Come posso utilizzare i dati utente per aggiungere un nuovo account utente con accesso RDP alla mia istanza Amazon EC2?

Breve descrizione

Per creare un nuovo utente locale con autorizzazioni RDP in grado di connettersi a un'istanza EC2, utilizza i comandi PowerShell eseguiti come parte dei dati utente. Se prevedi di avviare una nuova istanza, i dati utente vengono eseguiti automaticamente ogni volta che l'istanza viene riavviata o reinizializzata. Se utilizzi un'istanza già avviata, devi pianificare l'esecuzione dei dati utente.

Per ulteriori informazioni, consulta Esecuzione dei dati utente.

Risoluzione

Importante: prima di arrestare e avviare l'istanza, intraprendi le seguenti azioni:

• Crea un backup del volume Amazon Elastic Block Store (Amazon EBS).
  Nota: se l'istanza è supportata da un archivio dell'istanza o ha volumi di storage dell'istanza contenenti dati, Amazon EC2 elimina i dati quando arresti l'istanza.
• Rimuovi temporaneamente l'istanza dal relativo gruppo Amazon EC2 Auto Scaling quando completi i passaggi di risoluzione.
  Nota: se arresti un'istanza che si trova in un gruppo EC2 Auto Scaling, potresti terminare l'istanza se così è previsto dalle impostazioni di protezione dalla riduzione orizzontale. Le istanze avviate con Amazon EMR, AWS CloudFormation o AWS Elastic Beanstalk potrebbero far parte di un gruppo Auto Scaling.
• Imposta il comportamento di chiusura dell'istanza su Arresta per assicurarti che le istanze non terminino quando le arresti.

Nota: quando arresti e avvii un'istanza, l'indirizzo IP pubblico dell'istanza cambia. È consigliabile utilizzare un indirizzo IP elastico per indirizzare il traffico esterno all'istanza anziché un indirizzo IP pubblico. Se utilizzi Amazon Route 53, potresti dover aggiornare i record DNS di Route 53 quando l'IP pubblico cambia.

Aggiungi lo script PowerShell all'istanza al momento dell'avvio

Completa i seguenti passaggi:

1. Utilizza la procedura guidata di avvio dell'istanza per configurarne l'avvio, quindi scegli Avanzato in Configura archiviazione.

2. In Dettagli avanzati, scegli Dati utente.

3. Inserisci il seguente script PowerShell:

   <powershell>$user = New-LocalUser -AccountNeverExpires:$true -Password ( ConvertTo-SecureString -AsPlainText -Force 'ExampleP@ssword!') -Name "RDPUser" -FullName "Local RDPUser" -Description "Local Administrator"
   Add-LocalGroupMember -Group "Administrators" -Member $user
   Add-LocalGroupMember -Group "Remote Desktop Users" -Member $user
   </powershell>

   Nota: l'esempio di script precedente crea un nuovo utente locale denominato RDPUser con la password ExampleP@ssword!. L'account AWS è impostato su abilitato, non ha scadenza e include una breve descrizione. Lo script aggiunge l'account utente sia al gruppo Administrators (Amministratori) che al gruppo Remote Desktop Users (Utenti Desktop remoto). È richiesto l'accesso al gruppo Remote Desktop Users (Utenti Desktop remoto), ma puoi rimuovere la sezione Add-LocalGroupMember -Group "Administrators" -Member $user se necessario.

4. Scegli Avvia istanza.

Aggiungi lo script PowerShell all'istanza dopo l'avvio

Se l'istanza EC2 è già stata avviata, completa i seguenti passaggi:

1. Configura le impostazioni in modo che Amazon EC2 rifletta i dati utente aggiornati al successivo avvio.

2. Arresta l'istanza EC2.

3. Apri la console Amazon EC2.

4. Scegli Istanze, quindi seleziona l'istanza.

5. Scegli Operazioni, quindi seleziona Impostazioni dell'istanza.

6. Scegli Visualizza/modifica i dati utente.

7. Per Dati utente, inserisci il seguente script PowerShell:

   <powershell>$user = New-LocalUser -AccountNeverExpires:$true -Password ( ConvertTo-SecureString -AsPlainText -Force 'ExampleP@ssword!') -Name "RDPUser" -FullName "Local RDPUser" -Description "Local Administrator"
   Add-LocalGroupMember -Group "Administrators" -Member $user
   Add-LocalGroupMember -Group "Remote Desktop Users" -Member $user
   </powershell>

   Nota: l'esempio di script precedente crea un nuovo account utente locale denominato RDPUser con la password ExampleP@ssword!. L'account è impostato su abilitato, non ha scadenza e include una breve descrizione. Lo script aggiunge l'account utente sia al gruppo Administrators (Amministratori) che al gruppo Remote Desktop Users (Utenti Desktop remoto). È richiesto l'accesso al gruppo Remote Desktop Users (Utenti Desktop remoto), ma puoi rimuovere la sezione Add-LocalGroupMember -Group "Administrators" -Member $user se necessario.

8. Avvia l’istanza.

Verifica che Amazon EC2 abbia creato l'account utente

Per verificare che Amazon EC2 ha abbia creato l'account utente, puoi utilizzare Gestione sessione, una funzionalità di AWS Systems Manager, o l'accesso remoto PSSession.

Per creare la variabile $usernamelist, esegui questo comando:

$usernamelist = Get-WmiObject -Class Win32_UserAccount -Filter "LocalAccount='True'" |Select Name, Status, Disabled, AccountType, Lockout, PasswordRequired, PasswordChangeable, SID

Nota: la variabile $usernamelist contiene un elenco di tutti gli account utente che corrispondono al requisito Local Account is true (Account locale true).

Per ottenere una visualizzazione dettagliata dell'account utente che hai creato, esegui questo comando:

$usernamelist | select-string -AllMatches RDPUser

Nota: sostituisci **RDPUser ** con il nome del tuo account utente.

Risolvi i problemi

Se riscontri problemi quando aggiungi un nuovo account utente, intraprendi le seguenti azioni:

• Se Amazon EC2 non ha creato l'account utente, esegui i comandi route print o invoke-webrequest per controllare i metadati dell'istanza e l'accesso ai dati utente. Se ricevi una risposta diversa da 200, controlla i dati utente dell'istanza.
• Per visualizzare i log dei dati utente, consulta Come posso risolvere i problemi che riscontro quando eseguo script di dati utente per configurare la mia istanza EC2 Windows?
• Testa lo script su un computer locale prima di eseguirlo.
• Verifica che l'istanza utilizzi la versione corretta di PowerShell e che lo script possa essere eseguito su una seconda istanza.