Mit den ADMX-Vorlagendateien für Horizon Agent werden sicherheitsbezogene Einstellungen bereitgestellt. Der Name der ADMX-Vorlagendatei lautet vdm_agent.admx. Falls nicht anders angegeben, enthalten die Einstellungen nur eine Einstellung „Computerkonfiguration“.

Sicherheitseinstellungen werden in der Registrierung auf dem Gastcomputer unter HKLM\Software\VMware, Inc.\VMware VDM\Agent\Configuration gespeichert.

Tabelle 1. Sicherheitsbezogene Einstellungen in der View Agent-Konfigurationsvorlage (für Horizon 6) oder Horizon Agent-Konfigurationsvorlage (für Horizon 7)

Einstellung

Beschreibung

AllowDirectRDP

Legt fest, ob sich andere Clients außer Horizon Client-Geräten über RDP direkt mit Remote-Desktops verbinden können. Ist diese Einstellung deaktiviert, lässt der Agent nur Horizon-verwaltete Verbindungen über Horizon Client zu.

Wenn Sie die Verbindung zu einem Remote-Desktop über Horizon Client für Mac herstellen möchten, dürfen Sie die Einstellung AllowDirectRDP nicht deaktivieren. Wenn diese Einstellung deaktiviert ist, schlägt die Verbindungsherstellung mit einem Fehler vom Typ Access is denied (Zugriff verweigert) fehl.

Standardmäßig können Sie mit RDP eine Verbindung zur virtuellen Maschine von außerhalb von Horizon 7 herstellen, während ein Benutzer bei einer Horizon 7-Desktopsitzung angemeldet ist. Die RDP-Verbindung beendet die Horizon 7-Desktopsitzung. Die nicht gespeicherten Daten sowie die Einstellungen des Benutzers gehen dann unter Umständen verloren. Der Benutzer kann sich erst dann am Desktop anmelden, wenn die externe RDP-Verbindung beendet wurde. Deaktivieren Sie die Einstellung AllowDirectRDP, um diese Situation zu vermeiden.

Wichtig:

Die Windows-Remotedesktopdienste müssen auf dem Gastbetriebssystem jedes Desktops ausgeführt werden. Sie können diese Einstellung verwenden, um Benutzer davon abzuhalten, direkte RDP-Verbindungen zu ihren Desktops herzustellen.

Diese Einstellung ist standardmäßig aktiviert.

Der entsprechende Wert in der Windows-Registrierung lautet AllowDirectRDP.

AllowSingleSignon

Legt fest, ob zur Verbindungsherstellung mit Desktops und Anwendungen die einmalige Anmeldung (Single Sign-On, SSO) zulässig ist. Wenn diese Einstellung aktiviert ist, müssen Benutzer ihre Anmeldedaten nur ein Mal eingeben, wenn sie sich beim Server anmelden. Ist diese Einstellung deaktiviert, müssen sich die Benutzer beim Herstellen einer Remote-Verbindung erneut authentifizieren.

Diese Einstellung ist standardmäßig aktiviert.

Der entsprechende Wert in der Windows-Registrierung lautet AllowSingleSignon.

CommandsToRunOnConnect

Gibt eine Liste mit Befehlen oder Befehlsskripts an, die bei der ersten Verbindungsherstellung ausgeführt werden.

Standardmäßig ist keine Liste angegeben.

Der entsprechende Wert in der Windows-Registrierung lautet CommandsToRunOnConnect.

CommandsToRunOnDisconnect

Gibt eine Liste mit Befehlen oder Befehlsskripts an, die ausgeführt werden, wenn eine Sitzung getrennt wird.

Standardmäßig ist keine Liste angegeben.

Der entsprechende Wert in der Windows-Registrierung lautet CommandsToRunOnReconnect.

CommandsToRunOnReconnect

Gibt eine Liste mit Befehlen oder Befehlsskripts an, die ausgeführt werden, wenn eine Sitzung nach einer Verbindungstrennung wiederhergestellt wird.

Standardmäßig ist keine Liste angegeben.

Der entsprechende Wert in der Windows-Registrierung lautet CommandsToRunOnDisconnect.

ConnectionTicketTimeout

Gibt die Gültigkeitsdauer des Horizon-Verbindungstickets in Sekunden an.

Horizon Client-Geräte verwenden bei der Verbindungsherstellung mit dem Agenten zur Überprüfung und für die einmalige Anmeldung ein Verbindungsticket. Ein Verbindungsticket ist aus Sicherheitsgründen nur für einen begrenzten Zeitraum gültig. Wenn ein Benutzer eine Verbindung zu einem Remote-Desktop herstellt, muss die Authentifizierung innerhalb des Gültigkeitszeitraums des Verbindungstickets erfolgen, ansonsten wird die Sitzung aufgrund einer Zeitüberschreitung beendet. Wenn diese Einstellung nicht konfiguriert ist, beträgt die standardmäßige Dauer bis zur Zeitüberschreitung 900 Sekunden.

Der entsprechende Wert in der Windows-Registrierung lautet VdmConnectionTicketTimeout.

CredentialFilterExceptions

Gibt die ausführbaren Dateien an, die nicht zum Laden des CredentialFilter-Agenten berechtigt sind. Dateinamen dürfen weder einen Pfad noch ein Suffix enthalten. Verwenden Sie ein Semikolon zum Trennen mehrerer Dateinamen.

Standardmäßig ist keine Liste angegeben.

Der entsprechende Wert in der Windows-Registrierung lautet CredentialFilterExceptions.

Weitere Informationen zu diesen Einstellungen und ihren Auswirkungen auf die Sicherheit finden Sie im Dokument Administration von View.