Horizon Agent 的 ADM 和 ADMX 模板文件(即 vdm_agent.adm 和 vdm_agent.admx)中包含 Horizon Agent 的安全性相关设置。除非另有说明,否则这些文件仅包含“计算机配置”设置。
安全性设置存储在客户机上的注册表 HKLM\Software\VMware, Inc.\VMware VDM\Agent\Configuration 中。
| 设置 | 说明 |
|---|---|
| AllowDirectRDP | 决定除 Horizon Client 设备之外的客户端是否可以使用 RDP 直接连接到远程桌面。如果停用此设置,代理将只允许通过 Horizon Client 建立受 Horizon 管理的连接。 从适用于 Mac 的 Horizon Client 中连接到远程桌面时,不要停用 AllowDirectRDP 设置。如果停用此设置,连接会失败并返回“访问被拒绝”(Access is denied) 错误。 默认情况下,用户登录到远程桌面会话后,您可以使用 RDP 连接虚拟机。RDP 连接会终止远程桌面会话,并且用户未保存的数据和设置可能会丢失。关闭外部 RDP 连接后,用户才能登录到桌面。为避免这种情况,请停用 AllowDirectRDP 设置。
重要说明: 必须在每个桌面的客户机操作系统上运行 Windows 远程桌面服务。您可以使用此设置防止用户通过 RDP 直接连接到其桌面。
默认情况下激活此设置。 等效的 Windows 注册表值为 AllowDirectRDP。 |
| AllowSingleSignon | 确定是否通过单点登录 (SSO) 将用户连接到桌面和应用程序。如果激活此设置,用户在登录到服务器时仅需要输入一次凭据。如果停用此设置,用户必须在进行远程连接时重新进行身份验证。 默认情况下激活此设置。 等效的 Windows 注册表值为 AllowSingleSignon。 |
| CommandsToRunOnConnect | 指定在会话首次连接时运行的一组命令或命令脚本。 默认情况下未指定列表。 等效的 Windows 注册表值为 CommandsToRunOnConnect。 |
| CommandsToRunOnDisconnect | 指定在会话断开连接时运行的一组命令或命令脚本。 默认情况下未指定列表。 等效的 Windows 注册表值为 CommandsToRunOnReconnect。 |
| CommandsToRunOnReconnect | 指定在会话断开后重新连接时运行的一组命令或命令脚本。 默认情况下未指定列表。 等效的 Windows 注册表值为 CommandsToRunOnDisconnect。 |
| ConnectionTicketTimeout | 指定 Horizon 连接票证的有效时间(以秒为单位)。 连接代理时,Horizon Client 设备使用连接票证进行验证和单点登录。出于安全性原因,连接票证仅在有限时间内有效。当用户连接到远程桌面时,必须在连接票证超时或会话超时之前进行身份验证。如果未配置该设置,则使用默认超时时限 900 秒。 等效的 Windows 注册表值为 VdmConnectionTicketTimeout。 |
| CredentialFilterExceptions | 指定不允许加载代理 CredentialFilter 的可执行文件。文件名不得包含路径或后缀。使用分号分隔多个文件名。 默认情况下未指定列表。 等效的 Windows 注册表值为 CredentialFilterExceptions。 |
有关这些设置及其安全性影响的更多信息,请参阅《Horizon 远程桌面功能和 GPO》文档。
