O blog da AWS

Amazon WorkSpaces – customizando Active Directory Group Policy Objects (GPOs)

Por Caio Ribeiro César, arquiteto de soluções especializadas em tecnologia da Microsoft na nuvem AWS.

 

O Amazon WorkSpaces é uma solução de desktop como serviço (DaaS) gerenciada e segura.

Você pode usar o Amazon WorkSpaces para provisionar desktops Windows ou Linux em apenas alguns minutos e escalar rapidamente para oferecer milhares de desktops para funcionários em todo o mundo. O Amazon WorkSpaces ajuda a eliminar a complexidade do gerenciamento de inventário de hardware, versões e patches de SO e infraestrutura de desktops virtuais (VDI), o que ajuda a simplificar a estratégia de entrega de desktops. Com o Amazon WorkSpaces, os usuários obtêm um desktop rápido e responsivo à sua escolha que pode ser acessado em qualquer lugar, a qualquer momento, de qualquer dispositivo compatível.

Neste post, iremos utilizar Objetos de Política de Grupo (GPOs) e aplicar configurações para gerenciar WorkSpaces do Windows ou usuários que fazem parte de seu diretório dos WorkSpaces do Windows.

As instâncias do Linux não seguem a política de grupo. Para obter informações sobre o gerenciamento dos WorkSpaces do Amazon Linux, consulte Gerenciar WorkSpaces do Amazon Linux.

Ao selecionar a opção “Launch WorkSpaces”, tenho a visibilidade dos diretórios configurados na minha conta AWS (opções como AD Connector / Managed AD):

Iniciamos então o WorkSpaces com o AD Connector configurado como diretório – neste cenário, estamos utilizando um usuário chamado “developer”. Assim que o WorkSpaces terminar  a configuração inicial, o computer object é criado. Neste cenário, objeto IP-C613AE48:

Para questão de organização e hierarquia, iremos mover este objeto para a Organization Unit (OU) Workspaces. Podemos validar que o objeto foi inicialmente criado na OU “Computers”:

Instalamos o client do Amazon WorksPaces e efetuamos a autenticação:

Agora iremos criar a GPO Admin Template específica para Workspaces_OU que será customizada para proibir o clipboard no Windows Workspaces.

Inicialmente, iremos copiar o arquivo pcoip.adm do Workspace para utilizar como modelo de template administrativo para o Domain Controller responsável pelas GPOs da organização.

Vale lembrar que o usuário logado no WorkSpaces não consegue copiar e colar o arquivo “pcoip.adm” entre as sessões de cliente<>agente – para possuir alguma maneira de integração de arquivos, basta configurar o WorkDocs.

Vamos até o Domain Controller e selecionamos a opção “Create a GPO in this domain”:

Em “Computer>Policies>Administrative Templates> Add”, iremos adicionar o template copiado do Workspaces: “pcoip.adm”.

Selecionamos a opção Configure clipboard redirection em “Administrative Templates,Classic Administrative Templates, PCoIP Session Variables, and Overridable Administrator Defaults”:

Selecionamos a opção desejada:

1.       Desabilitado em ambas direções;

2.       Desabilitado entre Agente > Cliente;

3.       Desabilitado entre Cliente > Agente.

Voltando a Workspace, executamos um “gpupdate /force” para aplicar a política e posteriormente um “rsop.msc” para validar que a GPO está sendo aplicada:

Testamos então uma cópia de ambos os lados, recebendo o bloqueio com sucesso.

Workspace:

Agent:

*Lembrando que seria interessante possuir uma GPO bloqueando o computador do agente de efetuar um captura de tela, já que o Print Screen com paste para o agente já está bloqueado no Workspaces após esse processo.

Como indicado abaixo, o administrador local não consegue editar a GPO herdada da OU, pois tem apenas permissionamento em opções locais (gpedit.msc) e também não aparece listado o Classic Admin Template.

Como adicionamos a política em OU, temos uma maior hierarquia e procedência.

Neste post, discutimos sobre o Amazon WorkSpaces e métodos de adminsitração para Group Policy Object (GPO). Os WorkSpaces são executados em instâncias do Amazon EC2 hospedadas na VPC. A comunicação entre o EC2 e o cliente é gerenciada pelo protocolo PCoIP (PC sobre IP). A conexão do cliente deve permitir conexões  de saída TCP e UDP na porta 4172, juntamente com conexões de saída TCP na porta 443.

 


Sobre o autor

Caio Ribeiro Cesar atualmente trabalha como arquiteto de soluções especializadas em tecnologia da Microsoft na nuvem AWS. Ele iniciou sua carreira profissional como administrador de sistemas, que continuou por mais de 13 anos em áreas como Segurança da Informação, Identity Online e Plataformas de Email Corporativo. Recentemente, se tornou fã da computação em nuvem da AWS e auxilia os clientes a utilizar o poder da tecnologia da Microsoft na AWS.