Horizon Agent 的 ADM 和 ADMX 模板文件(即 vdm_agent.admvdm_agent.admx)中包含 Horizon Agent 的安全性相关设置。除非另有说明,否则这些文件仅包含“计算机配置”设置。

安全性设置存储在客户机上的注册表 HKLM\Software\VMware, Inc.\VMware VDM\Agent\Configuration 中。

表 1. Horizon Agent 安全性相关设置
设置 说明
AllowDirectRDP

决定除 Horizon Client 设备之外的客户端是否可以使用 RDP 直接连接到远程桌面。如果停用此设置,代理将只允许通过 Horizon Client 建立受 Horizon 管理的连接。

从适用于 Mac 的 Horizon Client 中连接到远程桌面时,不要停用 AllowDirectRDP 设置。如果停用此设置,连接会失败并返回“访问被拒绝”(Access is denied) 错误。

默认情况下,用户登录到远程桌面会话后,您可以使用 RDP 连接虚拟机。RDP 连接会终止远程桌面会话,并且用户未保存的数据和设置可能会丢失。关闭外部 RDP 连接后,用户才能登录到桌面。为避免这种情况,请停用 AllowDirectRDP 设置。

重要说明: 必须在每个桌面的客户机操作系统上运行 Windows 远程桌面服务。您可以使用此设置防止用户通过 RDP 直接连接到其桌面。

默认情况下激活此设置。

等效的 Windows 注册表值为 AllowDirectRDP

AllowSingleSignon

确定是否通过单点登录 (SSO) 将用户连接到桌面和应用程序。如果激活此设置,用户在登录到服务器时仅需要输入一次凭据。如果停用此设置,用户必须在进行远程连接时重新进行身份验证。

默认情况下激活此设置。

等效的 Windows 注册表值为 AllowSingleSignon

CommandsToRunOnConnect

指定在会话首次连接时运行的一组命令或命令脚本。

默认情况下未指定列表。

等效的 Windows 注册表值为 CommandsToRunOnConnect

CommandsToRunOnDisconnect

指定在会话断开连接时运行的一组命令或命令脚本。

默认情况下未指定列表。

等效的 Windows 注册表值为 CommandsToRunOnReconnect

CommandsToRunOnReconnect

指定在会话断开后重新连接时运行的一组命令或命令脚本。

默认情况下未指定列表。

等效的 Windows 注册表值为 CommandsToRunOnDisconnect

ConnectionTicketTimeout

指定 Horizon 连接票证的有效时间(以秒为单位)。

连接代理时,Horizon Client 设备使用连接票证进行验证和单点登录。出于安全性原因,连接票证仅在有限时间内有效。当用户连接到远程桌面时,必须在连接票证超时或会话超时之前进行身份验证。如果未配置该设置,则使用默认超时时限 900 秒。

等效的 Windows 注册表值为 VdmConnectionTicketTimeout

CredentialFilterExceptions

指定不允许加载代理 CredentialFilter 的可执行文件。文件名不得包含路径或后缀。使用分号分隔多个文件名。

默认情况下未指定列表。

等效的 Windows 注册表值为 CredentialFilterExceptions

有关这些设置及其安全性影响的更多信息,请参阅《Horizon 远程桌面功能和 GPO》文档。