VMware View Agent 配置 ADMX 模板文件 (view_agent_direct_connection.admx) 中包含与 View Agent Direct-Connection 插件相关的策略设置。
View Agent Direct-Connection 配置设置位于组策略管理编辑器的中。
| 设置 | 说明 |
|---|---|
| 已启用的应用程序 | 此设置支持在远程桌面会话主机上启动应用程序。默认设置为启用。 |
| 客户端配置名称值对 | 以 name=value 的格式传递至客户端的值列表。示例:clientCredentialCacheTimeout=1440。 |
| 客户端会话超时 | 客户端未连接时会话保持活跃状态的最长时间(以秒为单位)。默认值为 36000 秒 (10 小时)。 |
| 客户端设置:AlwaysConnect | 该值可设置为 TRUE 或 FALSE。AlwaysConnect 设置将发送到 Horizon Client。如果此策略设置为 TRUE,则它将覆盖保存的任何客户端首选项。默认情况下未设置值。启用此策略会将值设置为 TRUE。禁用此策略会将值设置为 FALSE。 |
| 客户端设置: AutoConnect | 此设置会覆盖任何已保存的 Horizon Client 首选项。默认情况下未设置值。启用此策略将把值设置为 True,禁用此策略将把值设置为 False。 |
| 客户端设置: ScreenSize | 向 Horizon Client 发送 ScreenSize 设置。如果启用,它将覆盖任何已保存的客户端首选项。如果不配置或已禁用,则使用客户端首选项。 |
| 多媒体重定向 (MMR) 已启用 | 确定是否为客户端系统启用 MMR。MMR 是一种 Microsoft DirectShow 筛选器,可直接通过 TCP 套接字将多媒体数据从 Horizon 桌面中的特定编解码器转发至客户端系统。随后,直接在播放数据的客户端系统中解码数据。默认值为禁用。 如果客户端系统的视频显示硬件不支持覆盖功能,MMR 将无法正常运行。客户端系统可能没有足够的资源处理本地多媒体解码。 |
| 已启用重置 | 该值可设置为 TRUE 或 FALSE。设置为 TRUE 时,通过验证的 Horizon Client 可执行操作系统级别的重新引导。默认设置为禁用 (FALSE)。 |
| 会话超时 | 用户在使用 Horizon Client 登录后可保持会话为打开状态的时间段。此值的单位为分钟。默认值是 600 分钟。达到此超时后,所有用户桌面和应用程序会话都将断开连接。 |
| 自动连接 USB | 该值可设置为 TRUE 或 FALSE。插入 USB 设备时将其连接到桌面。如果设置了此策略,它将覆盖保存的任何客户端首选项。默认情况下未设置值。 |
| 已启用 USB | 该值可设置为 TRUE 或 FALSE。确定桌面是否可以使用 USB 设备连接客户端系统。默认值为启用。如果出于安全因素阻止使用外部设备,请将设置更改为禁用 (FALSE)。 |
| 用户空闲超时 | 如果一段时间内在 Horizon Client 上没有用户活动,则用户的桌面和应用程序会话将断开连接。此值的单位为秒。默认值为 900 秒(15 分钟)。 |
身份验证设置
身份验证设置位于组策略管理编辑器的中。在此文件夹中,该设置为“以当前用户身份登录”设置。
| 设置 | 说明 |
|---|---|
| 允许旧版客户端 | 如果禁用,版本低于 5.5 的 Horizon Client 将无法使用“以当前用户身份登录”功能进行身份验证。如果未配置此设置,则支持旧版客户端。 |
| 允许 NTLM 回退 | 如果启用,在无法访问域控制器时,Horizon Client 将使用 NTLM 身份验证来代替 Kerberos。如果未配置此设置,则将不允许 NTLM 回退。 |
| 需要通道绑定 | 如果启用,通道绑定会提供额外的安全层来保护 NTLM 身份验证。版本低于 5.5 的 Horizon Client 不支持通道绑定。 |
| 客户端凭据缓存超时 | Horizon Client 允许用户使用已保存密码的时段(以分钟为单位)。0 表示从不,-1 表示永久。如果该设置设为有效值,则 Horizon Client 将为用户提供保存其密码的选项。默认值为 0(从不)。 |
| 已启用免责声明 | 该值可设置为 TRUE 或 FALSE。如果设置为 TRUE,则在登录时显示用户要接受的免责声明文本。该文本显示在“免责声明文本”(如果书写)或 GPO Configuration\Windows Settings\Security Settings\Local Policies\Security Options: Interactive logon 中。disclaimerEnabled 的默认设置为 FALSE。 |
| 免责声明文本 | 在登录时向 Horizon Client 用户显示的免责声明文本。“已启用免责声明”策略必须设置为 TRUE。如果未指定此文本,则默认使用 Windows 策略 Configuration\Windows Settings\Security Settings\Local Policies\Security Options 中的值。 |
| X509 证书身份验证 | 确定是已禁用、允许还是需要进行智能卡 X.509 证书身份验证。 |
| X509 SSL 证书身份验证已启用 | 确定是否通过 Horizon Client 的直接 SSL 连接启用了智能卡 X.509 证书身份验证。如果通过中间 SSL 端点处理 X.509 证书身份验证,则无需使用此选项。更改该设置需要重新启动 Horizon Agent。 |
协议和网络设置
协议和网络设置位于组策略管理编辑器的中。
| 设置 | 说明 |
|---|---|
| 默认协议 | Horizon Client 连接到桌面使用的默认显示协议。如果未设置该值,则默认值为 BLAST。 |
| 外部 Blast 端口 | 发送到 Horizon Client 的、用于 HTML5/Blast 协议的目标 TCP 端口号对应的端口号。数字前面的 + 字符表示用于 HTTPS 的端口号中的相对数字。如果外部公开的端口号与服务侦听的端口不匹配,请仅设置该值。通常,该端口号位于 NAT 环境中。默认情况下未设置值。 |
| 外部框架通道端口 | 发送到 Horizon Client 的、用于框架通道协议的目标 TCP 端口号对应的端口号。数字前面的 + 字符表示用于 HTTPS 的端口号中的相对数字。如果外部公开的端口号与服务侦听的端口不匹配,请仅设置该值。通常,该端口号位于 NAT 环境中。默认情况下未设置值。 |
| 外部 IP 地址 | 发送到 Horizon Client 的、用于辅助协议(RDP、PCoIP、框架通道等)的目标 IP 地址对应的 IPV4 地址。如果外部公开的地址与桌面计算机的地址不匹配,请仅设置该值。通常,该地址位于 NAT 环境中。默认情况下未设置值。 |
| 外部 PCoIP 端口 | 发送到 Horizon Client 的、用于 PCoIP 协议的目标 TCP/UDP 端口号对应的端口号。数字前面的 + 字符表示用于 HTTPS 的端口号中的相对数字。如果外部公开的端口号与服务侦听的端口不匹配,请仅设置该值。通常,该端口号位于 NAT 环境中。默认情况下未设置值。 |
| 外部 RDP 端口 | 发送到 Horizon Client 的、用于 RDP 协议的目标 TCP 端口号对应的端口号。数字前面的 + 字符表示用于 HTTPS 的端口号中的相对数字。如果外部公开的端口号与服务侦听的端口不匹配,请仅设置该值。通常,该端口号位于 NAT 环境中。默认情况下未设置值。 |
| HTTPS 端口号 | 插件侦听来自 Horizon Client 的传入 HTTPS 请求所用的 TCP 端口。如果此值发生更改,则必须对 Windows 防火墙进行相应更改以允许传入流量。默认值为 443。 |
外部端口号和外部 IP 地址值用于网络地址转换 (NAT) 和端口映射支持。有关更多信息,请参阅使用网络地址转换和端口映射。
对于智能卡身份验证,Windows 证书存储区中必须存在可对智能卡证书进行签名的证书颁发机构 (CA)。有关如何添加证书颁发机构的信息,请参阅
将证书颁发机构添加到 Windows 证书存储区。
注: 由于 Windows 可能向客户端发送不包含中间 CA 名称的可信颁发者列表,如果用户尝试使用智能卡登录到 Windows 7 或 Windows Server 2008 R2 计算机,并且该智能卡证书由中间 CA 签发,该尝试可能会失败。如果发生这种情况,客户端将无法选择相应的智能卡证书。为避免出现此问题,请在注册表项
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL 中将注册表值
SendTrustedIssuerList (REG_DWORD) 设置为 0。将此注册表值设置为 0 后,Windows 将不会向客户端发送可信颁发者列表,这样之后便可以从智能卡中选择所有有效证书。
