active Directory.

La aplicación cliente Amazon WorkSpaces para Windows y macOS admite teclados y mouses USB y Bluetooth, auriculares de audio e impresoras USB. La aplicación cliente WorkSpaces para Linux admite teclados y mouses USB. La aplicación cliente WorkSpaces no admite cámaras web u otros dispositivos de vídeo u otros periféricos conectados localmente, como los dispositivos de almacenamiento.

Cuando los administradores inician un entorno de Amazon Workspaces, se integrará con Active Directory y, en consecuencia, con las directivas de dominio aplicables a estos equipos (GPO aplicado a nivel de sitio, dominio o unidad organizativa). Un usuario puede conectarse a un WorkSpaces desde cualquier dispositivo compatible mediante la aplicación cliente gratuita de Amazon WorkSpaces, incluidos ordenadores Windows y Mac, Chromebooks, iPads, tabletas Fire, tabletas Android o navegadores web Chrome o Firefox. Los usuarios iniciarán sesión con credenciales configuradas por un administrador o con sus propias credenciales de Active Directory existentes si decide integrar sus Amazon WorkSpaces con un dominio de Active Directory existente. Una vez que el usuario ha iniciado sesión en un WorkSpace, puede realizar todas las tareas habituales que haría en un equipo de escritorio.

En el escenario descrito en esta publicación, al iniciar sesión en WorkSpace, algunos usuarios recibieron el siguiente mensaje de error:

 

 

Al ejecutar un conjunto resultante de directivas (RSoP) en equipos afectados, encontramos una peculiaridad en un GPO específico:

 

 

El valor de “Computer Configuration\Admin templates\System\removable storage access\all removable storage classes” se configuró con la opción “Deny All access”.

 

 

¿Qué significa eso? A partir de Windows 7 y Windows Server 2008 R2, Microsoft ha agregado algunos controles adicionales para facilitar el bloqueo del acceso al almacenamiento extraíble, incluidas unidades flash y unidades de DVD. Con esta política habilitada para “Denegar todo acceso”, Amazon Workspaces no mostrará los discos al usuario final.

Debido a que este entorno de Active Directory estaba en producción, no hemos podido realizar ningún cambio intrusivo para resolver este problema. Es decir, elegimos un filtro WMI para eliminar Amazon WorkSpaces de esta configuración de “Deny” en “Removable Storage Classes”.

En otras palabras, los clientes de AWS que deseen mantener esta configuración mientras ejecutan Amazon Workspaces en su entorno pueden optar por WMI Filter.  Windows Management Instrumentation (WMI) es la implementación de Microsoft de Web-Based Enterprise Management (WBEM), que es una iniciativa del sector para desarrollar una tecnología estándar para acceder a la información de administración en un entorno empresarial. WMI utiliza el estándar de sector del Common Information Model (CIM) para representar sistemas, aplicaciones, redes, dispositivos y otros componentes administrados. La CIM es desarrollada y mantenida por el Distributed Management Task Force (DMTF).

Para crear el filtro WMI, vamos a la consola Administración de directivas de grupo > Filtros WMI:

 

 

Hemos creado un nuevo filtro WMI:

 

 

Para comprender cómo se podía crear el filtro, hemos recopilado los datos de WMI de los equipos de Amazon WorkSpaces con el nombre primarioWnerName de “EC2”.

Get-WmiObject -query "select * from Win32_ComputerSystem"

 

 

Obs.: Esta es una de las formas de filtrar un Amazon WorkSpaces; la mejor opción es comprender siempre qué se adapta mejor a su entorno de Active Directory.

En el filtro WMI, agregamos la entrada:

SELECT * FROM Win32_ComputerSystem Where PrimaryOwnerName='EC2'

 

Después de iniciar sesión, el problema se ha resuelto.

Además de la solución explicada anteriormente, Amazon WorkSpaces admite la redirección de impresoras locales. Al imprimir desde una aplicación en su WorkSpace, las impresoras locales se incluyen en la lista de impresoras disponibles. Las impresoras locales tienen un atributo asociado al nombre para mostrar de la impresora. Normalmente, este atributo se puede encontrar con el nombre “Local”. Seleccione una de las impresoras locales y sus documentos se imprimirán en esta impresora.

Para esta configuración, hemos creado una nueva política que realiza USB Enable para la sesión PCoIP (teniendo siempre en cuenta los periféricos compatibles: teclados y ratones USB y Bluetooth, auriculares de audio USB e impresoras USB ).

 

 

Configuramos la tabla de autorización USB en “Permitir todo el formato USB”:

 

 

Desactivamos el opción “allowed/unallowed device rules”:

 

 

Desde la sesión de Amazon WorkSpaces, seleccionamos la impresora local y, para nuestra prueba final, imprimimos una página de este WorkSpaces en la impresora local (USB) conectada al ordenador local.

 

 

En esta publicación, analizamos Amazon WorkSpaces y los métodos de administración para el objeto de directiva de grupo (GPO). WorkSpaces se ejecutan en instancias de Amazon EC2 alojadas en la VPC. La comunicación entre EC2 y el cliente se gestiona mediante el protocolo PCoIP (PC sobre IP). La conexión del cliente debe permitir conexiones TCP y UDP salientes en el puerto 4172, junto con conexiones TCP salientes en el puerto 443.

 

Este artículo fue traducido del Blog de AWS en Portugués.

 


Sobre los autores

Caio Ribeiro Cesar trabaja actualmente como arquitecto de soluciones tecnológicas de Microsoft en la nube de AWS. Comenzó su carrera profesional como administrador de sistemas, que continuó durante más de 13 años en áreas como Seguridad de la Información, Identidad Online y Plataformas de Correo Electrónico Corporativo. Recientemente, se ha convertido en un fan de la informática en la nube de AWS y ayuda a los clientes a aprovechar el poder de la tecnología de Microsoft en AWS.

 

 

 

Daniel Pires trabaja actualmente como Sr. Gestor técnico de cuentas en Amazon Web Services. Ha trabajado con tecnologías de Microsoft durante más de 15 años (Active Directory, Hybrid Identity, Microsoft Azure).