Horizon Client 包含一个可用于配置 Horizon Client 功能和行为的组策略 ADMX 模板文件。您可以将该 ADMX 模板文件中的策略设置添加到 Active Directory 中的新 GPO 或现有 GPO,以优化和保护远程桌面和已发布应用程序连接。
该模板文件同时包含计算机配置和用户配置组策略。
- 计算机配置策略将设置应用于 Horizon Client 的策略(无论谁在主机上运行客户端)。
- 用户配置策略将设置应用于运行 Horizon Client 的所有用户的 Horizon Client 策略,以及 RDP 连接设置。用户配置策略覆盖等效的计算机配置策略。
Horizon Client 会在远程桌面和已发布的应用程序启动时和用户登录时应用策略。
Horizon Client 配置 ADMX 模板文件 (vdm_client.admx),以及提供组策略设置的所有 ADMX 模板文件在 VMware-Horizon-Extras-Bundle-YYMM-x.x.x-yyyyyyy.zip 中提供,其中 YYMM 表示市场营销版本号,x.x.x 表示内部的版本号,yyyyyyy 表示内部版本号。您可以从 VMware 下载站点下载该 ZIP 文件,网址为 https://my.vmware.com/web/vmware/downloads。您必须将该文件复制到 Active Directory 服务器,并使用组策略管理编辑器添加管理模板。有关说明,请参阅《Horizon 远程桌面功能和 GPO》文档。
客户端 GPO 的脚本定义设置
对于许多在从命令行运行 Horizon Client 时可以配置的相同设置,可以设置组策略,其中包括远程桌面窗口大小、登录用户名和域名。
下表介绍了 VMware Horizon Client 配置 ADMX 模板文件中的脚本定义设置。该模板文件提供了每个脚本定义设置的计算机配置和用户配置版本。“用户配置”设置优先于等效的“计算机配置”设置。这些设置显示在组策略管理编辑器的 文件夹中。
设置 | 说明 |
---|---|
Automatically connect if only one launch item is entitled | 如果用户仅有权使用一个远程桌面,请将该用户连接到该远程桌面。此设置使用户不必从仅包含一个远程桌面的列表中选择远程桌面。 |
Connect all USB devices to the desktop or remote application on launch | 确定远程桌面或已发布的应用程序启动时是否将客户端系统中所有可用的 USB 设备都连接到远程桌面或已发布的应用程序。 |
Connect USB devices to the desktop or remote application when they are plugged in | 确定将 USB 设备插入客户端系统时是否将其连接到远程桌面或已发布的应用程序。 |
DesktopLayout | 指定用户在登录到远程桌面时看到的 Horizon Client 窗口布局。布局选项包括:
此设置仅在设置了DesktopName to select setting时才可用。 |
DesktopName to select | 指定 Horizon Client 在登录过程中使用的默认远程桌面。 |
Disable 3rd-party Terminal Services plugins | 确定 Horizon Client 是否检查作为一般 RDP 插件安装的第三方终端服务插件。如果不配置该设置,Horizon Client 会默认检查第三方插件。此设置不影响 Horizon 特定的插件,如 USB 重定向。 |
Locked Guest Size | 如果在一个显示器上使用显示内容,则指定远程桌面的屏幕分辨率。如果将远程桌面显示设置为所有显示器,则此设置不起作用。 启用此设置后,将禁用远程桌面自动适应功能,并且 Horizon Client 用户界面中的允许缩放显示选项处于隐藏状态。 |
Logon DomainName | 指定 Horizon Client 在登录过程中使用的 NetBIOS 域。 |
Logon Password | 指定 Horizon Client 在登录过程中使用的密码。该密码由 Active Directory 存储在纯文本中。为提高安全性,请勿指定此设置。用户可以通过交互方式输入密码。 |
Logon UserName | 指定 Horizon Client 在登录过程中使用的密码。该密码由 Active Directory 存储在纯文本中。 |
Server URL | 指定 Horizon Client 在登录过程中使用的 URL,例如,https://view1.example.com。 |
Suppress error messages (when fully scripted only) | 确定在登录过程中是否隐藏 Horizon Client 错误消息。 此设置仅适用于完全编写了登录进程脚本文件的情况,如通过组策略预先填写了所有必要的登录信息时。 如果由于登录信息错误而导致登录失败,用户将不会收到通知,Horizon Client 进程将终止。 |
Disconnected application session resumption behavior | 确定正在运行的已发布应用程序在用户重新连接到服务器时的行为方式。相关选项包括:
如果启用该设置,最终用户无法在 Horizon Client 中配置已发布应用程序的重新连接行为。 如果禁用该设置,最终用户可以在 Horizon Client 中配置已发布应用程序的重新连接行为。默认情况下禁用该设置。 |
Enable Unauthenticated Access to the server | 确定在使用 Horizon Client 时用户是否需要输入凭据才能访问已发布的应用程序。 如果启用该设置,Horizon Client 中的未验证访问设置处于可见状态、已禁用并选中。如果“未验证访问”不可用,客户端可以改用另一种身份验证方法。 如果禁用该设置,用户始终需要输入其凭据才能登录并访问其已发布的应用程序。Horizon Client 中的未验证访问设置处于隐藏状态并取消选中。 默认情况下,用户可以在 Horizon Client 中启用“未验证访问”。未验证访问设置处于可见状态、已启用并取消选中。 |
Account to use for Unauthenticated Access | 指定未验证访问用户帐户;如果启用了 Enable Unauthenticated Access to the server 组策略设置,或者用户在 Horizon Client 中选择未验证访问以启用未验证访问,则 Horizon Client 使用该帐户以匿名方式登录到服务器。 如果在到服务器的特定连接中不使用未验证访问,则忽略该设置。默认情况下,用户可以选择一个帐户。 |
Use existing client instance when connect to same server | 确定是否将连接添加到用户已用于连接到同一服务器的现有 Horizon Client 实例。 默认情况下,此设置在未配置时处于禁用状态。 |
客户端 GPO 的安全设置
安全设置包括证书、登录凭据和单点登录功能的组策略。
下表介绍了 Horizon Client 配置 ADMX 模板文件中的安全性设置。此表显示了安全性设置是同时包含“计算机配置”设置和“用户配置”设置,还是只包含“计算机配置”设置。对于包含两种类型设置的安全性设置,“用户配置”设置将覆盖等效的“计算机配置”设置。这些设置显示在组策略管理编辑器的 文件夹中。
设置 | 计算机 | 用户 | 说明 |
---|---|---|---|
Allow command line credentials | X | 确定是否可以通过 Horizon Client 命令行选项提供用户凭据。如果禁用此设置,当用户从命令行运行 Horizon Client 时,smartCardPIN 和 password 选项不可用。 默认情况下启用该设置。 等效的 Windows 注册表值为 AllowCmdLineCredentials。 |
|
Configures the SSL Proxy certificate checking behavior of the Horizon Client | X | 确定是否允许对通过 SSL 代理服务器为 Blast 安全网关和安全加密链路连接建立的辅助连接进行证书检查。 如果未配置此设置(默认情况),用户可以在 Horizon Client 中手动更改 SSL 代理设置。请参阅在 Horizon Client 中设置证书检查模式。 默认情况下,Horizon Client 会阻止为 Blast 安全网关和安全加密链路连接建立 SSL 代理连接。 |
|
Servers Trusted For Delegation | X | 指定当用户在 Horizon Client 菜单栏上的选项菜单中选择以当前用户身份登录时,接受所传送的用户身份和凭据信息的连接服务器实例。如果未指定任何连接服务器实例,则所有连接服务器实例都会接受该信息,除非在 Horizon Console 中为连接服务器实例禁用了允许以当前用户身份登录身份验证设置。 要添加连接服务器实例,请使用以下格式之一:
等效的 Windows 注册表值为 BrokersTrustedForDelegation。 |
|
Certificate verification mode | X | 配置 Horizon Client 执行的证书检查级别。您可以选择其中一种模式:
注: 在 FIPS 模式下运行时,无法更改证书验证模式。在 FIPS 模式下,将永久选择“完整安全性检查”选项,这意味着将仅接受完全可验证的 CA 签名服务器证书。
配置此设置后,用户可以在 Horizon Client 中查看选定的证书验证模式,但无法配置该设置。证书检查模式对话框通知用户该设置已经由管理员锁定。 如果禁用该设置,Horizon Client 用户可以选择证书检查模式。默认情况下禁用该设置。 要允许服务器选择由 Horizon Client 提供的证书,客户端必须与连接服务器或安全服务器主机建立 HTTPS 连接。如果将 TLS 负载分流到与连接服务器或安全服务器主机建立 HTTP 连接的中间设备,则不支持证书检查。 如果您不希望将该设置配置为组策略,您还可以通过将 CertCheckMode 值名称添加到客户端计算机上的以下注册表项之一来启用证书验证。
使用以下注册表项值:
如果您在 Windows 注册表项中配置了组策略设置和 CertCheckMode 设置,则组策略设置优先于注册表项值。
注: 在
Horizon Client 的未来版本中,可能不支持使用 Windows 注册表配置此设置,必须使用组策略设置。
|
|
Default value of the 'Log in as current user' checkbox | X | X | 指定 Horizon Client 菜单栏上选项菜单中以当前用户身份登录的默认值。 这项设置将覆盖 Horizon Client 安装期间指定的默认值。 如果用户通过命令行运行 Horizon Client 并指定了 logInAsCurrentUser 选项,则该值将覆盖此设置。 如果在选项菜单中选择了以当前用户身份登录,则用户在登录到客户端系统时提供的身份和凭据信息会传送到连接服务器实例,并最终传送到远程桌面或已发布的应用程序。如果取消选择以当前用户身份登录,则用户必须多次提供身份和凭据信息,才能访问远程桌面或已发布的应用程序。 默认情况下禁用该设置。 等效的 Windows 注册表值为 LogInAsCurrentUser。 |
Display option to Log in as current user | X | X | 确定以当前用户身份登录在 Horizon Client 菜单栏上的选项菜单中是否可见。 如果以当前用户身份登录可见,则用户可以选择或取消选择该选项,并覆盖其默认值。如果以当前用户身份登录处于隐藏状态,则用户将无法从 Horizon Client 的选项菜单中覆盖其默认值。 您可以使用策略设置 Default value of the 'Log in as current user' checkbox 指定以当前用户身份登录的默认值。 默认情况下启用该设置。 等效的 Windows 注册表值为 LogInAsCurrentUser_Display。 |
Enable jump list integration
|
X | 确定在 Windows 7 和更高版本系统的任务栏上的 Horizon Client 图标中是否显示跳转列表。用户可以使用跳转列表连接到最近使用的服务器、远程桌面和已发布的应用程序。 共享 Horizon Client 时,您可能不希望用户查看最近使用的桌面和已发布应用程序的名称。因此,您可以通过禁用此设置来禁用跳转列表。 默认情况下启用该设置。 等效的 Windows 注册表值为 EnableJumplist。 |
|
Enable SSL encrypted framework channel | X | X | 确定是否为 View 5.0 和更低版本的远程桌面启用 TLS。在 View 5.0 之前,未加密通过端口 TCP 32111 发送到远程桌面的数据。
等效的 Windows 注册表值为 EnableTicketSSLAuth。 |
Configures Signature Algorithms Extension | 可指定 TLS v1.2 的签名算法。输入以冒号分隔的一系列签名算法,各个签名算法按优先级从高到低的顺序排列,且采用算法+哈希格式。请注意,算法和哈希名称区分大小写。例如:RSA+SHA256:ECDSA+SHA256 如果未设置此选项,则默认值为 OpenSSL 库支持的所有签名算法。 |
||
Configures SSL protocols and cryptographic algorithms | X | X | 在建立加密 TLS 连接之前,配置密码列表来限制某些加密算法和协议的使用。密码列表由以冒号分隔的一个或多个密码字符串组成。密码字符串区分大小写。 默认值为 TLSv1.1:TLSv1.2:!aNULL:kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES 该密码字符串意味着将启用 TLS v1.1 和 TLS v1.2,而禁用 SSL v.2.0、SSL v3.0 和 TLS v1.0。SSL v2.0、SSL v3.0 和 TLS v1.0 不再是批准的协议,将永久禁用这些协议。 密码套件使用 ECDHE、ECDH 和 RSA 以及 128 位或 256 位 AES。GCM 模式是首选模式。 有关更多信息,请参阅 http://www.openssl.org/docs/apps/ciphers.html。 等效的 Windows 注册表值为 SSLCipherList。 |
Configures Supported Groups Extension | 设置支持的椭圆曲线组。输入以冒号分隔的一系列曲线。请注意,曲线名称区分大小写。例如:P-256:P-384 如果未设置此选项且提供的是 ECDHE 密码套件,则默认值为 OpenSSL 库支持的所有签名算法。 |
||
Enable Single Sign-On for smart card authentication | X | 确定是否为智能卡身份验证启用单点登录。如果启用了单点登录,Horizon Client 将加密的智能卡 PIN 存储到临时内存中,然后再将其提交到连接服务器。如果禁用单点登录,Horizon Client 将不显示自定义 PIN 对话框。 等效的 Windows 注册表值为 EnableSmartCardSSO。 |
|
Do not check certificate revocation status | X | X | 确定是否检查证书吊销状态。如果启用此 GPO,则即使服务器发送的证书已被吊销,或者已知无法进行证书吊销检查 (例如,在 Internet 连接受限时),Horizon Client 仍会将服务器的证书视为有效。 默认情况下禁用该设置。
注: 如果启用该设置,则客户端可能仅在服务器证书验证期间使用缓存的 URL。缓存的 URL 信息类型可能是 CRL 分发点 (CRL Distribution Point, CDP) 和授权信息访问(OCSP 和 CA 颁发机构访问方法)。
|
Strict certification revocation check | 如果启用,Horizon Client 将在无法验证证书吊销状态时拒绝连接到服务器。如果禁用此设置,客户端会检查吊销状态,但不会根据吊销状态阻止连接。Do not check certificate revocation status GPO 优先于此 GPO,请不要将这两个 GPO 一起使用。 默认情况下禁用该设置。 |
||
Unlock remote sessions when the client machine is unlocked | X | X | 确定是否启用递归解锁功能。在解锁客户端计算机后,递归解锁功能解锁所有远程会话。只有在用户使用“以当前用户身份登录”功能登录到服务器后,该功能才适用。 默认情况下启用该设置。 |
以下设置显示在组策略管理编辑器的
文件夹中。设置 | 计算机 | 用户 | 说明 |
---|---|---|---|
Allow NTLM Authentication | X | 如果启用该设置,则将允许通过以当前用户身份登录功能进行 NTLM 身份验证。如果禁用该设置,则不会对任何服务器使用 NTLM 身份验证。 如果启用该设置,您可以从允许从 Kerberos 回退到 NTLM 下拉菜单中选择是或否。
如果未配置此设置,则将允许对始终使用 NTLM 服务器组策略设置中列出的服务器使用 NTLM 身份验证。 要使用 NTLM 身份验证,服务器 SSL 证书必须有效,并且 Windows 策略不得限制 NTLM 的使用。 有关在连接服务器实例中配置从 Kerberos 回退到 NTLM 的信息,请参阅《Horizon 概览和部署规划》指南中的“使用基于 Windows 的 Horizon Client 所提供的‘以当前用户身份登录’功能”。 |
|
Always use NTLM for servers | X | 如果启用该设置,则以当前用户身份登录功能将始终对列出的服务器使用 NTLM 身份验证。要创建服务器列表,请单击显示,然后在值列中输入服务器名称。服务器的命名格式为完全限定域名 (FQDN)。 |
客户端 GPO 的 RDP 设置
使用 Microsoft RDP 显示协议时,可以为诸如音频、打印机、端口和其他设备的重定向之类的选项设置组策略。
下表介绍了 Horizon Client 配置 ADMX 模板文件中的远程桌面协议 (Remote Desktop Protocol, RDP) 设置。所有 RDP 设置均是“用户配置”设置。这些设置显示在组策略管理编辑器的 文件夹中。
设置 | 说明 |
---|---|
Audio redirection | 确定是否重定向远程桌面上播放的音频信息。可选择以下设置之一:
该设置仅适用于 RDP 音频。客户端中将播放通过 MMR 重定向的音频。 |
Enable audio capture redirection | 确定是否将默认音频输入设备从客户端重定向至远程会话。启用此设置后,客户端上的音频录制设备将显示在远程桌面上并可录制音频输入。 默认设置为禁用。 |
Bitmap cache file size in unit for number bpp bitmaps | 指定用于特定位/像素 (bpp) 位图颜色设置的位图缓存大小(以 KB 或 MB 为单位)。 针对以下单位和 bpp 组合提供了不同的设置版本:
|
In-memory bitmap cache size in KB for 8bpp bitmaps | 指定用于 8 位/像素颜色设置的 RAM 位图缓存大小(以千字节为单位)。如果 ScaleBitmapCachesByBPP 为 true(默认值),则会将此缓存大小乘以每像素字节数来确定实际的 RAM 缓存大小。 启用此设置后,请输入以千字节为单位的大小。 |
Bitmap caching/cache persistence active | 确定是否使用永久位图缓存(处于活动状态)。永久位图缓存可以提高性能,但需要更多磁盘空间。 |
Color depth | 指定远程桌面的颜色深度。可选择以下设置之一:
|
Cursor shadow | 确定是否在远程桌面上的指针下方显示阴影。 |
Desktop background | 确定客户端连接到远程桌面时是否显示桌面背景。 |
Desktop composition | 确定是否在远程桌面上启用桌面拼合。 启用桌面拼合时,单个窗口不再像在先前的 Microsoft Windows 版本中那样可直接绘制到屏幕或主要显示设备中。相反,其图形将重定向到视频内存的离屏外表上,然后呈现为桌面映像,并在显示器中显示。 |
Enable compression | 确定是否压缩 RDP 数据。默认情况下启用该设置。 |
Enable RDP Auto-Reconnect | 确定 RDP 协议连接失败后 RDP 客户端组件是否尝试重新连接到远程桌面。如果在 Horizon Console 中启用了使用安全加密链路连接到桌面选项,则该设置不起作用。默认情况下禁用该设置。 |
Font smoothing | 确定是否对远程桌面上的字体应用消除锯齿效果。 |
Menu and window animation | 确定客户端连接到远程桌面时是否对菜单和窗口启用动画效果。 |
Redirect clipboard | 确定客户端连接到远程桌面时是否重定向本地剪贴板信息。 |
Redirect drives | 确定客户端连接到远程桌面时是否重定向本地磁盘驱动器。默认情况下,本地驱动器将被重定向。 如果启用该设置或不对其进行配置,则允许将远程桌面上重定向驱动器的数据复制到客户端计算机的驱动器上。如果允许将数据从远程桌面传输到用户客户端计算机会为您的部署带来潜在的安全风险,请禁用该设置。另一种方法是通过启用 Microsoft Windows 组策略设置Do not allow drive redirection禁用远程桌面虚拟机中的文件夹重定向。 Redirect drives设置仅应用于 RDP。 |
Redirect printers | 确定客户端连接到远程桌面时是否重定向本地打印机。 |
Redirect serial ports | 确定客户端连接到远程桌面时是否重定向本地 COM 端口。 |
Redirect smart cards | 确定客户端连接到远程桌面时是否重定向本地智能卡。
注: 此设置适用于 RDP 和 PCoIP 两种连接。
|
Redirect supported plug-and-play devices | 确定客户端连接到远程桌面时是否重定向本地即插即用设备和 POS 终端设备。该行为与代理的 USB 重定向组件管理的重定向不同。 |
Shadow bitmaps | 确定是否显示位图阴影。此设置在全屏模式下无效。 |
Show contents of window while dragging | 确定用户将文件夹拖到新位置时是否显示文件夹内容。 |
Themes | 确定客户端连接到远程桌面时是否显示主题。 |
Windows key combination redirection | 确定在何处应用 Windows 按键组合。 此设置允许您将按键组合发送到远程虚拟机或在本地使用这些按键组合。 默认情况下在本地应用组合键。 |
Enable Credential Security Service Provider | 指定远程桌面连接是否使用网络级别身份验证 (Network Level Authentication, NLA)。如果客户机操作系统需要使用 NLA 进行远程桌面连接,您必须启用此设置,否则 Horizon Client 可能无法连接到远程桌面。除了启用此设置以外,您还必须确认满足以下条件:
|
客户端 GPO 的常规设置
常规设置包括代理选项、时区转发、多媒体加速和其他显示设置。
下表介绍了 Horizon Client 配置 ADMX 模板文件中的常规设置。常规设置包含“计算机配置”设置和“用户配置”设置。“用户配置”设置优先于等效的“计算机配置”设置。这些设置显示在组策略管理编辑器的 VMware Horizon Client 配置文件夹中。
设置 | 计算机 | 用户 | 说明 |
---|---|---|---|
Allow Blast connections to use operating system proxy settings | X | 配置是否将代理服务器用于 VMware Blast 连接。 如果启用此设置,则 VMware Blast 可以通过代理服务器进行连接。 如果禁用此设置,则 VMware Blast 无法使用代理服务器。 如果未配置此设置(默认情况),用户可以在 Horizon Client 用户界面中配置 VMware Blast 连接是否可以使用代理服务器。请参阅配置 VMware Blast 选项。 |
|
Allow data sharing | X | 如果启用此设置,Horizon Client 用户界面中的数据共享模式设置将设为“开”,且最终用户无法更改此设置。 如果禁用此设置,Horizon Client 用户界面中的数据共享模式设置将设为“关”,且最终用户无法更改此设置。 如果未配置此设置(默认),最终用户可以在 Horizon Client 用户界面中更改数据共享模式设置。 |
|
Allow display scaling | X | X | 如果启用此设置,将为所有远程桌面和已发布的应用程序启用显示缩放功能。 如果禁用此设置,将为所有远程桌面和已发布的应用程序禁用显示缩放功能。 如果未配置此设置(默认设置),最终用户可以在 Horizon Client 用户界面中启用和禁用显示缩放功能。 您也可以在 Horizon Client 用户界面中通过启用锁定的客户机大小组策略设置来隐藏显示缩放首选项。 |
Allow H.264 Decoding | X | 为 VMware Blast 协议配置 H.264 解码。 如果启用此设置,H.264 解码将成为首选选项。 如果禁用此设置,则从不使用 H.264 解码。 如果未配置此设置,用户可以选择是否启用 H.264 解码。请参阅配置 VMware Blast 选项。 |
|
Allow H.264 high color accuracy | X | 为 H.264 配置高色彩精度模式。 仅在已启用 H.264 解码时,此设置才会生效。 如果未配置此设置,用户可以选择是否启用高色彩精度模式。请参阅配置 VMware Blast 选项。 |
|
Allow HEVC Decoding | X | 为 VMware Blast 协议配置 HEVC(也称为 H.265)解码。 如果启用此设置,HEVC 解码将成为首选选项。 如果禁用此设置,将从不使用 HEVC 解码。 如果未配置此设置,用户可以选择是否启用 HEVC 解码。请参阅配置 VMware Blast 选项。 |
|
Allow user to skip Horizon Client update | X | 指定用户是否可以在 Horizon Client 更新窗口中单击跳过按钮。如果用户单击跳过,则在下一个 Horizon Client 版本可用之前,将看不到其他更新通知。 | |
Always hide the remote floating language (IME) bar for Hosted Apps | X | X | 强制关闭应用程序会话的浮动语言栏。如果启用该设置,无论是否启用本地 IME 功能,都不会在已发布的应用程序会话中显示浮动语言栏。如果禁用该设置,只有在禁用本地 IME 功能时,才会显示浮动语言栏。默认情况下禁用该设置。 |
Always on top | X | 确定 Horizon Client 窗口是否始终显示在最前面。启用此设置可避免 Windows 任务栏遮挡全屏模式的 Horizon Client 窗口。默认情况下禁用该设置。 | |
Automatic input focus in a virtual desktop window | X | X | 如果启用此设置,则当用户将远程桌面置于最前面时,Horizon Client 会自动将输入内容发送到远程桌面。换句话说,焦点不在窗口的框架中,并且用户无需单击远程桌面窗口内部即可移动焦点。 |
Automatically check for updates | X | 指定是否自动检查 Horizon Client 软件更新。此设置控制 Horizon Client 更新窗口上的检查更新并显示标志通知复选框。默认情况下启用该设置。 | |
Automatically install shortcuts when configured on the Horizon server | X | X | 如果在连接服务器实例上配置了已发布应用程序和远程桌面快捷方式,该设置指定在用户连接到服务器时如何以及是否在客户端计算机上安装快捷方式。 如果启用此设置,则会在客户端计算机上安装快捷方式。不会提示用户安装快捷方式。 如果禁用此设置,则从不在客户端计算机上安装快捷方式。不会提示用户安装快捷方式。 在默认情况下,系统会提示用户安装快捷方式。 |
Automatically synchronize the keypad, scroll and caps lock keys | X | 如果启用此设置,则 Num Lock、Scroll Lock 和 Caps Lock 键的切换开关状态将从客户端设备同步到远程桌面。在 Horizon Client 中,自动同步小键盘、Scroll Lock 和 Caps Lock 键复选框已被选中,并且该设置呈灰显状态。 如果禁用此设置,则锁定键切换开关状态将从远程桌面同步到客户端设备。在 Horizon Client 中,自动同步小键盘、Scroll Lock 和 Caps Lock 键复选框已被取消选中,并且该设置呈灰显状态。 启用或禁用此设置后,用户无法在 Horizon Client 中修改自动同步小键盘、Scroll Lock 和 Caps Lock 键设置。 如果未配置此设置,则用户可以通过在 Horizon Client 中配置自动同步小键盘、Scroll Lock 和 Caps Lock 键设置来启用或禁用远程桌面的锁定键同步。请参阅配置锁定键同步。 默认情况下不配置此设置。 |
|
Block multiple Horizon Client instances per Windows session | X | 防止用户在 Windows 会话期间启动多个 Horizon Client 实例。 如果启用此设置,则 Horizon Client 将在单实例模式下运行,并且用户无法在一个 Windows 会话中启动多个 Horizon Client 实例。 如果禁用此设置,则用户可以在一个 Windows 会话中启动多个 Horizon Client 实例。默认情况下禁用该设置。 |
|
Client behavior when all sessions are disconnected | X | X | 自定义所有会话断开连接时的客户端行为。您可以将客户端配置为在所有会话断开连接时退出,从连接服务器中注销或保持当前状态。 未配置此设置时,客户端将以默认方式运行。 |
Configure maximum latency for mouse coalescing | X | 设置合并鼠标移动事件时允许的最大延迟(以毫秒为单位)。有效值为 0 到 50。值为 0 将禁用此功能。 合并鼠标移动事件可以减少客户端到代理的带宽使用量,但可能会稍微增加鼠标移动的延迟。 默认情况下禁用该设置。 |
|
Custom error screen footer | X | 允许您向所有 Horizon Client 错误消息底部添加自定义帮助文本。您必须在本地客户端系统上以纯文本 (.txt ) 文件格式提供帮助文本。该文本文件最多可以包含 2048 个字符,其中包括控制字符。支持 ANSI 和 Unicode 两种编码。 如果启用此设置,则需在提供的文本框中为包含自定义帮助文本的文件指定完整路径,例如,C:\myDocs\errorFooter.txt。 默认情况下禁用该设置。 |
|
Default value of the "Hide the selector after launching an item" check box | X | X | 设置是否默认选中启动某项后隐藏选择器复选框。默认情况下禁用该设置。 |
Disable desktop disconnect messages | X | X | 指定是否禁用远程桌面断开连接消息。默认情况下将显示这些消息。 |
Disable displaying network state | X | X | 指定在网络不稳定时是否关闭通知显示。默认情况下,将显示这些通知。 有关更多信息,请参阅检测不稳定的网络连接。 |
Disable server session time out message | X | X | 指定是否禁用服务器会话超时消息。默认情况下将显示此消息。 |
Disable sharing files and folders | X | 指定客户端驱动器重定向功能是否在 Horizon Client 中可用。 如果启用此设置,则会在 Horizon Client 中禁用所有客户端驱动器重定向功能,包括通过已发布的应用程序打开本地文件的功能。此外,还会在 Horizon Client 用户界面中隐藏以下元素:
如果禁用此设置,则客户端驱动器重定向功能可完全正常使用。默认情况下禁用该设置。 |
|
Disable time zone forwarding | X | 确定是否禁用远程桌面与连接的客户端之间的时区同步。 | |
Disable toast notifications | X | X | 确定是否禁用 Horizon Client 的 Toast 通知。 如果不希望用户在屏幕的角落中看到 Toast 通知,请启用此设置。
注: 如果启用此设置,则当会话超时功能处于活动状态时,用户将不会每五分钟看到一个警告。
|
Disallow passing through client information in a nested session | X | 指定是否阻止 Horizon Client 在嵌套会话中传递客户端信息。启用此设置后,如果 Horizon Client 在远程会话内运行,它将发送实际的物理客户端信息,而不是虚拟机设备信息。此设置适用于以下客户端信息:设备名称和域、客户端类型、IP 地址以及 MAC 地址。默认情况下禁用此设置,即允许在嵌套会话中传递客户端信息。 | |
Display modifier function key | X | X | 指定在 PCoIP 或 VMware Blast 远程桌面会话中获取输入内容后注入该内容时,要更改客户端计算机上的显示配置,用户可以按下的切换修改符和功能键组合。 如果未配置此设置(默认设置),最终用户必须使用鼠标释放远程桌面,然后按 Windows 徽标键 + P 以选择演示显示模式。 此设置不适用于已发布的应用程序会话。 |
Disable opening local files in hosted applications | X | 指定 Horizon Client 是否为托管的应用程序支持的文件扩展名注册本地处理程序。 如果启用此设置,则 Horizon Client 不会注册任何文件扩展名处理程序,并且也不允许用户覆盖此设置。 如果禁用此设置,则 Horizon Client 将始终注册文件扩展名处理程序。默认情况下,将注册文件扩展名处理程序,但用户可以在 Horizon Client 用户界面中使用“设置”对话框中的“共享”面板上的启用通过远程应用程序从本地文件系统中打开本地文件的功能设置禁用该功能。有关更多信息,请参阅共享本地文件夹和驱动器。 默认情况下禁用该设置。 |
|
Don't check monitor alignment on spanning | X | 默认情况下,如果屏幕组合在一起时不能构成精确的矩形,客户端桌面将不会跨越多个显示器。启用此设置可覆盖默认设置。默认情况下禁用该设置。 | |
Enable multi-media acceleration | X | 确定是否在客户端中启用多媒体重定向 (MMR)。 如果 Horizon Client 视频显示硬件不支持覆盖功能,MMR 将无法正常运行。 |
|
Enable relative mouse | X | X | 在使用 PCoIP 显示协议时启用相对鼠标。相对鼠标模式提高了某些图形应用程序和游戏的鼠标行为。如果远程桌面不支持相对鼠标,则不使用此设置。默认情况下禁用该设置。 |
Enable the shade | X | 确定是否显示 Horizon Client 窗口顶部的幕帘菜单栏。默认情况下启用该设置。
注: 默认情况下,Kiosk 模式的幕帘菜单栏是禁用的。
|
|
Enable Horizon Client online update | X | 启用联机更新功能。默认情况下启用该设置。
注: 如果从命令行安装
Horizon Client,您还可以通过将
AUTO_UPDATE_ENABLED 属性设置为 0 来禁用联机更新功能。有关更多信息,请参阅
从命令行安装 Horizon Client。
|
|
Enable Split Mks Window | X | 对于将适用于 Windows 的 Horizon Client 2106 或更高版本与 Cisco WebEx 和 Zoom 等统一通信 (UC) 应用程序结合使用时遇到的多显示器显示问题,此设置提供了一种临时解决办法。默认情况下启用该设置。 如果您的 UC 供应商尚未提供可修复该显示问题的应用程序更新,则可以通过禁用此设置来实施临时解决办法。禁用此设置将关闭默认的窗口层次结构,并使窗口根据多显示器设置中所有显示器的边界框进行显示。有关更多信息,请参阅 VMware 知识库 (KB) 文章 85400。
注: 仅将此解决办法作为临时修复措施,直到您可以安装更新版本的 UC 应用程序以永久修复该显示问题。安装更新的 UC 应用程序后,请从 GPO 中启用此设置,以再次打开默认的窗口层次结构。
|
|
Hide items in application context menu | X | X | 使用此设置可以隐藏当您在桌面和应用程序选择器窗口中右键单击已发布的应用程序时所显示的上下文菜单中的项目。 如果启用此设置,则您可以配置以下选项:
默认情况下禁用该设置。 |
Hide items in desktop context menu | X | X | 使用此设置可以隐藏当您在桌面和应用程序选择器窗口中右键单击远程桌面时所显示的上下文菜单中的项目。 如果启用此设置,则您可以配置以下选项:
默认情况下禁用该设置。 |
Hide items in desktop toolbar | X | X | 使用此设置可隐藏远程桌面窗口中菜单栏上的项目。
如果启用此设置,则您可以配置以下选项。
默认情况下禁用该设置。 |
Hide items in system tray menu | X | X | 使用此设置可以隐藏当您在本地客户端系统上右键单击系统托盘中的 Horizon Client 图标时所显示的上下文菜单中的项目。 如果启用此设置,则您可以配置以下选项。
默认情况下禁用该设置。 |
Hide items in the client toolbar menu | X | X | 使用此设置可以隐藏桌面和应用程序选择器窗口顶部工具栏中的项目。 如果启用此设置,则您可以配置以下选项。
默认情况下禁用该设置。 |
Hotkey combination to grab input focus | X | X | 配置热键组合以获取上次使用的 PCoIP 或 VMware Blast 远程桌面会话的输入焦点。热键由一个或两个修改符键与一个字母键组成。 如果禁用或未配置此设置,用户可以通过单击远程桌面窗口内部来获取焦点。默认情况下不配置此设置。 |
Hotkey combination to release input focus | X | X | 配置热键组合以从 PCoIP 或 VMware Blast 远程桌面会话释放输入焦点。热键由一个或两个修改符键与一个功能键组成。 如果已选中释放输入焦点后最小化全屏虚拟桌面复选框,则当远程桌面处于全屏模式时,用户可以按配置来释放输入焦点的任意热键(例如 Ctrl+Shift+F5),以最小化远程桌面窗口。默认情况下,当远程桌面处于全屏模式且未进行任何配置时,可以使用 Ctrl+Shift+F5 最小化远程桌面窗口。 如果禁用或未配置此设置,用户可以通过按 Ctrl+Alt 或单击远程桌面窗口外部来释放焦点。 默认情况下不配置此设置。 |
Pin the shade | X | 确定是否启用 Horizon Client 窗口顶部的幕帘中的大头针,且不自动隐藏菜单栏。禁用幕帘时,则此设置无效。默认情况下启用该设置。 | |
Save resolution and DPI to server | X | 确定 Horizon Client 是否在服务器上保存自定义显示分辨率和显示缩放设置。有关为远程桌面自定义显示分辨率和显示缩放设置的信息,请参阅自定义远程桌面的显示分辨率和显示缩放。 如果启用了该设置并为远程桌面自定义了显示分辨率或显示缩放设置,则每次用户打开远程桌面时,不管用户使用哪种客户端设备登录到远程桌面,都会自动应用这些自定义设置。 默认情况下禁用该设置。 |
|
Tunnel proxy bypass address list | X | 指定一个安全加密链路地址列表。代理服务器不用于这些地址。使用分号 (;) 来分隔多个条目。 | |
Update message pop-up | X | 指定当有新版本的 Horizon Client 可用时,是否自动向最终用户显示更新弹出消息。此设置控制 Horizon Client 更新窗口上的有更新时显示弹出消息复选框。默认情况下禁用该设置。 | |
URL for Horizon Client online help | X | 指定一个可供 Horizon Client 检索帮助页面的备用 URL。这项设置适用于因不能访问 Internet 而无法检索远程托管的帮助系统的环境。 | |
URL for Horizon Client online update | X | 指定一个可供 Horizon Client 检索更新的备用 URL。这项设置适用于定义了自己的专用/个人更新中心的环境。如果未启用该设置,则使用 VMware 官方更新服务器。 |
客户端 GPO 的 USB 设置
您可以为 Horizon Agent 和 Horizon Client 定义 USB 策略设置。连接时,Horizon Client 将从 Horizon Agent 下载 USB 策略设置并将这些设置与 Horizon Client USB 策略设置配合使用,以确定哪些设备可从主机计算机进行重定向。
下表介绍了 Horizon Client 配置 ADMX 模板文件中拆分复合 USB 设备的各个策略设置。该设置适用于计算机级别。计算机级别的 GPO 设置优先于位于 HKLM\Software\Policies\VMware, Inc.\VMware VDM\Client\USB 的注册表项。这些设置显示在组策略管理编辑器的 文件夹中。
有关使用策略来控制 USB 重定向的更多信息,请参阅《Horizon 远程桌面功能和 GPO》文档。
设置 | 说明 |
---|---|
Allow Auto Device Splitting | 允许复合 USB 设备的自动拆分。 未定义默认值,相当于 false。 |
Exclude Vid/Pid Device From Split | 从拆分中排除按供应商和产品 ID 指定的复合 USB 设备。设置的格式为 vid-xxx1_pid-yyy2[;vid-xxx2_pid-yyy2]... 您必须以十六进制格式指定 ID 号。可以使用通配符 (*) 代替 ID 中的单个数字。 例如:vid-0781_pid-55** 未定义默认值。 |
Split Vid/Pid Device | 将按供应商和产品 ID 指定的复合 USB 设备的组件视为单独设备。设置的格式为 vid-xxxx_pid-yyyy(exintf:zz[;exintf:ww ]) 可以使用 exintf 关键字通过指定接口号禁止重定向组件。您必须以十六进制格式指定 ID 号,以十进制格式(包含前导零)指定接口号。可以使用通配符 (*) 代替 ID 中的单个数字。 例如:vid-0781_pid-554c(exintf:01;exintf:02)
注: Horizon 不会自动包含未明确排除的组件。您必须指定一个筛选策略(如
Include Vid/Pid Device)来包含这些组件。
未定义默认值。 |
下表介绍了 Horizon Client 配置 ADMX 模板文件中用来筛选 USB 设备的策略设置。该设置适用于计算机级别。计算机级别的 GPO 设置优先于位于 HKLM\Software\Policies\VMware, Inc.\VMware VDM\Client\USB 的注册表项。
有关为 USB 重定向配置筛选策略设置的更多信息,请参阅《Horizon 远程桌面功能和 GPO》文档。
设置 | 说明 |
---|---|
Allow Audio Input Devices | 允许音频输入设备进行重定向。 未定义默认值,相当于 true。 此设置显示在组策略管理编辑器的 文件夹中。 |
Allow Audio Output Devices | 允许音频输出设备进行重定向。 未定义默认值,相当于 false。 此设置显示在组策略管理编辑器的 文件夹中。 |
Allow HID-Bootable | 允许启动时除键盘或鼠标之外的其他可用输入设备(又称为可引导的 hid 设备)进行重定向。 未定义默认值,相当于 true。 此设置显示在组策略管理编辑器的 文件夹中。 |
Allow Device Descriptor Failsafe Behavior | 即使 Horizon Client 未能获取配置/设备描述符,依然允许设备进行重定向。 要在设备出现配置/描述符问题时依然允许它进行重定向,可将其添加到 Include 筛选器中,如 IncludeVidPid 或 IncludePath。 未定义默认值,相当于 false。 此设置显示在组策略管理编辑器的 文件夹中。 |
Allow Other Input Devices | 允许重定向输入设备(可引导的 hid 设备和具有集成指针设备的键盘)。 未定义默认值,相当于 true。 此设置显示在组策略管理编辑器的 文件夹中。 |
Allow Keyboard and Mouse Devices | 允许键盘以及集成指针设备(例如,鼠标、轨迹球或触摸板)进行重定向。 未定义默认值,相当于 false。 此设置显示在组策略管理编辑器的 文件夹中。 |
Allow Smart Cards | 允许智能卡设备进行重定向。 未定义默认值,相当于 false。 此设置显示在组策略管理编辑器的 文件夹中。 |
Allow Video Devices | 允许视频设备进行重定向。 未定义默认值,相当于 true。 此设置显示在组策略管理编辑器的 文件夹中。 |
Disable Remote Configuration | 在执行 USB 设备筛选时,禁用代理设置。 未定义默认值,相当于 false。 此设置显示在组策略管理编辑器的 文件夹中。 |
Exclude All Devices | 禁止任何 USB 设备进行重定向。如果设置为 true,可以使用其他策略设置来允许对特定设备或设备系列进行重定向。如果设置为 false,可以使用其他策略设置来防止特定设备或系列设备进行重定向。 如果在代理上将 Exclude All Devices 值设置为 true,并将该设置传递到 Horizon Client,代理设置将覆盖 Horizon Client 设置。 未定义默认值,相当于 false。 此设置显示在组策略管理编辑器的 文件夹中。 |
Exclude Automatically Connection Device Family | 禁止设备系列被自动转发。使用以下语法:family-name[;...] 例如: storage;hid |
Exclude Automatically Connection Vid/Pid Device | 禁止具有特定供应商和产品 ID 的设备被自动转发。使用以下语法:vid-xxxx_pid-xxxx|*[;...] 例如: vid-0781_pid-554c;vid-0781_pid-9999 |
Exclude Device Family | 禁止设备系列进行重定向。设置的格式为 family_name_1[;family_name_2]... 例如:bluetooth;smart-card 如果启用了自动设备拆分,Horizon 将检查复合 USB 设备的每个接口的设备系列以确定要排除哪些接口。如果禁用了自动设备拆分,Horizon 将检查整个复合 USB 设备的设备系列。 未定义默认值。 此设置显示在组策略管理编辑器的 文件夹中。 |
Exclude Vid/Pid Device | 禁止具有特定供应商和产品 ID 的设备被重定向。设置的格式为 vid-xxx1_pid-yyy2[;vid-xxx2_pid-yyy2]... 您必须以十六进制格式指定 ID 号。可以使用通配符 (*) 代替 ID 中的单个数字。 例如:vid-0781_pid-****;vid-0561_pid-554c 未定义默认值。 此设置显示在组策略管理编辑器的 文件夹中。 |
Exclude Path | 禁止位于指定集线器或端口路径的设备进行重定向。设置的格式为 bus-x1[/y1].../port-z1[;bus-x2[/y2].../port-z2]... 您必须以十六进制格式指定总线和端口号。在路径中不能使用通配符。 例如:bus-1/2/3_port-02;bus-1/1/1/4_port-ff 未定义默认值。 此设置显示在组策略管理编辑器的 文件夹中。 |
Include Device Family | 包含可以进行重定向的设备系列。设置的格式为 family_name_1[;family_name_2]... 例如:storage 未定义默认值。 此设置显示在组策略管理编辑器的 文件夹中。 |
Include Path | 包含位于指定集线器或端口路径的可重定向设备。设置的格式为 bus-x1[/y1].../port-z1[;bus-x2[/y2].../port-z2]... 您必须以十六进制格式指定总线和端口号。在路径中不能使用通配符。 例如:bus-1/2_port-02;bus-1/7/1/4_port-0f 未定义默认值。 此设置显示在组策略管理编辑器的 文件夹中。 |
Include Vid/Pid Device | 指定具有指定供应商和产品 ID 且可重定向的 USB 设备。设置的格式为 vid-xxx1_pid-yyy2[;vid-xxx2_pid-yyy2]... 您必须以十六进制格式指定 ID 号。可以使用通配符 (*) 代替 ID 中的单个数字。 例如:vid-0561_pid-554c 未定义默认值。 此设置显示在组策略管理编辑器的 文件夹中。 |
在嵌套模式或双跃点方案中,用户从物理客户端系统连接到远程桌面,在远程桌面(嵌套会话)中启动 Horizon Client 并连接到另一个远程桌面。要使设备在嵌套会话中按预期正常工作,必须同时在物理客户机和嵌套会话中按照相同的方式配置 USB 策略设置。
客户端 GPO 的 VMware 浏览器重定向设置
您可以配置浏览器重定向功能的组策略设置。
下表介绍了 Horizon Client 配置 ADMX 模板文件中的浏览器重定向设置。所有浏览器重定向设置均为计算机配置设置。这些设置显示在组策略管理编辑器的 文件夹中。
有关代理端浏览器重定向设置的信息,请参阅 《Horizon 远程桌面功能和 GPO》 文档。
设置 | 说明 |
---|---|
Enable WebRTC camera and microphone access for browser redirection | 启用此设置后,使用 WebRTC 的重定向页面可以访问客户端系统的摄像头和麦克风。 默认情况下启用该设置。 |
Ignore certificate errors for browser redirection | 启用此设置后,重定向页面中出现的证书错误将被忽略,并继续浏览。 默认情况下禁用该设置。 |
Enable cache for browser redirection | 启用此设置后,浏览历史记录(包括 Cookie)将存储在客户端系统上。
注: 禁用此设置不会清除缓存。如果先禁用然后重新启用该设置,则可以重复使用缓存。
默认情况下启用该设置。 |
客户端 GPO 的 VMware Integrated Printing 设置
您可以配置 VMware Integrated Printing 功能的组策略设置。
下表介绍了 Horizon Client 配置 ADMX 模板文件中的 VMware Integrated Printing 设置。此表显示了这些设置是同时包含“计算机配置”设置和“用户配置”设置,还是只包含“计算机配置”设置。对于包含两种类型设置的设置,“用户配置”设置将覆盖等效的“计算机配置”设置。这些设置显示在组策略管理编辑器的 文件夹中。
有关代理端 VMware Integrated Printing 设置的信息,请参阅《Horizon 远程桌面功能和 GPO》文档。
设置 | 计算机 | 用户 | 说明 |
---|---|---|---|
Do not redirect client printer(s) | X | X | 确定是否重定向客户端打印机。 如果启用此设置,将不会重定向任何客户端打印机。如果禁用或未配置此设置,将会重定向所有客户端打印机。 默认情况下不配置此设置。 |
Allow to redirect L1 local printers to inner session | X | X | 确定是否将 L1 本地打印机重定向到内部会话。 VMware 支持在远程桌面中运行 Horizon Client。此配置通常称为“嵌套模式”,涉及三个分层和两个跃点,如下所示:
如果启用此设置,则会将 L1 本地打印机重定向到内部会话。如果未配置或禁用此设置,则不会将 L1 本地打印机重定向到内部会话。 默认情况下不配置此设置。 |
PCoIP 客户端会话变量 ADMX 模板设置
PCoIP 客户端会话变量 ADMX 模板文件 (pcoip.client.admx) 包含与 PCoIP 显示协议有关的策略设置。您可以配置能够由管理员覆盖的计算机默认值,也可以配置无法由管理员覆盖的用户设置。可覆盖的设置显示在组策略管理编辑器的 文件夹中。不可覆盖的设置显示在组策略管理编辑器的 文件夹中。
ADMX 文件包含在 VMware-Horizon-Extras-Bundle-YYMM-x.x.x-yyyyyyyy.zip 中,您可以从 VMware 下载站点下载该文件。请访问 https://my.vmware.com/web/vmware/downloads。查找“桌面和终端用户计算”,在此类别下,选择 VMware Horizon 下的“下载产品”。然后,选择相应的 Horizon 版本,然后单击转至下载。您可以在此处找到包含 VMware-Horizon-Extras-Bundle-YYMM-x.x.x-yyyyyyyy.zip 文件的 Horizon GPO 包。
设置 | 说明 |
---|---|
Configure PCoIP client image cache size policy | 控制 PCoIP 客户端图像缓存的大小。客户端使用图像缓存来存储之前传送的显示部分。图像缓存减少了重传的数据量。 禁用此设置时,PCoIP 使用 250 MB 的默认客户端图像缓存大小。 启用此设置后,可以配置客户端图像缓存的大小,可配置的范围为 50 MB 至 300 MB。默认值为 250MB。 默认情况下禁用该设置。 |
Configure PCoIP event log cleanup by size in MB | 启用 PCoIP 事件日志清理大小 (MB) 配置。配置此设置后,它将控制日志文件清理大小 (MB)。例如,如果设置为非零值 m,则超过 m MB 的日志文件会被无提示删除。设置为 0 表示不按大小清理文件。禁用此设置时,默认事件日志清理大小 (MB) 设置为 100。默认情况下禁用该设置。 |
Configure PCoIP event log cleanup by time in days | 启用 PCoIP 事件日志清理时间(天)配置。配置此设置后,它将控制日志文件清理时间(天)。例如,如果设置为非零值 n,则早于 n 天的日志文件会被无提示删除。设置为 0 表示不按时间清理文件。禁用此策略时,默认事件日志清理时间(天)设置为 7。默认情况下禁用该设置。 会话启动时,将执行一次日志文件清理。对该设置所做的任何更改只有到下一个会话时才会应用。 |
Configure PCoIP event log verbosity | 设置 PCoIP 事件日志详细级别。值范围为 0(最不详细)至 3(最详细)。 启用此设置时,您可以将详细级别从 0 设为 3。禁用此设置时,默认的事件日志详细级别为 2。默认情况下禁用该设置。 如果在活动的 PCoIP 会话期间修改该设置,则新的设置立即生效。 |
Configure PCoIP session encryption algorithms | 控制会话协商期间 PCoIP 终端播发的加密算法。 选中其中一个复选框将禁用相关加密算法。必须启用至少一个算法。 此设置适用于代理和客户端。各端点协商实际所用的会话加密算法。如果启用了 FIPS140-2 许可模式,并且禁用了 AES-128-GCM 加密和 AES-256-GCM 加密,将覆盖禁用 AES-128-GCM 加密值。 如果禁用 Configure SSL Connections 设置,Salsa20-256round12 和 AES-128-GCM 算法均可供此端点协商使用。默认情况下禁用该设置。 受支持的加密算法按优先顺序排列为:SALSA20/12-256、AES-GCM-128 和 AES-GCM-256。默认情况下,所有受支持的加密算法均可供此终端协商使用。 |
Configure PCoIP virtual channels | 指定能够以及不能通过 PCoIP 会话操作的虚拟通道。此设置还决定是否禁用 PCoIP 主机上的剪贴板处理功能。 PCoIP 会话中使用的虚拟通道必须显示在虚拟通道授权列表中。未授权虚拟通道列表中显示的虚拟通道不能在 PCoIP 会话中使用。 最多可指定 15 个虚拟通道,以在 PCoIP 会话中使用。 使用竖线 (|) 字符来分隔不同的通道名称。例如,允许 mksvchan 和 vdp_rdpvcbridge 虚拟通道的虚拟通道授权字符串为 mksvchan|vdp_rdpvcbridge。 如果通道名称包含竖线或反斜线 (\) 字符,请在这两个字符的前面插入一个反斜线字符。例如,通道名称 awk|ward\channel 应输入为 awk\|ward\\channel。 授权虚拟通道列表为空时表示禁用所有虚拟通道。未授权虚拟通道列表为空时表示允许使用所有虚拟通道。 此虚拟通道设置适用于代理和客户端。必须在代理和客户端上均启用虚拟通道才能使用虚拟通道。 虚拟通道设置中有一个单独的复选框,可供您禁用 PCoIP 主机上的远程剪贴板处理功能。此值仅适用于代理。 默认情况下,启用所有虚拟通道,包括剪贴板处理功能。 |
Configure SSL cipher list | 在建立加密的 TLS/SSL 连接之前,配置 TLS/SSL 密码列表以限制使用密码套件。该列表由一个或多个以冒号分隔的密码套件字符串组成。所有密码套件字符串均不区分大小写。 默认值为 ECDHE-RSA-AES256-GCM-SHA384:AES256-SHA256:AES256-SHA:ECDHE-RSA-AES128-GCM-SHA256:AES128-SHA256:AES128-SHA:@STRENGTH。 如果配置了此设置,则会忽略“Configure SSL connections to satisfy Security Tools”设置中的强制实施 AES-256 或更强的密码进行 SSL 连接协商复选框。 此设置必须同时应用于 PCoIP 服务器和 PCoIP 客户端。 |
Configure SSL connections to satisfy Security Tools | 指定如何建立 TLS 会话协商连接。要满足安全工具(例如端口扫描程序)的要求,请启用此设置并执行以下操作:
如果禁用此设置,AES-128 密码套件将不可用,并且端点会使用计算机帐户的 MY 存储中的证书颁发机构证书以及 ROOT 存储中的证书颁发机构证书。默认情况下禁用该设置。 |
Configure SSL protocols | 在建立加密的 TLS 连接之前,配置 OpenSSL 协议以限制使用某些协议。协议列表包含一个或多个以冒号分隔的 OpenSSL 协议字符串。所有密码字符串均不区分大小写。 默认值为 TLS1.1:TLS1.2,这意味着将启用 TLS v1.1 和 TLS v1.2,而禁用 SSL v2.0、SSL v3.0 和 TLS v1.0。 如果在客户端和代理中都进行了此设置,将遵循 OpenSSL 协议协商规则。 |
Configure the Client PCoIP UDP port | 指定 PCoIP 软件客户端所使用的 UDP 客户端端口。UDP 端口值指定要使用的基本 UDP 端口。如果基本端口不可用,UDP 端口范围值确定要尝试其他端口的个数。 此范围从基本端口跨越至基本端口与端口范围之和。例如,如果基本端口为 50002,端口范围为 64,则其范围为 50002 至 50066。 此设置仅应用于客户端。 默认情况下,基本端口为 50002,端口范围为 64。 |
Configure the maximum PCoIP session bandwidth | 指定 PCoIP 会话中的最大带宽(单位为 kbps)。此带宽包括所有图像处理、音频、虚拟通道、USB 以及控制 PCoIP 流量。 将此值设为端点所连链路的总容量,考虑所需的并发 PCoIP 会话数。例如,对于采用 4Mbps Internet 连接的单用户 VDI 配置(单一 PCoIP 会话),应将此值设为 4Mb 或其 90%,为其他网络流量保留一些容限。希望多个并发 PCoIP 会话共享一个链路(该链路由多个 VDI 用户或一个 RDS 配置组成)时,您可能需要相应地调整设置。但是,降低此值的大小将限制每个活动会话的最大带宽。 设置此值可防止代理尝试以超过链路容量的速率进行传输,从而避免出现丢失数据包或用户体验下降现象。此值是对称的。该设置强制客户端和代理使用两者上所设置的两个值中较小的一个。例如,设置 4Mbps 的最大带宽将强制代理以低于此值的速率传输数据,即便在客户端上配置了此设置也是如此。 在端点上禁用此设置时,端点不实施带宽限制。启用此设置时,该设置会被用作端点的最大带宽限制 (Kbps)。 默认值为 900000 Kbps。 该设置适用于代理和客户端。如果两个终端的设置不同,将使用较低的值。 |
Configure the PCoIP session bandwidth floor | 指定 PCoIP 会话预留的带宽下限 (Kbps)。 此设置配置终端的最低预期带宽传输速率。使用此设置来为终端预留带宽时,用户无需等待带宽变得可用,从而提高了会话的响应能力。 确保不要为所有终端过度预定总体预留带宽。确保配置的所有连接带宽下限之和不超过网络流量。 默认值为 0,表示不预留最小带宽。禁用此设置时,不预留最小带宽。默认情况下禁用该设置。 该设置适用于代理和客户端,但仅影响配置了该设置的端点。 如果在活动的 PCoIP 会话期间修改此设置,则更改立即生效。 |
Configure the PCoIP session MTU | 指定 PCoIP 会话的 UDP 数据包的最大传输单元 (MTU) 大小。 此 MTU 大小包括 IP 和 UDP 数据包标头。TCP 使用标准 MTU 发现机制来设置 MTU,此设置不影响该功能。 最大 MTU 大小为 1500 字节。最小 MTU 大小为 500 字节。默认值为 1300 字节。 通常情况下,无需更改 MTU 大小。如果存在会造成 PCoIP 数据包出现碎片的异常网络设置,请更改此值。 该设置适用于代理和客户端。如果两个终端的 MTU 大小设置不同,将使用最低的值。 如果禁用或未配置该设置,则客户端在与代理进行协商时使用默认值。 |
Configure the PCoIP transport header | 配置 PCoIP 传输标头,并设置传输会话优先级。 PCoIP 传输标头为添加至所有 PCoIP UDP 数据包的 32 位标头(仅当启用了传输标头而且双方均支持传输标头时)。PCoIP 传输标头能够使网络设备在网络拥挤时,做出更好的优先级/服务质量决策。默认情况下传输标头处于启用状态。 传输会话的优先级决定了 PCoIP 传输标头所报告的 PCoIP 会话优先级。网络设备基于指定的传输会话优先级做出更好的优先级/服务质量决策。 启用Configure the PCoIP transport header设置时,以下传输会话优先级可供使用:
PCoIP 代理和客户端进行协商来确定传输会话的优先级值。如果 PCoIP 代理指定了传输会话的优先级值,则会话将使用 PCoIP 代理所指定的会话优先级。如果仅仅是客户端指定了传输会话优先级,则会话将使用客户端所指定的会话优先级。如果代理或客户端均未指定传输会话优先级,也未指定未定义的优先级,则会话将使用默认值,即中优先级。 |
Enable/disable audio in the PCoIP session | 确定是否在 PCoIP 会话中启用音频。两个终端必须都启用音频。启用此设置时,允许使用 PCoIP 音频。禁用此设置时,禁用 PCoIP 音频。默认情况下启用音频。 |