WorkSpacesに一般的なグループポリシーを設定する

2018.01.29

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

WorkSpacesを使う際、オンプレミスにあるActive Directoryからグループポリシーを使って、ユーザ環境を管理したいということがあると思います。

下記ブログでは、WorkSpaces特有のグループポリシー設定(主にPCoIP関連の制御)についてご紹介していますが、従来のグループポリシーも利用可能か試してみました。
(例えば、ユーザのコントロールパネルへのアクセスを禁止する等)

グループポリシーを使用してWorkSpacesの制御をしてみた

3行まとめ

時間が無い人向けのまとめです。

  • 従来のグループポリシーでWorkSpacesを制御可能
  • 項目によっては動作しない可能性がある
  • ドメイン単位のパスワードポリシーについては、ドメインコントローラーに該当するリソースが必要

構成

今回の構成は下記のようになります。

  • オンプレミス環境を模倣するために、Active Directory環境をEC2インスタンスで構築しています。
    • EC2インスタンスは「Windows Server 2012 R2」を利用しています。

0-diagram-workspaces

Active Directory環境の構築自体は割愛させていただきますが、AD Connectorは下記のように指定します。

01-ad-connector

なお、AD Connectorからディレクトリ情報を参照するユーザ(上記の「Connector account username」とそのパスワード)の作成については、下記を参考に作成頂ければと思います。

概要

今回は、WorkSpacesユーザに対してコントロールパネルを利用不可にしてみたいと思います。 尚、WorkSpacesは上記構成にて既に利用しているものとします。
(今回は「cmuser01」というユーザで利用している想定です)

OUの作成

今回は特定OU(組織単位)に対するグループポリシーを設定します。既存のものが特になければ新規にOUを作成します。

10-add-ou

11-add-ou

OU名を入力して新規作成します。

12-ou-name

今回は既存のWorkSpacesを利用するので、作成したOU(wsgroup)に対してWorkSpacesのユーザ「cmuser01」を移動させます。

13-cd-user

14-ok-cd-user

wsgroupに移動できました。

14-2-ok

グループポリシーの設定

サーバマネージャーから「グループポリシーの管理」をクリックします。

20-add-group-policy

対象ドメインに対して、新規にGPO(グループポリシーオブジェクト)を作成します。

21-add-new-gpo

今回は「wsgpo」という名前のGPOを作成します。

22-gpo-name

作成できたら右クリックしてGPOを設定します。

23-select-gpo

24-edit-gpo

コントロールパネルのアクセス制御を行うため、図のようにドリルダウンして該当項目を開きます。

25-user-controle-panel

適当なコメントを入れて「有効」にチェックボックスを入れて「適用」します。

26-conpane-enable

ポリシーのリンク

最後に、作成したGPOをOUにリンクさせてポリシーをOUに関連付けします。
作成済みのGPOにリンクさせるので「既存のGPOのリンク」をクリックします。

27-link-existing-gpo2

先程作成したGPO「wsgpo」を選択します。

28-select-gpo

リンクできました。

27-link-existing-gpo3

これで作業は完了です。

ポリシーの適用を確認

WorkSpaces側でポリシーが適用を確認してみます。適用前は下記のようにコントロールパネルにアクセスできていますね。

50-ws-conpane-before

51-we-can-access-conpane

下記のように「設定」をクリックすれば、各種設定画面も開くことができます。

55-deny-config

60-win-config

では、適用を反映させるためにWorkSpacesを再起動します。

52-reboot-ws

再起動が完了したら、改めてコントロールパネルパネルにアクセスしてみます。

53-after-menu

下記のようにエラーが出てアクセスできませんでした。

54-after-deny-conpane

ちなみに下記の「設定」をクリックしても瞬間的に設定画面が開きますが、すぐに閉じるので操作はできませんでした。

55-deny-config

確認した結果

従来のグループポリシーが問題なくWorkSpacesに対しても利用できました。
しかし、3行まとめにも記載した通り設定できないポリシーがあるかもしれませんので、事前に動作確認されることをお薦めします。

以上です。