Die ADMX-Vorlagendatei (view_agent_direct_connection.admx) für die VMware View Agent-Konfiguration enthält Richtlinieneinstellungen in Bezug auf die Authentifizierung und das View Agent Direct-Connection-Plug-In.
Die Konfigurationseinstellungen für View Agent Direct-Connection befinden sich im Gruppenrichtlinienverwaltungs-Editor unter .
| Einstellung | Beschreibung |
|---|---|
| Anwendungen aktiviert | Diese Einstellung unterstützt den Anwendungsstart auf Remotedesktop-Sitzungshosts. Die Standardeinstellung ist aktiviert. |
| Wertepaare für Clientkonfigurationsname | Liste der Werte, die an den Client übergeben werden sollen, im Format Name=Wert. Beispiel: clientCredentialCacheTimeout=1440. |
| Zeitüberschreitung der Clientsitzung | Die maximale Zeitdauer in Sekunden, in der eine Sitzung aktiv bleibt, wenn kein Client verbunden ist. Der Standardwert beträgt 36000 Sekunden (10 Stunden). |
| Client-Einstellung: AlwaysConnect | Der Wert kann auf TRUE oder FALSE festgelegt werden. Die Einstellung „AlwaysConnect“ wird an Horizon Client gesendet. Wenn diese Richtlinie auf TRUE festgelegt wird, werden alle gespeicherten Client-Voreinstellungen überschrieben. Standardmäßig wird kein Wert festgelegt. Durch das Aktivieren dieser Richtlinie wird der Wert auf TRUE festgelegt. Durch das Deaktivieren dieser Richtlinie wird der Wert auf FALSE festgelegt. |
| Clienteinstellung: AutoConnect | Diese Einstellung setzt alle gespeicherten Horizon Client-Voreinstellungen außer Kraft. Standardmäßig wird kein Wert festgelegt. Durch Aktivierung dieser Richtlinie wird der Wert auf „True“ festgelegt, eine Deaktivierung setzt den Wert auf „False“. |
| Clienteinstellung: ScreenSize | Legt die Einstellung für ScreenSize (Bildschirmgröße) fest, die an Horizon Client gesendet wird. Wenn dies aktiviert ist, werden alle gespeicherten Clientvoreinstellungen außer Kraft gesetzt. Falls dies deaktiviert oder nicht konfiguriert ist, werden die Clientvoreinstellungen verwendet. |
| Multimedia-Umleitung (MMR) aktiviert | Legt fest, ob MMR für Clientsysteme aktiviert ist. MMR ist ein Microsoft DirectShow-Filter, der Multimediadaten von bestimmten Codecs auf Horizon-Desktops direkt über einen TCP-Socket an das Clientsystem weiterleitet. Die Daten werden direkt auf dem Clientsystem decodiert, auf dem sie wiedergegeben werden. Standardmäßig ist diese Richtlinie deaktiviert. MMR arbeitet nicht ordnungsgemäß, wenn die Hardware zur Videoanzeige auf dem Clientsystem keine Overlay-Unterstützung bietet. Clientsysteme verfügen eventuell nicht über ausreichend Ressourcen zur Verarbeitung der lokalen Multimedia-Decodierung. |
| Zurücksetzen aktiviert | Der Wert kann auf TRUE oder FALSE festgelegt werden. Wenn diese Einstellung auf TRUE gesetzt wird, kann ein authentifizierter Horizon Client einen Neustart auf Betriebssystemebene durchführen. Diese Einstellung ist standardmäßig deaktiviert (FALSE). |
| Zeitüberschreitung der Sitzung | Der Zeitraum, in dem ein Benutzer eine Sitzung geöffnet lassen kann, nachdem er sich über Horizon Client angemeldet hat. Der Wert wird in Minuten festgelegt. Der Standardwert lautet 600 Minuten. Wenn die Zeitüberschreitung erreicht wurde, werden alle Desktop- und Anwendungssitzungen eines Benutzers getrennt. |
| USB-AutoConnect | Der Wert kann auf TRUE oder FALSE festgelegt werden. Verbinden Sie USB-Geräte mit dem Desktop, wenn sie angeschlossen sind. Wenn diese Richtlinie festgelegt ist, wird sie von allen gespeicherten Client-Voreinstellungen überschrieben. Standardmäßig wird kein Wert festgelegt. |
| USB aktiviert | Der Wert kann auf TRUE oder FALSE festgelegt werden. Legt fest, ob Desktops USB-Geräte verwenden können, die mit dem Clientsystem verbunden sind. Der Standardwert ist aktiviert. Um aus Sicherheitsgründen die Verwendung externer Geräte zu unterbinden, deaktivieren Sie die Einstellung (FALSE). |
| Zeitüberschreitung des Benutzerleerlaufs | Wenn auf dem Horizon Client für diesen Zeitraum keine Benutzeraktivität vorhanden ist, werden die Desktop- und Anwendungssitzungen des Benutzers getrennt. Der Wert wird in Sekunden festgelegt. Der Standardwert beträgt 900 Sekunden (15 Minuten). |
Authentifizierungseinstellungen
Die Authentifizierungseinstellungen befinden sich im Gruppenrichtlinienverwaltungs-Editor unter . In diesem Ordner befindet sich die Einstellung „Als aktueller Benutzer anmelden“.
| Einstellung | Beschreibung |
|---|---|
| Vorgängermandanten erlauben | Wenn diese Option deaktiviert ist, werden Horizon Client-Versionen, die älter als Version 5.5 sind, nicht mithilfe der Funktion „Als aktueller Benutzer anmelden“ authentifiziert. Wenn diese Einstellung nicht konfiguriert ist, werden ältere Clients unterstützt. |
| NTLM-Fallback erlauben | Wenn diese Option aktiviert ist, verwendet Horizon Client die NTLM-Authentifizierung anstelle von Kerberos, falls kein Zugriff auf den Domänencontroller besteht. Wenn diese Einstellung nicht konfiguriert ist, ist ein NTLM-Fallback nicht zulässig. |
| Kanalbindungen verlangen | Wenn diese Option aktiviert ist, bieten Kanalbindungen eine zusätzliche Sicherheitsschicht zur sicheren NTLM-Authentifizierung. Horizon Client-Versionen, die älter als Version 5.5 sind, unterstützen Kanalbindungen nicht. |
| Zeitüberschreitung bei der Zwischenspeicherung der Client-Anmeldeinformationen | Der Zeitraum in Minuten, in dem ein Horizon Client einem Benutzer erlaubt, ein gespeichertes Kennwort zu verwenden. 0 bedeutet nie, -1 bedeutet immer. Horizon Client bietet Benutzern die Option, ihre Kennwörter zu speichern, wenn diese Einstellung auf einen gültigen Wert festgelegt ist. Der Standardwert lautet 0 (nie). |
| Haftungsausschluss aktiviert | Der Wert kann auf TRUE oder FALSE festgelegt werden. Wenn diese Einstellung auf TRUE gesetzt wird, zeigen Sie den Text des Haftungsausschlusses für die Benutzerakzeptanz bei der Anmeldung an. Der Text aus „Text des Haftungsausschlusses“ oder aus dem Gruppenrichtlinienobjekt Konfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen: Interaktive Anmeldung wird angezeigt. Die Standardeinstellung für „disclaimerEnabled“ ist FALSE. |
| Text des Haftungsausschlusses | Der den Benutzern von Horizon Client bei der Anmeldung angezeigte Text des Haftungsausschlusses. Die Richtlinie „Haftungsausschluss aktiviert“ muss auf TRUE festgelegt werden. Wenn der Text nicht festgelegt wird, wird standardmäßig der Wert über die Windows-Richtlinie Configuration\Windows Settings\Security Settings\Local Policies\Security Options verwendet. |
| X509-Zertifikatauthentifizierung | Legt fest, ob die Zertifikatauthentifizierung mit Smartcard X.509 deaktiviert, zulässig oder erforderlich ist. |
| X509-SSL-Zertifikatauthentifizierung aktiviert | Legt fest, ob die Zertifikatauthentifizierung mit Smartcard X.509 über eine direkte SSL-Verbindung von einem Horizon Client aktiviert wird. Diese Option ist nicht erforderlich, wenn die X.509-Zertifikatauthentifizierung über einen zwischenzeitlichen SSL-Beendigungspunkt durchgeführt wird. Wenn Sie diese Einstellung ändern, muss Horizon Agent neu gestartet werden. |
Protokoll- und Netzwerkeinstellungen
Die Protokoll- und Netzwerkeinstellungen befinden sich im Gruppenrichtlinienverwaltungs-Editor unter .
| Einstellung | Beschreibung |
|---|---|
| Standardprotokoll | Das Standardanzeigeprotokoll, das von Horizon Client für die Herstellung einer Verbindung mit dem Desktop verwendet wird. Wenn hierfür kein Wert festgelegt ist, wird als Standardwert BLAST verwendet. |
| Externer Blast-Port | Die Portnummer, die an Horizon Client für die TCP-Portnummer des Ziels gesendet wird, die für das HTML5/Blast-Protokoll verwendet wird. Ein Pluszeichen vor der Zahl gibt eine relative Zahl aus der für HTTPS verwendeten Portnummer an. Legen Sie diesen Wert nur fest, wenn die extern angezeigte Portnummer nicht mit dem Port übereinstimmt, den der Dienst verwaltet. Diese Portnummer befindet sich in der Regel in einer NAT-Umgebung. Standardmäßig wird kein Wert festgelegt. |
| Externer Framework-Kanal-Port | Die Portnummer, die an Horizon Client für die TCP-Portnummer des Ziels gesendet wird, die für das Framework-Kanal-Protokoll verwendet wird. Ein Pluszeichen vor der Zahl gibt eine relative Zahl aus der für HTTPS verwendeten Portnummer an. Legen Sie diesen Wert nur fest, wenn die extern angezeigte Portnummer nicht mit dem Port übereinstimmt, im dem der Dienst verwaltet. Diese Portnummer befindet sich in der Regel in einer NAT-Umgebung. Standardmäßig wird kein Wert festgelegt. |
| Externe IP-Adresse | Die IPV4-Adresse, die an Horizon Client für die IP-Adresse des Ziels gesendet wird, die für sekundäre Protokolle (RDP, PCoIP, Framework-Kanal usw.) verwendet wird. Legen Sie diesen Wert nur fest, wenn die extern angezeigte Adresse nicht mit der Adresse des Desktop-Computers übereinstimmt. Diese Adresse befindet sich in der Regel in einer NAT-Umgebung. Standardmäßig wird kein Wert festgelegt. |
| Externer PCoIP-Port | Die Portnummer, die an Horizon Client für die TCP/UDP-Portnummer des Ziels gesendet wird, die für das PCoIP-Protokoll verwendet wird. Ein Pluszeichen vor der Zahl gibt eine relative Zahl aus der für HTTPS verwendeten Portnummer an. Legen Sie diesen Wert nur fest, wenn die extern angezeigte Portnummer nicht mit dem Port übereinstimmt, den der Dienst verwaltet. Diese Portnummer befindet sich in der Regel in einer NAT-Umgebung. Standardmäßig wird kein Wert festgelegt. |
| Externer RDP-Port | Die Portnummer, die an Horizon Client für die TCP-Portnummer des Ziels gesendet wird, die für das RDP-Protokoll verwendet wird. Ein Pluszeichen vor der Zahl gibt eine relative Zahl aus der für HTTPS verwendeten Portnummer an. Legen Sie diesen Wert nur fest, wenn die extern angezeigte Portnummer nicht mit dem Port übereinstimmt, den der Dienst verwaltet. Diese Portnummer befindet sich in der Regel in einer NAT-Umgebung. Standardmäßig wird kein Wert festgelegt. |
| HTTPS-Portnummer | Der TCP-Port, an dem das Plug-In eingehende HTPPS-Anforderungen von Horizon Client überwacht. Wenn dieser Wert geändert wird, müssen Sie eine entsprechende Änderung an der Windows-Firewall vornehmen, um eingehenden Datenverkehr zuzulassen. Die Standardeinstellung ist 443. |
Die Werte „Externe Portnummer“ und „Externe IP-Adresse“ werden für die Unterstützung der Netzwerkadressübersetzung (NAT) und Portzuordnung verwendet. Weitere Informationen finden Sie unter Verwenden der Netzwerkadressübersetzung (NAT) und Portzuordnung.
Für die Smartcard-Authentifizierung muss sich die Zertifizierungsstelle (CA), die die Smartcard-Zertifikate signiert, im Windows-Zertifikatspeicher befinden. Informationen zum Hinzufügen einer Zertifizierungsstelle finden Sie unter
Hinzufügen einer Zertifizierungsstelle zum Windows-Zertifikatspeicher.
Hinweis: Wenn ein Benutzer versucht, sich mit einer Smartcard bei einem Computer mit Windows 7 oder Windows Server 2008 R2 anzumelden, und das Smartcard-Zertifikat wurde durch eine Zwischen-Zertifizierungsstelle unterzeichnet, schlägt der Versuch möglicherweise fehl, da Windows an den Client eine Liste der vertrauenswürdigen Aussteller senden kann, die keine Zwischen-Zertifizierungsstellennamen enthält. In diesem Fall kann der Client kein entsprechendes Smartcard-Zertifikat auswählen. Zur Vermeidung dieses Problems legen Sie den Registrierungswert
SendTrustedIssuerList (REG_DWORD) im Registrierungsschlüssel
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL auf „0“ fest. Wenn dieser Registrierungswert auf „0“ festgelegt ist, sendet Windows keine Liste mit vertrauenswürdigen Ausstellern an den Client, der dann alle gültigen Zertifikate für die Smartcard auswählen kann.
