WorkSpacesに一般的なグループポリシーを設定する
WorkSpacesを使う際、オンプレミスにあるActive Directoryからグループポリシーを使って、ユーザ環境を管理したいということがあると思います。
下記ブログでは、WorkSpaces特有のグループポリシー設定(主にPCoIP関連の制御)についてご紹介していますが、従来のグループポリシーも利用可能か試してみました。
(例えば、ユーザのコントロールパネルへのアクセスを禁止する等)
3行まとめ
時間が無い人向けのまとめです。
- 従来のグループポリシーでWorkSpacesを制御可能
- 項目によっては動作しない可能性がある
- ドメイン単位のパスワードポリシーについては、ドメインコントローラーに該当するリソースが必要
構成
今回の構成は下記のようになります。
- オンプレミス環境を模倣するために、Active Directory環境をEC2インスタンスで構築しています。
- EC2インスタンスは「Windows Server 2012 R2」を利用しています。
Active Directory環境の構築自体は割愛させていただきますが、AD Connectorは下記のように指定します。
なお、AD Connectorからディレクトリ情報を参照するユーザ(上記の「Connector account username」とそのパスワード)の作成については、下記を参考に作成頂ければと思います。
概要
今回は、WorkSpacesユーザに対してコントロールパネルを利用不可にしてみたいと思います。
尚、WorkSpacesは上記構成にて既に利用しているものとします。
(今回は「cmuser01」というユーザで利用している想定です)
OUの作成
今回は特定OU(組織単位)に対するグループポリシーを設定します。既存のものが特になければ新規にOUを作成します。
OU名を入力して新規作成します。
今回は既存のWorkSpacesを利用するので、作成したOU(wsgroup)に対してWorkSpacesのユーザ「cmuser01」を移動させます。
wsgroupに移動できました。
グループポリシーの設定
サーバマネージャーから「グループポリシーの管理」をクリックします。
対象ドメインに対して、新規にGPO(グループポリシーオブジェクト)を作成します。
今回は「wsgpo」という名前のGPOを作成します。
作成できたら右クリックしてGPOを設定します。
コントロールパネルのアクセス制御を行うため、図のようにドリルダウンして該当項目を開きます。
適当なコメントを入れて「有効」にチェックボックスを入れて「適用」します。
ポリシーのリンク
最後に、作成したGPOをOUにリンクさせてポリシーをOUに関連付けします。
作成済みのGPOにリンクさせるので「既存のGPOのリンク」をクリックします。
先程作成したGPO「wsgpo」を選択します。
リンクできました。
これで作業は完了です。
ポリシーの適用を確認
WorkSpaces側でポリシーが適用を確認してみます。適用前は下記のようにコントロールパネルにアクセスできていますね。
下記のように「設定」をクリックすれば、各種設定画面も開くことができます。
では、適用を反映させるためにWorkSpacesを再起動します。
再起動が完了したら、改めてコントロールパネルパネルにアクセスしてみます。
下記のようにエラーが出てアクセスできませんでした。
ちなみに下記の「設定」をクリックしても瞬間的に設定画面が開きますが、すぐに閉じるので操作はできませんでした。
確認した結果
従来のグループポリシーが問題なくWorkSpacesに対しても利用できました。
しかし、3行まとめにも記載した通り設定できないポリシーがあるかもしれませんので、事前に動作確認されることをお薦めします。
以上です。
