O blog da AWS
Amazon WorkSpaces – o problema de falta de acesso ao Disco Local (D:)
Por Caio Ribeiro Cesar, Arquiteto de Soluções Especializadas em Tecnologia da Microsoft na nuvem AWS
Daniel Pires, Sr. Technical Account Manager na AWS
Recentemente, fomos informados que ao instalar o Amazon WorkSpaces em um ambiente integrado ao Active Directory existente, os usuários finais estavam recebendo erros de “driver is not accessible”. Neste post, iremos discutir como resolver este problema quando a organização possui um ambiente de Amazon WorkSpaces, utilizando o AD Connector para direcionar solicitações de diretório para o Microsoft Active Directory local (sem armazenar nenhuma informação em cache na nuvem), ou até mesmo usando o serviço gerenciado de Active Directory da AWS, chamado AWS Managed Microsoft AD.
O Amazon WorkSpaces é uma solução de desktop como serviço (DaaS) gerenciada e segura.Você pode usar o Amazon WorkSpaces para provisionar desktops Windows ou Linux em apenas alguns minutos e escalar rapidamente para oferecer milhares de desktops para funcionários em todo o mundo. O Amazon WorkSpaces ajuda a eliminar a complexidade do gerenciamento de inventário de hardware, a manter versões e aplicar atualizações de Sistemas Operacionais e infraestrutura de desktops virtuais (VDI), simplificando a estratégia de entrega de desktops.
Com o Amazon WorkSpaces, os usuários obtêm um desktop rápido e responsivo à sua escolha, que pode ser acessado a partir de qualquer lugar, a qualquer momento, de qualquer dispositivo compatível. Confira aqui se seu dispositivo é compatível.
O Amazon WorkSpaces usa diretórios para armazenar e gerenciar informações para seus WorkSpaces e usuários. Como serviço de diretório, você pode escolher entre as opções abaixo:
- Simple Active Directory (não disponível na região São de Paulo)
- Active Directory Connector
- AWS Directory Service para o Microsoft Active Directory, também conhecido como “Managed AD”
- Diretórios externos, como o Azure Active Directory Domain Services
O aplicativo cliente Amazon WorkSpaces para Windows e macOS oferecem suporte a teclados e mouses USB e Bluetooth, fones de ouvido de áudio e impressoras USB. O aplicativo cliente WorkSpaces para Linux oferece suporte a teclados e mouses USB. O aplicativo cliente WorkSpaces não oferecem suporte a webcams ou outros dispositivos de vídeo, ou outros periféricos conectados localmente, como dispositivos de armazenamento.
Quando administradores iniciam um ambiente Amazon Workspaces, ele será integrado ao Active Directory e consequentemente à políticas de domínio aplicáveis a estes computadores (GPO aplicada a nível de site, domínio e/ou Unidade Organizacional). Um usuário pode se conectar a um WorkSpace de qualquer dispositivo compatível, usando o aplicativo cliente Amazon WorkSpaces gratuito, incluindo computadores Windows e Mac, Chromebooks, iPads, tablets Fire, tablets Android ou usando os navegadores da web Chrome ou Firefox. Os usuários se conectarão usando credenciais configuradas por um administrador ou usando suas próprias credenciais existentes do Active Directory, caso você tenha optado por integrar seu Amazon WorkSpaces a um domínio existente do Active Directory. Assim que o usuário estiver conectado a um WorkSpace, ele poderá realizar todas as tarefas usuais que faria em um computador desktop.
No cenário discutido neste post, ao efetuar logon no WorkSpace, alguns usuários recebiam a mensagem de erro abaixo:
Ao executar um Resultant Set of Policy (RSoP) nos computadores afetados, encontramos uma peculiaridade em uma GPO específica:
O valor de “Computer Configuration\Admin templates\System\removable storage access\all removable storage classes” estava configurado com a opção “Deny All access”.
O que isso significa? À partir do Windows 7 e do Windows Server 2008 R2, a Microsoft adicionou alguns controles adicionais para facilitar o bloqueio do acesso ao armazenamento removível, incluindo pen drives e unidades de DVD. Com esta política habilitada para “Deny all access”, o Amazon Workspaces irá falhar na apresentação dos discos para o usuário final.
Como este ambiente Active Directory estava em produção, não pudemos efetuar nenhuma alteração intrusiva para resolver este problema. Ou seja, optamos por um filtro WMI para remover o Amazon WorkSpaces desta configuração de “Deny” em “Removable Storage Classes”.
Em outras palavras, os clientes AWS que desejam manter esta configuração e ao mesmo tempo executar o Amazon Workspaces no ambiente, podem optar pelo WMI Filter. O Windows Management Instrumentation (WMI) é a implementação Microsoft do Web-Based Enterprise Management (WBEM), que é uma iniciativa da indústria para desenvolver uma tecnologia padrão para acessar informações de gerenciamento em um ambiente corporativo. O WMI usa o padrão da indústria Common Information Model (CIM) para representar sistemas, aplicativos, redes, dispositivos e outros componentes gerenciados. O CIM é desenvolvido e mantido pela Distributed Management Task Force (DMTF).
Para a criação do WMI Filter, acessamos o Group Policy Management console > WMI Filters:
Criamos um novo WMI Filter:
Para entender como o filtro poderia ser criado, coletamos o WMI data dos computadores do Amazon WorkSpaces com o PrimaryOwnerName de “EC2”.
Get-WmiObject -query "select * from Win32_ComputerSystem"
Obs.: Esta é uma das maneiras de se filtrar um Amazon WorkSpaces; a melhor opção é sempre entender o que melhor se adequa ao seu ambiente Active Directory.
No filtro WMI, adicionamos a entrada:
SELECT * FROM Win32_ComputerSystem Where PrimaryOwnerName='EC2'
Após efetuar o logoff/login, o problema foi resolvido.
Além da solução explicada acima, o Amazon WorkSpaces oferece suporte ao redirecionamento de impressora local. Quando você imprime de um aplicativo em seu WorkSpace, as impressoras locais estão incluídas em sua lista de impressoras disponíveis. As impressoras locais têm um atributo anexado ao nome de exibição da impressora. Geralmente, este atributo pode ser localizado com o nome “Local”. Selecione uma das impressoras locais e seus documentos serão impressos nesta impressora.
Para esta configuração, criamos uma nova política que efetua o “Enable” de USB para a sessão PCoIP (lembrando sempre dos periféricos suportados: teclados e mouses USB e Bluetooth, fones de ouvido de áudio USB e impressoras USB ).
Configuramos o USB authorization table para “Allow All USB Format”:
Desabilitamos o “allowed/unallowed device rules”:
De dentro da sessão do Amazon WorkSpaces, selecionamos a impressora local, e para o nosso teste final imprimimos uma página a partir deste WorkSpaces, na impressora local (USB) conectada no computador local.
Neste post, discutimos sobre o Amazon WorkSpaces e sobre os métodos de administração para Group Policy Object (GPO). Os WorkSpaces são executados em instâncias do Amazon EC2 hospedadas em uma VPC. A comunicação entre o EC2 e o cliente é gerenciada pelo protocolo PCoIP (PC sobre IP). A conexão do cliente deve permitir conexões de saída TCP e UDP na porta 4172, juntamente com conexões de saída TCP na porta 443.
Sobre os autores
Caio Ribeiro Cesar atualmente trabalha como arquiteto de soluções especializadas em tecnologia da Microsoft na nuvem AWS. Ele iniciou sua carreira profissional como administrador de sistemas, que continuou por mais de 13 anos em áreas como Segurança da Informação, Identity Online e Plataformas de Email Corporativo. Recentemente, se tornou fã da computação em nuvem da AWS e auxilia os clientes a utilizar o poder da tecnologia da Microsoft na AWS.
Daniel Pires atualmente trabalha como Sr. Technical Account Manager na Amazon Web Services. Ele trabalhou com tecnologias Microsoft por mais de 15 anos (Active Directory, Identidade Híbrida, Microsoft Azure).