Amazon WorkSpaces – personalización de Amazon Workspaces utilizando objetos de directiva de grupo (GPO) de directorio activo

Por: Caio Ribeiro César

Amazon WorkSpaces es una solución de escritorios como servicio (DaaS) gestionada y segura.

Puede utilizar Amazon WorkSpaces para aprovisionar escritorios Windows o Linux en solo unos minutos y escalar rápidamente con el objetivo de ofrecer miles de escritorios a empleados de todo el mundo. Puede pagar los WorkSpaces que implemente por mes o por hora, lo que le permite ahorrar dinero en comparación con los escritorios tradicionales y las soluciones de VDI locales. Amazon WorkSpaces lo ayuda a eliminar la complejidad en la administración del inventario de hardware, las versiones y actualizaciones de sistema operativo, y la infraestructura de escritorio virtual (VDI), lo que ayuda a simplificar su estrategia de entrega de escritorio. Con Amazon WorkSpaces, sus usuarios obtienen el escritorio que elijan, rápido y con buena capacidad de respuesta, al que pueden acceder desde cualquier lugar, en cualquier momento y desde cualquier dispositivo compatible.

En esta publicación, mostraremos como utilizar objetos de directiva de grupo (GPO) para administrar las configuraciones de Windows WorkSpaces o usuarios que formen parte del directorio de Windows WorkSpaces.

Las instancias de Linux no siguen la directiva de grupo. Para obtener información sobre la administración de Amazon Linux WorkSpaces, consulte Manage Amazon Linux WorkSpaces.

Al seleccionar la opción «Launch WorkSpaces», se listan los directorios configurados en la cuenta de AWS (opciones como Microsoft AD Connector/ Microsoft AD administrado):

A continuación, iniciamos WorkSpaces con AD Connector configurado como directorio; en este escenario, estamos utilizando un usuario llamado “developer”. Una vez que WorkSpaces finaliza la configuración inicial, se crea el objeto de equipo. En este escenario, el objeto de tipo maquina IP-C613AE48:

Para la organización y la jerarquía, movemos este objeto a la unidad organizativa (OU) llamada Workspaces_OU. El objeto inicialmente se crea en la unidad organizativa “Computers”:

A continuación, instalamos el cliente de Amazon WorkSpaces y nos autenticamos:

Ahora vamos a crear la plantilla administrativa de directiva de grupo específica para Workspaces_OU que se personalizará para prohibir el portapapeles en Windows Workspaces.

Inicialmente, copiaremos el archivo pcoip.adm de Workspace para utilizarlo como plantilla administrativa para el controlador de dominio responsable de los GPO de la organización.

Tenga en cuenta que el usuario que inició sesión en WorkSpaces no puede copiar y pegar el archivo “pcoip.adm” entre las sesiones del escritorio virtual y el dispositivo cliente; para tener alguna forma de integrar archivos, configure WorkDocs.

Una vez el archivo ha sido copiado, vamos al controlador de dominio y seleccionamos la opción “Create a GPO in this domain” en la OU “Workspaces_OU”, en este caso la política se ha nombrado como “WorkSpaces”:

Una vez creada la política, se debe editar y agregar la plantilla administrativa. Para esto se debe ir a “Computer>Policies>Administrative Templates” y agregar. Finalmente se debe seleccionar la plantilla copiada “pcoip.adm”.

Seleccionamos la opción “Configure clipboard redirection” en “Administrative Templates,Classic Administrative Templates, PCoIP Session Variables, and Overridable Administrator Defaults”:

Seleccionamos la opción deseada:

1. Deshabilitado en ambas direcciones.
2. Deshabilitado entre Agente > Cliente.
3. Deshabilitado entre Cliente > Agente.

Volviendo al Workspace, ejecutamos un “gpupdate /force” para aplicar la política y luego un «rsop.msc» para validar que se está aplicando el GPO:

Luego probamos una copia de ambos lados, y vemos que la opción no está permitida.

Workspace:

Agente:

*La función de pegar desde el Workspace al equipo del agente, estaría bloqueada después de este proceso. Sería recomendable añadir una GPO que impida al computador del agente tome capturas de pantalla para complementar la configuración anterior.

Como se indica a continuación, el administrador local no puede editar el GPO heredado de la unidad organizativa porque sólo tiene permiso de opciones locales (gpedit.msc) y la plantilla de administración clásica tampoco aparece en la lista.

A medida que agregamos la política en la unidad organizativa, tenemos una mayor jerarquía y procedencia.

En esta publicación, analizamos Amazon WorkSpaces y los métodos de administración de objetos de directiva de grupo (GPO). Los WorkSpaces se ejecutan en instancias de Amazon EC2 alojadas en la VPC. La comunicación entre EC2 y el cliente se efectúa mediante el protocolo PCoIP (PC sobre IP). La conexión del cliente debe permitir conexiones TCP y UDP salientes en el puerto 4172, junto con conexiones TCP salientes en el puerto 443.

Sobre el Autor

Caio Ribeiro Cesar actualmente trabaja como arquitecto de soluciones especializado en tecnología de Microsoft en la nube de AWS. Comenzó su carrera profesional como administrador de sistemas, que continuó durante más de 13 años en áreas como seguridad de la información, identidad en línea y plataformas de correo electrónico corporativo. Recientemente se hizo fanático de la computación en la nube de AWS y ayuda a los clientes a aprovechar el poder de la tecnología de Microsoft en AWS.

Revisor

Luis Eduardo Torres es Solutions Architect en AWS.