AWS Workspaces 云桌面常用配置

发表于 上层目录 阅读次数:

Amazon WorkSpaces 主要支持两种核心串流协议:

  • **WSP(Amazon WorkSpaces Streaming Protocol)**,基于 NICE DCV(DCV 专门为高性能图形处理(如 CAD、3D 渲染)和低延迟交互设计) 技术。是 AWS 近年大力推广的云原生协议,旨在提供更现代化的用户体验。

    • 网络适应性强 :在网络条件不稳定或高延迟的环境下表现更好。
    • 双向音视频支持 :原生支持 网络摄像头 (Webcam) 透传,非常适合视频会议(如 Teams, Zoom)。
    • 防火墙友好 :通常通过 TCP/UDP 端口 443 运行,更容易穿透企业防火墙。
    • Web Access :如果你习惯使用浏览器访问桌面,WSP 的兼容性和性能远超 PCoIP(已经不支持 Web Access)。
    • 认证支持 :支持更高级的身份验证方式,如 WebAuthn 和智能卡。

  • PCoIP(传统协议) : 这是 WorkSpaces 最早采用的协议,技术非常成熟,由 Teradici 开发。

    • 优点:

      • 图形渲染精准 :在处理高对比度、像素密集型的图形任务(如图像编辑)时,色彩表现更精准。

      • 终端设备广泛 :支持 PCoIP Zero Client(零客户机)硬件,以及包括 iPad 和 Android 在内的更广泛的移动端 App。

      • 成熟稳定 :作为老牌协议,在极端负载下的稳定性经过了长期验证。

    • 缺点:

      • 音视频功能弱 :原生 PCoIP 客户端通常不支持网络摄像头透传。

      • 网络要求高 :对网络延迟较敏感,一旦丢包,体验下降明显。

      • Web 访问限制 :已不支持。

制作镜像

为统一 AWS Workspaces 中的用户桌面系统和软件环境,建议自制镜像,预装常用软件,配置相关权限。自制桌面镜像请参考以下步骤:

  1. 先启动一台基础版的 WorkSpace。

  2. 以管理员身份登录,手动安装所有必要软件,对系统进行必要配置,如语言、地区、输入法等。

    如果要从 Windows WorkSpace 创建映像,请在运行创建进程之前使用位于 C:\Program Files\Amazon\ImageChecker.exe 中的映像检查器验证映像。

  3. 完成配置后,回到 AWS WorkSpaces 控制台,选择该桌面。

  4. 点击 Actions -> Create Image(创建镜像)

  5. 镜像创建成功后,选择该镜像并点击 Actions -> Create Bundle(创建捆绑包)

    镜像创建成功后,可在 Amazon WorkSpaces -> WorkSpaces -> Image(映像) 中查看

后续操作 : 以后为新员工开通桌面时,直接选择这个 自定义捆绑包 ,所有人的软件环境将完全一致。

配置 Workspace 云桌面无管理员权限

如果要全局配置,使 Directory 中的用户登陆云桌面后不是管理员权限,可以通过 AWS WorkSpaces 的目录设置(Directory Settings)取消用户的本地管理员权限 。实施步骤参考:

  1. 登录 AWS WorkSpaces 控制台

  2. 在左侧导航栏选择 Directories(目录)

  3. 选择对应的目录 ID,点击 目录名称进入查看详情页。

  4. 找到 Local administrator setting(本地用户管理员权限) 选项。

  5. 取消勾选 Enable local administrator setting(启用本地管理员设置)

结果: 用户将作为标准用户登录,无法修改系统配置或安装需要管理员权限的软件。

控制台修改后,只对新部署的桌面生效

要使已存在的桌面也生效,可以使用以下方法:

  • 重新构建(Rebuild):系统会根据当前的目录(Directory)设置(即已禁用的管理员权限)重新初始化 C 盘。C 盘会被重置。虽然 D 盘(用户数据)会保留,但用户自行安装在 C 盘的软件、系统设置、浏览器书签(若未同步)等都会丢失。执行前必须通知员工备份。
  • 通过组策略(GPO)强制回收(推荐用此方法):如果不希望重置员工的 C 盘,可以通过 Windows 域控的组策略强制移除用户在 Administrators 组中的身份。
    1. 登录域控服务器: 登录到您 WorkSpaces 连接的 AD 域控制器。
    2. 创建/编辑 GPO: 打开 Group Policy Management
    3. 导航至:Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Restricted Groups
    4. 右键点击 Add Group ,输入 Administrators
    5. Members of this group(此组的成员) 中,只添加您信任的管理账号(如 Domain Admins ),不要添加 WksAdminUser 或其他普通用户。
    6. 强制刷新: 当 WorkSpace 桌面下次重启或手动执行 gpupdate /force 后,普通用户的本地管理员权限会被强制剥离。

控制 AWS Workspace 客户端设备类型

如果要控制 AWS Workspace 桌面只能从某些设备登陆,可以修改 Directory 中的 问权限的设备类型

如果使用 Amazon Workspace Client,则只能使用一个账户登陆,如果要同时登陆不同的账户,可以使用 Web Access

默认情况下,Web Access 登陆 Workspace 后因为浏览器安全限制原因,没有使用本地系统剪切板权限,无法在云桌面和本地之间粘贴复制。如果想要在本地和 workspace 云桌面之间粘贴复制(前提是未做其他限制,如 GPO 禁止粘贴),只需配置浏览器权限,允许使用剪切板即可。操作方式为,在网站左上角允许使用剪切板,具体操作如图:

AWS Workspaces 中的 AD 域管理

AWS Workspaces 使用的 AD 通常有以下两种:

  • AWS Managed Microsoft AD : AWS 托管的 Microsoft AD 域控服务。
  • Simple AD : 本质上是基于 Samba 4 的兼容方案

无论哪种 AD,都不支持直接通过 AWS 控制台管理,必须通过一台 Windows 管理机(EC2 或 WorkSpace)远程操作。

以下步骤以管理 Simple AD 为例提供参考步骤:

  1. 启动一台 Windows Server 实例(推荐)或一台现有的 WorkSpace。

  2. 确保这台机器已经加入到您的 Simple AD 域名下。方便起见最好是部署在 Directory 中 Workspace 云桌面,其已经在域中。

  3. 以管理员账户登陆并安装工具:

    1. 在服务器管理器中,点击 添加角色和功能

    2. 功能 列表中,勾选 组策略(Group Policy Management)管理工具 以及 远程服务器管理工具 (Remote Server Administration Tools,RSAT) -> 角色管理工具(Role Administration Tools) -> AD DS 和 AD LDS 工具

      如果 Directory 配置了 禁用本地管理员设置 ,使用新部署的 Workspace 桌面会不具备管理员权限,无法安装工具。只需要有 域管理员账户密码即可解决 。在任务栏或开始菜单找到 Server Manager (服务器管理器) ,选择 Run as different user (以其他用户身份运行)

安装完成后,即可打开 Active Directory Users and Computers 工具查看 AD 域中的用户和计算机信息

要管理组策略,使用 Group Policy Management 工具

有些由 AWS WorkSpaces 的串流协议控制的功能,如 控制在 Workspace 云桌面和本地之间复制或传输文件 等,Windows 默认是不存在这些策略的,需要手动导入 AWS 提供的模板。AWS 定义的策略官方文档(Manage your Windows WorkSpaces in WorkSpaces Personal)