PCoIP ADMX 模板文件包含用于配置 PCoIP 图像质量、USB 设备和网络端口等常规设置的组策略设置。

所有这些设置位于组策略管理编辑器的计算机配置 > 策略 > 管理模板 > PCoIP 会话变量 > 管理员可覆盖的默认值文件夹中。

所有这些设置还位于组策略管理编辑器的用户配置 > 策略 > 管理模板 > PCoIP 会话变量 > 管理员不可覆盖的设置文件夹中。

表 1. PCoIP 常规策略设置
设置 说明
Configure PCoIP event log cleanup by size in MB 启用 PCoIP 事件日志清理大小 (MB) 配置。

配置此策略后,该设置可以控制日志文件变为多大时会被清理。设置为非零值 m 时,超过 m MB 的日志文件会被自动静默删除。设置为 0 表示不会按大小清理任何文件。

禁用或未配置此策略时,默认的事件日志清理大小为 100 MB。

将在会话启动时执行一次日志文件清理。对该设置所做的更改只有到下一个会话时才会生效。

Configure PCoIP event log cleanup by time in days 启用 PCoIP 事件日志清理时间(天)配置。

配置此策略后,该设置可以控制日志文件保留多少天后会被清理。设置为非零值 n 时,早于 n 天的日志文件会被自动静默删除。设置为 0 表示不会按时间清理任何文件。

禁用或未配置此策略时,默认的事件日志清理时间为 7 天。

将在会话启动时执行一次日志文件清理。对该设置所做的更改只有到下一个会话时才会生效。

Configure PCoIP event log verbosity

设置 PCoIP 事件日志详细级别。值范围为 0(最不详细)至 3(最详细)。

启用设置后,您可以将详细级别设置为 0 至 3。未配置或者禁用设置时,默认的事件日志详细级别为 2。

如果在活动的 PCoIP 会话期间修改该设置,则新的设置立即生效。

Configure PCoIP image quality levels 控制在网络拥挤期间 PCoIP 如何呈现图像。最低图像质量最高初始图像质量最高帧速率值交互作用,从而精密控制网络带宽受限环境。

使用最低图像质量值可平衡带宽受限情况下的图像质量和帧速率。可指定 30 至 100 之间的值。默认值为 40。较低的值支持较高帧速率,但是可能会导致显示质量降低。较高的值支持较高的图像质量,但在网络带宽受限时可能会导致帧速率降低。当网络带宽不受限时,无论值设置如何,PCoIP 均保持最高质量。

通过使用最高初始图像质量值限制显示图像更改区域的初始质量,可降低 PCoIP 所要求的网络带宽峰值。可指定 30 至 100 之间的值。默认值为 80。较低的值会降低变化内容的图像质量和峰值带宽要求。较高的值会提高变化内容的图像质量和峰值带宽要求。无论值设置如何,无变化的图像区域会逐渐以无损(完美)质量呈现。设置为 80 或更低的值可最充分地利用可用带宽。

最低图像质量值不能超过 最高初始图像质量值。

使用最高帧速率值来限制每秒屏幕更新的次数,从而可以管理每位用户占用的平均带宽。可指定每秒 1 帧至每秒 120 帧之间的值。默认值为 30。较高的值会占用更多的带宽,但更稳定,支持更顺畅地传输变化图像,例如视频。较低的值占用的带宽较低,但稳定性较差。

这些图像质量值仅适用于软主机,对软客户端不起作用。

禁用或未配置此设置时,使用默认值。

如果在活动的 PCoIP 会话期间修改该设置,则新的设置立即生效。

Configure frame rate vs image quality preference 将帧速率和图像质量首选项配置为从 0(最高帧速率)到 100(最高图像质量)之间的值。如果禁用或未配置此策略,则默认设置为 50。

较高值(最大:100)表示即使帧速率不连贯,您也希望获得较高的图像质量。较低值(最小:0)表示您希望在降低图像质量的情况下获得流畅体验。

此设置可用于 Configure PCoIP image quality levels GPO,以便确定最高初始图像质量级别和最低图像质量级别。尽管 Frame rate and image quality preference 可以调整每个帧的图像质量级别,但它不能超过 Configure PCoIP image quality levels GPO 配置的最大/最小质量级别阈值。

在运行时更改此策略后,所做的更改可以立即生效。

Configure PCoIP session encryption algorithms 控制会话协商期间 PCoIP 终端播发的加密算法。

勾选其中一个复选框将禁用相关加密算法。必须启用至少一个算法。

此设置适用于代理和客户端。各端点协商实际所用的会话加密算法。如果启用了 FIPS140-2 许可模式,通常会覆盖禁用 AES-128-GCM 加密值,从而启用 AES-128-GCM 加密。

受支持的加密算法按优先顺序排列为:SALSA20/12-256、AES-GCM-128 和 AES-GCM-256。默认情况下,所有受支持的加密算法均可供此终端协商使用。

如果将两个终端都配置为支持所有三个算法,且连接不使用安全网关 (SG),则将协商使用 SALSA20 算法。但如果连接使用 SG,则会自动禁用 SALSA20,并将协商使用 AES128。如果一个终端或 SG 禁用 SALSA20,且一个终端禁用 AES128,则将协商使用 AES256。

Configure PCoIP USB allowed and unallowed device rules 对于使用运行 Teradici 固件的零客户端的 PCoIP 会话,指定有权进行和无权进行此种会话的 USB 设备。PCoIP 会话中使用的 USB 设备必须显示在 USB 授权表中。USB 取消授权表中显示的 USB 设备不能在 PCoIP 会话中使用。

最多可定义 10 条 USB 授权规则和 10 条 USB 取消授权规则。使用竖线 (|) 字符来分隔不同的规则。

每条规则可以包含供应商 ID (VID) 和产品 ID (PID),或者也可以描述一个 USB 设备类。类规则可允许或禁用整个设备类、单个子类或子类中的协议。

VID/PID 组合规则的格式为 1xxxxyyyy,其中 xxxx 是十六进制格式的 VID,yyyy 为十六进制格式的 PID。例如,授权或阻止某个 VID 为 0x1a2b、PID 为 0x3c4d 的设备的规则为 11a2b3c4d

对于类规则,请使用以下格式之一:

允许所有 USB 设备
格式: 23XXXXXX
示例: 23XXXXXX
允许具有特定类 ID 的 USB 设备
格式: 22classXXXX
示例: 22aaXXXX
允许特定子类
格式: 21class-subclassXX
示例: 21aabbXX
允许特定协议
格式: 20class-subclass-protocol
示例: 20aabbcc

例如,允许 USB HID(鼠标和键盘)设备(类 ID 0x03)和网络摄像头(类 ID 0x0e)的 USB 授权字符串为 2203XXXX|220eXXXX。禁用 USB 大容量存储设备(类 ID 0x08)的 USB 取消授权字符串为 2208XXXX

空的 USB 授权字符串表示不授权任何 USB 设备。空的 USB 取消授权字符串表示不禁用任何 USB 设备。

此设置仅适用于 Horizon Agent,且仅在远程桌面与运行 Teradici 固件的零客户端会话时应用。各个终端会相互协商来确定使用哪些设备。

默认情况下,允许使用所有设备,不禁用任何设备。

Configure PCoIP virtual channels 指定能够以及不能通过 PCoIP 会话操作的虚拟通道。此设置还决定是否禁用 PCoIP 主机上的剪贴板处理功能。

PCoIP 会话中使用的虚拟通道必须显示在虚拟通道授权列表中。未授权虚拟通道列表中显示的虚拟通道不能在 PCoIP 会话中使用。

最多可指定 15 个虚拟通道,以在 PCoIP 会话中使用。

使用竖线 (|) 字符来分隔不同的通道名称。例如,允许 mksvchan 和 vdp_rdpvcbridge 虚拟通道的虚拟通道授权字符串为 mksvchan|vdp_vdpvcbridge

如果通道名称包含竖线或反斜线 (\) 字符,请在这两个字符的前面插入一个反斜线字符。例如,通道名称 awk|ward\channel 应输入为 awk\|ward\\channel

授权虚拟通道列表为空时表示禁用所有虚拟通道。未授权虚拟通道列表为空时表示允许使用所有虚拟通道。

此虚拟通道设置适用于代理和客户端。必须在代理和客户端上均启用虚拟通道才能使用虚拟通道。

虚拟通道设置中有一个单独的复选框,可供您禁用 PCoIP 主机上的远程剪贴板处理功能。此值仅适用于代理。

默认情况下,启用所有虚拟通道,包括剪贴板处理功能。

Configure the PCoIP transport header 配置 PCoIP 传输标头,并设置传输会话优先级。

PCoIP 传输标头为添加至所有 PCoIP UDP 数据包的 32 位标头(仅当双方启用并支持传输标头时)。PCoIP 传输标头能够使网络设备在网络拥挤时,做出更好的优先级/服务质量决策。默认情况下传输标头处于启用状态。

传输会话的优先级决定了 PCoIP 传输标头所报告的 PCoIP 会话优先级。网络设备基于指定的传输会话优先级做出更好的优先级/服务质量决策。

启用Configure the PCoIP transport header设置时,以下传输会话优先级可供使用:

  • (默认值)
  • 未定义

PCoIP 代理和客户端进行协商来确定传输会话的优先级值。如果 PCoIP 代理指定了传输会话的优先级值,则会话将使用 PCoIP 代理所指定的会话优先级。如果仅仅是客户端指定了传输会话优先级,则会话将使用客户端所指定的会话优先级。如果代理或客户端均未指定传输会话优先级,也未指定未定义的优先级,则会话将使用默认值,即优先级。

Configure the TCP port to which the PCoIP host binds and listens 指定软件 PCoIP 主机绑定的 TCP 代理端口。

TCP 端口值指定代理尝试绑定的基本 TCP 端口。TCP 端口范围值确定当基本端口不可用时尝试其他端口的个数。端口范围必须在 1 和 10 之间。

此范围从基本端口跨越至基本端口与端口范围之和。例如,如果基本端口为 4172,端口范围为 10,则其范围为 4172 至 4182。

不要将重试端口范围的大小设为 0。将该值设为 0 会导致用户使用 PCoIP 显示协议登录桌面时出现连接失败。Horizon Client 会返回错误消息:此桌面的显示协议当前不可用。请联系您的系统管理员 (The Display protocol for this desktop is currently not available. Please contact your system administrator)。

此设置仅适用于 Horizon Agent

在单用户计算机上,对于 View 4.5 及更高版本,默认的基本 TCP 端口为 4172。对于 View 4.0.x 及更低版本,默认的基本端口为 50002。默认情况下,端口范围为 1。

在 RDS 主机上,默认的基本 TCP 端口为 4173。将 PCoIP 与 RDS 主机结合使用时,将为每个用户连接使用单独的 PCoIP 端口。由远程桌面服务设置的默认端口范围的大小足够容纳预期的最多并发用户连接。

重要说明: 作为最佳实践,不要使用此策略设置更改 RDS 主机上的默认端口范围,或者更改 TCP 端口的默认值 4173。最重要的是,不要将 TCP 端口值设置为 4172。将此值重置为 4172 将会对 RDS 会话中的 PCoIP 性能产生负面影响。
Configure the UDP port to which the PCoIP host binds and listens 指定软件 PCoIP 主机绑定的 UDP 代理端口。

UDP 端口值指定代理尝试绑定的基本 UDP 端口。UDP 端口范围值确定当基本端口不可用时尝试其他端口的个数。端口范围必须在 1 和 10 之间。

不要将重试端口范围的大小设为 0。将该值设为 0 会导致用户使用 PCoIP 显示协议登录桌面时出现连接失败。Horizon Client 会返回错误消息:此桌面的显示协议当前不可用。请联系您的系统管理员 (The Display protocol for this desktop is currently not available. Please contact your system administrator)。

此范围从基本端口跨越至基本端口与端口范围之和。例如,如果基本端口为 4172,端口范围为 10,则其范围为 4172 至 4182。

此设置仅适用于 Horizon Agent

在单用户计算机上,对于 View 4.5 及更高版本,默认的基本 UDP 端口为 4172;对于 View 4.0.x 及更低版本,默认的基本 UDP 端口为 50002。默认情况下,端口范围为 10。

在 RDS 主机上,默认的基本 UDP 端口为 4173。将 PCoIP 与 RDS 主机结合使用时,将为每个用户连接使用单独的 PCoIP 端口。由远程桌面服务设置的默认端口范围的大小足够容纳预期的最多并发用户连接。

重要说明: 作为最佳实践,不要使用此策略设置更改 RDS 主机上的默认端口范围,或者更改 UDP 端口的默认值 4173。最重要的是,不要将 UDP 端口值设置为 4172。将此值重置为 4172 将会对 RDS 会话中的 PCoIP 性能产生负面影响。
Enable access to a PCoIP session from a vSphere console 确定是否允许 vSphere Client 控制台显示活动 PCoIP 会话以及将输入发送到桌面。

默认情况下,如果客户端通过 PCoIP 连接,vSphere Client 控制台屏幕为空白且控制台无法发送输入。此默认设置可确保当 PCoIP 远程会话处于活动状态时,恶意用户无法查看用户桌面或从本地向主机进行输入。

此设置仅适用于 Horizon Agent

禁用或未配置此设置时,不允许进行控制台访问。启用此设置后,控制台将显示 PCoIP 会话并允许控制台输入。

启用此设置后,控制台仅在 Windows 7 虚拟机硬件版本为 v8 时显示 Windows 7 系统中运行的 PCoIP 会话。硬件 v8 仅在 ESXi 5.0 及更高版本中可用。与此相反,无论虚拟机硬件版本为何,都允许从控制台向 Windows 7 系统进行输入。

Enable/disable audio in the PCoIP session 确定是否在 PCoIP 会话中启用音频。两个终端必须都启用音频。启用此设置时,允许使用 PCoIP 音频。禁用此设置时,禁用 PCoIP 音频。未配置此设置时,默认启用音频。
Enable/disable microphone noise and DC offset filter in PCoIP session 确定是否在 PCoIP 会话期间启用麦克风输入的麦克风噪声和 DC 偏移过滤器。

此设置仅适用于 Horizon Agent 和 Teradici 音频驱动程序。

如未配置该设置,Teradici 音频驱动程序默认使用麦克风噪声和 DC 偏移过滤器。

Turn on PCoIP user default input language synchronization 确定 PCoIP 会话中用户的默认输入语言是否与 PCoIP 客户端终端的默认输入语言同步。启用此设置时,允许同步。禁用或未配置此设置时,禁止同步。

此设置仅适用于 Horizon Agent

Configure SSL Connections to satisfy Security Tools

指定如何建立 SSL 会话协商连接。

要满足端口扫描程序要求,请启用“配置 SSL 连接”设置并在 Horizon Agent 上完成以下任务:

  1. 在 Microsoft 管理控制台中,将一个正确命名并签名的证书存储到本地计算机的计算机帐户的个人存储中,并将其标记为可导出。
  2. 将对该证书进行签名的颁发机构的证书存储在受信任的根证书存储中。
  3. 禁用到 VMware View 5.1 和更低版本的连接。
  4. 配置 Horizon Agent 以仅从证书存储中加载证书。如果使用本地计算机的个人存储,请将证书存储名称保留为“MY”和“ROOT”(不带引号),除非在步骤 1 和 2 中使用不同的存储位置。

生成的 PCoIP Server 将满足端口扫描程序等安全工具的要求。

Configure SSL Protocols

在建立加密的 SSL 连接之前,配置 OpenSSL 协议以限制使用某些协议。协议列表包含一个或多个以冒号分隔的 OpenSSL 协议字符串。请注意,所有密码字符串不区分大小写。

默认值为“TLS1.1:TLS1.2”。

这表示启用了 TLS v1.1 和 TLS v1.2(禁用了 SSL v2.0、SSLv3.0 和 TLS v1.0)。

该设置适用于 Horizon Agent 和 Horizon Client。

如果在两端设置了该设置,将遵循 OpenSSL 协议协商规则。

Configure SSL cipher list

在建立加密的 SSL 连接之前,配置 SSL 密码列表以限制使用密码套件。该列表由一个或多个以冒号分隔的密码套件字符串组成。所有密码套件字符串均不区分大小写。

默认值为 ECDHE-RSA-AES256-GCM-SHA384:AES256-SHA256:AES256-SHA:ECDHE-RSA-AES128-GCM-SHA256:AES128-SHA256:AES128-SHA:@STRENGTH。

如果配置了此设置,将忽略配置 SSL 连接以满足安全工具要求设置中的强制实施 AES-256 或更强的密码进行 SSL 连接协商复选框。

此设置必须同时应用于 PCoIP 服务器和 PCoIP 客户端。