您可以在配置策略选项卡上为租户设置策略。

要显示策略配置选项卡,请执行以下操作:

  1. 在“服务中心”用户界面中,选择租户 > 策略
  2. 组织下拉菜单中,选择您的租户组织。

您应为每个租户设置策略。策略配置屏幕显示了租户设备和桌面管理器的配置参数值。

单击显示描述按钮可显示每个参数的简要描述。默认值显示在方括号中。

要更改策略参数的值,请执行以下操作:

  1. 双击要更改的参数所在的行。
  2. 输入新值。
  3. 单击确定以进行更改,或者单击取消以保留当前值。

默认情况下,屏幕上仅显示最常用的策略。要查看完整列表(包括高级策略),请选择相应网页,然后键入“dtpolicy”。

配置 RDSH 每设备许可策略

此功能通过保存已颁发的许可证,在连接时将其提供给 RDS 主机并保存任何升级,对 RDSH 每设备客户端访问许可证 (Client Access Licenses, CAL) 提供正确的处理。这样可以防止每设备 CAL 发生潜在过度使用。此功能是在 Horizon Agent 和 Horizon Client 中实施的,因此需要实施 Horizon Cloud 才能对其提供支持。

可以在服务中心中设置以下两个新策略来启用此功能:rds.license.enablerds.license.brokeronly.enable。两个策略的默认值均为 false。这些策略的各种设置的结果如下所示。

rds.license.enable rds.license.brokeronly.enable 结果
True False 在代理和客户端中存储 CAL。
True True 仅在代理中存储 CAL。
False True/False 不在任一位置中存储 CAL。功能已停用。

为单个 vCenter Server 配置配置策略

要使用单个 vCenter Server 设置环境,必须将以下策略设置为 true

策略 描述
allow.shared.hostmanager 控制管理设备和租户池资源是否可以直接共享主机管理器。
  • 要允许共享主机管理器,请设置为 true
  • 要禁止共享主机管理器,请设置为 false

配置用于代理更新功能的策略

要使代理更新功能正常运行,您必须在 agentupdate.updateserver.url 策略中指定升级服务器 URL。

以下策略也会影响此功能,可以根据需要对其进行设置(默认值显示在括号中):
策略 描述
agentupdate.cachePath 用于下载代理安装程序的文件共享位置。租户设备将根据需要更新此位置。
agentupdate.cipherList 连接到更新服务器时用于 SSL 的加密密码套件 [ECDHE-RSA-AES256-GCM-SHA384]
agentupdate.enable 如果启用(设置为 true),租户设备将在更新服务器上扫描代理更新。将此策略设置为 false 将禁止扫描新代理,并且还会禁止在文件共享上扫描热修补程序文件。
agentupdate.enablehotpatch 将此策略设置为 true 时,租户设备将扫描客户管理员放置到文件共享上的热修补程序文件。将此策略设置为 false 将禁止在文件共享上扫描热修补程序文件。
agentupdate.job.repeatInterval 在更新服务器上扫描新代理的时间间隔(以毫秒为单位)。默认值为 24 小时 [86400000]。
agentupdate.job.startDelay 租户设备启动后等待代理更新扫描开始的时间(以毫秒为单位)。默认值为一分钟 [60000]。
agentupdate.sslProtocol 连接到更新服务器时用于 SSL 的加密协议 [TLS_V1_2]。
element.agentupdate.max.concurrent.updates.per.pool 每个池中一次更新的最大虚拟机数。该值也是池中的最大故障数,超过该数值后,代理更新任务将放弃并失败。默认值为 30。
要启用跳过虚拟机选项,必须将 agentUpdate.skipVmsWithLoggedInUser 属性设置为“true”。要启用重新启动虚拟机选项,必须将 agentUpdate.rebootVmBeforeAAU 属性设置为“true”。在进行这些设置后,不需要重新引导或重新启动任何服务。在多 DM 环境中,只需编辑主设备对。

配置用于直接访问虚拟机的策略

策略 描述
element.agentcontroller.validate.user.logon.enabled 控制是否允许直接访问虚拟机。默认设置为 false
  • 要允许直接访问,请设置为 false
  • 要禁止直接访问,请设置为 true

配置用于域安全设置的策略

通过使用这些设置,可防止将 Active Directory 域名传达给使用各种 Horizon 客户端但未经授权的用户。这些设置可控制是否将在您的环境中注册的 Active Directory 域相关信息发送到 Horizon 最终用户客户端,如果发送,那么在最终用户客户端的登录屏幕中如何显示。

策略 描述
secure.domain.list 控制是否将域信息发送到客户端。其设置如下所述。
  • true - 不将域信息发送到客户端。客户端会显示文本 *DefaultDomain*,其中通常会显示下拉列表。
  • false - 将域信息发送到客户端,允许用户在客户端域下拉菜单中选择域。

此策略映射到管理控制台中的相同设置(常规设置 > 仅显示默认域)。

client.hide.domain.list 控制是否在客户端中显示域文本框。其设置如下所述。
  • true - 在客户端中显示域文本框(此文本框中显示的内容由 secure.domain.list 设置控制)。
  • false - 根本不在客户端中显示域文本框。
注: 如果租户有多个域,并且 secure.domain.list 设置为 true,则 client.hide.domain.list 策略也必须设置为 true,才能支持从低于 5.0 的 Horizon Client 版本启动。

此策略映射到管理控制台中的相同设置(常规设置 > 隐藏域字段)。

display.default.domain.at.top 控制客户端域下拉菜单中的域列表顺序。其设置如下所述。
  • true - 客户端下拉菜单在列表顶部显示默认域,并按字母顺序对其他域进行排序。
  • false - 客户端下拉菜单按域的注册顺序显示域。最早注册的域列在菜单顶部,最近注册的域列在底部。

默认域由管理控制台中的复选框设置定义(设置 > 常规设置)。

注: 仅当同时满足以下两个条件时,display.default.domain.at.top 策略才会生效。
  • 将 secure.domain.list 策略设置为 false(在管理控制台中,将常规设置 > 仅显示默认域设置为关闭)。
  • 将 client.hide.domain.list 策略设置为 false(在管理控制台中,将常规设置 > 隐藏域字段设置为关闭)。

更改 display.default.domain.at.top 后,可能需要最多 5 分钟更新才会生效。

为双因素身份验证配置策略

此策略允许服务提供程序管理员强制租户将双因素身份验证 (2FA) 从租户门户移至 Unified Access Gateway。您可以从管理门户上的“双因素身份验证”页面访问这些设置。

策略 描述
tenant.2fa.through.uag 基于双因素身份验证配置来设置策略的默认值:
  • 对于 9.2.1 之前将 2FA 配置为 RSA 的租户以及 9.2.1 后的新租户,默认设置为 true
  • 对于 9.2.1 之前将 2FA 配置为 RADIUS 的租户,默认设置为 false
其中:
  • true - 从 United Access Gateway 配置 2FA
  • false - 允许从租户管理门户在 Unified Access Gateway 上配置 2FA