グループポリシーを使用してWorkSpacesの制御をしてみた

2018.01.25

ご機嫌いかがでしょうか、豊崎です。

WorkSpacesにグループポリシーを設定して見ましたので、ご紹介したいと思います。

前提

すでに以下の環境がある想定で進めたいと思います。

  • MicrosoftAD(corp.demo.com)
  • MicrosoftAD管理用のWindowsサーバ(Windows Server 2012 R2、ドメイン参加済)
    • GPMC(グループポリシー管理ツール)インストール済とします
  • WorkSpaces
  • クライアントPC

※GPMCのインストールはこちらをご参考ください

やってみた

以下を参考にグループポリシーを使ってWorkSpacesとクライアントPC間でのクリップボードのリダイレクトを管理してみたいと思います。

クリップボードのリダイレクト

デフォルトでの挙動を確認

クリップボードのリダイレクトは以下の両方とも行うことができます。

  • クライアントPC>WorkSpaces
  • WorkSpaces>クライアントPC

グループポリシー管理用テンプレートのインストール

WorkSpaces 固有のグループポリシーの設定を使用するには、グループポリシー管理用テンプレートをグループポリシーに追加する必要がありますので、以下を実施します。

pcoip.admファイルの取得

まず、WorkSpacesにログインして「pcoip.adm」ファイルを取得しましょう。

WorkSpacesクライアントを使用してWorkSpacesにログインします。

コマンドプロンプトから以下のコマンドを実行し、フォルダから「pcoip.adm」ファイルを取得しましょう。

explorer "C:\Program Files (x86)\Teradici\PCoIP Agent\configuration"

今回、MicrosoftAD管理用Windowsサーバからグループポリシー管理ツールを利用してMicrosoftADを利用するため、 何かしらの方法でMicrosoftAD管理用Windowsサーバに「pcoip.adm」ファイルを渡しておきましょう。

グループポリシーにテンプレートを追加

次に、pcoip.admファイルをMicrosoftAD管理用のWindowsサーバにログインしてグループポリシーの管理を開きます。

今回の例ではcorp.demo.com/CORP/Computersを右クリックし、「このドメインにGPOを作成し、このコンテナーにリンクする」をクリックします。

新しく作成されるGPO(グループポリシーオブジェクト)に任意の名前をつけます。

作成されたGPOを右クリックして編集をクリックします。

開かれたグループポリシー管理エディターの管理用テンプレートを右クリックして、「テンプレートの追加と削除」をクリックします。

テンプレートの追加と削除画面で先ほどWorkSpacesから取得した「pcoip.adm」ファイルを追加しましょう。

これで事前準備完了です。

クリップボードのリダイレクトの制御

ではクリップボードのリダイレクトの制御をして見たいと思います。

追加したテンプレートから「PCoIP Session Variables」>「Overridable Administrator Defaults」>「Configure clipboard redirection」をダブルクリックします。

有効を選択し、オプションを選択します。オプションは以下4種類がありましたが、ここでは「Enable Client to agent only」を選択しました。

  • Disabled in both directions(WorkSpaces、ローカルPC双方向のクリップボードのリダイレクトNG)
  • Enabled agent to client only(ローカルPC>WorkSpaces方向のクリップボードのリダイレクトOK)
  • Enabled client to agent only(WorkSpaces>ローカルPC方向のクリップボードのリダイレクトOK)
  • Enabled in both directions(ローカルPC、WorkSpaces双方向のクリップボードのリダイレクトOK)

グループポリシーの設定はこれで完了です。

設定後の挙動

それではWorkSpaces再度ログインして、冒頭に試したクリップボードのリダイレクトを試してみます。

意図した通りに、クリップボードのリダイレクトが制御できました!

さいごに

WorkSpacesでグループポリシーを利用してみました。WorkSpaces管理者はユーザの利用を一部制限したいケースがあると思います。PCoIPのポリシーについては他にもあるので、一度お試しいただければと思います。この記事が誰かのお役に経てば幸いです。