Blog de Amazon Web Services (AWS)

Amazon WorkSpaces: personalización de objetos de directiva de grupo (GPO) de Active Directory

Por: Caio Ribeiro César

 

Amazon WorkSpaces es una solución de escritorio como servicio (DaaS) gestionada y segura.

Puede utilizar Amazon WorkSpaces para aprovisionar escritorios Windows o Linux en solo unos minutos y también para escalar rápidamente con el objetivo de proporcionar miles de escritorios a empleados de todo el mundo. Puede pagar los WorkSpaces que implemente por mes o por hora, lo que le permite ahorrar dinero en comparación con los escritorios tradicionales y las soluciones de VDI locales. Amazon WorkSpaces lo ayuda a eliminar la complejidad en la administración del inventario de hardware, las versiones y los parches del sistema operativo, y la infraestructura de escritorio virtual (VDI), que ayuda a simplificar su estrategia de entrega de escritorio. Con Amazon WorkSpaces, sus usuarios obtienen el escritorio que elijan, rápido y con buena capacidad de respuesta, al que pueden acceder desde cualquier lugar, en cualquier momento y desde cualquier dispositivo compatible.

En esta publicación, usaremos Objetos de directiva de grupo (GPO) y aplicaremos la configuración para administrar Windows WorkSpaces o usuarios que formen parte del directorio de Windows WorkSpaces.

Las instancias de Linux no siguen la directiva de grupo. Para obtener información sobre la administración de Amazon Linux WorkSpaces, consulte Manage Amazon Linux WorkSpaces.

Al seleccionar la opción «Launch WorkSpaces», tengo visibilidad de los directorios configurados en mi cuenta de AWS (opciones como AD Connector/AD administrado):

 

A continuación, iniciamos WorkSpaces con AD Connector configurado como directorio; en este escenario, estamos utilizando un usuario llamado «developer». Una vez que WorkSpaces finaliza la configuración inicial, se crea el objeto de equipo. En este escenario, objeto IP-C613AE48:

 

Para la organización y la jerarquía, moveremos este objeto a los espacios de trabajo de la unidad organizativa (OU). Podemos validar que el objeto se creó inicialmente en la unidad organizativa «Computadoras»:

 

 

Hemos instalado el cliente de Amazon WorkSpaces y hemos autenticado:

 

 

Ahora vamos a crear la plantilla de administrador de GPO específica para Workspaces_OU que se personalizará para prohibir el portapapeles en Windows Workspaces.

Inicialmente, copiaremos el archivo pcoip.adm de Workspace para utilizarlo como plantilla administrativa para el controlador de dominio responsable de los GPO de la organización.

Tenga en cuenta que el usuario que inició sesión en WorkSpaces no puede copiar y pegar el archivo «pcoip.adm» entre client<>sesiones de agente; para tener alguna forma de integrar archivos, simplemente configure WorkDocs.

 

 

Vamos al controlador de dominio y seleccionamos la opción «Crear un GPO en este dominio»:

 

En «Computer>Polices>Plantillas Administrativas > Agregar», añadiremos la plantilla de Espacios de Trabajo copiada: «pcoip.adm».

 

 

 

Hemos seleccionado la opción Configurar redirección del portapapeles en «Plantillas administrativas, Plantillas administrativas clásicas, Variables de sesión PCoIP y Valores predeterminados de administrador reemplazables»:

Seleccionamos la opción deseada:

  1. Deshabilitado en ambas direcciones;
  2. Deshabilitado entre Agente > Cliente;
  3. Deshabilitado entre Cliente > Agente.

 

 

Volviendo a Workspace, ejecutamos un «gpupdate /force» para aplicar la política y luego un «rsop.msc» para validar que se está aplicando el GPO:

 

Luego probamos una copia de ambos lados, recibiendo la cerradura con éxito.

Espacio de trabajo:

 

Agente:

 

*Recordar que sería interesante tener un GPO bloqueando el equipo del agente para que no tome una captura de pantalla, ya que la pantalla de impresión con pasta para el agente ya está bloqueada en WorkSpaces después de este proceso.

Como se indica a continuación, el administrador local no puede editar el GPO heredado de la unidad organizativa porque sólo tiene permiso de opciones locales (gpedit.msc) y la plantilla de administración clásica tampoco aparece en la lista.

A medida que agregamos la política en la unidad organizativa, tenemos una mayor jerarquía y procedencia.

 

 

 

 

En esta publicación, analizamos Amazon WorkSpaces y los métodos de administración de objetos de directiva de grupo (GPO). WorkSpaces se ejecutan en instancias de Amazon EC2 alojadas en la VPC. La comunicación entre EC2 y el cliente se gestiona mediante el protocolo PCoIP (PC sobre IP). La conexión del cliente debe permitir conexiones TCP y UDP salientes en el puerto 4172, junto con conexiones TCP salientes en el puerto 443.

 


Acerca de Autor

Caio Ribeiro Cesar actualmente trabaja como arquitecto de soluciones especializado en tecnología de Microsoft en la nube de AWS. Comenzó su carrera profesional como administrador de sistemas, que continuó durante más de 13 años en áreas como seguridad de la información, identidad en línea y plataformas de correo electrónico corporativo. Recientemente se hizo fanático de la computación en la nube de AWS y ayuda a los clientes a aprovechar el poder de la tecnología de Microsoft en AWS.