Die ADM- und ADMX-Vorlagendateien für Horizon Agent, vdm_agent.adm und vdm_agent.admx, enthalten sicherheitsbezogene Einstellungen für Horizon Agent. Sofern nicht anders angegeben, enthalten diese Dateien ausschließlich Einstellungen für die Computerkonfiguration.
Sicherheitseinstellungen werden in der Registrierung auf dem Gastcomputer unter HKLM\Software\VMware, Inc.\VMware VDM\Agent\Configuration gespeichert.
| Einstellung | Beschreibung |
|---|---|
| AllowDirectRDP | Legt fest, ob sich andere Clients außer Horizon Client-Geräten über RDP direkt mit Remote-Desktops verbinden können. Ist diese Einstellung deaktiviert, lässt der Agent nur Horizon-verwaltete Verbindungen über Horizon Client zu. Wenn Sie die Verbindung zu einem Remote-Desktop über Horizon Client für Mac herstellen möchten, dürfen Sie die Einstellung AllowDirectRDP nicht deaktivieren. Wenn diese Einstellung deaktiviert ist, schlägt die Verbindungsherstellung mit einem Fehler vom Typ Zugriff verweigert fehl. Standardmäßig können Sie mit RDP eine Verbindung mit der virtuellen Maschine herstellen, während ein Benutzer bei einer Remote-Desktop-Sitzung angemeldet ist. Die RDP-Verbindung beendet die Remote-Desktop-Sitzung. Die nicht gespeicherten Daten sowie die Einstellungen des Benutzers gehen dann unter Umständen verloren. Der Benutzer kann sich erst dann am Desktop anmelden, wenn die externe RDP-Verbindung beendet wurde. Deaktivieren Sie die Einstellung AllowDirectRDP, um diese Situation zu vermeiden.
Wichtig: Die Windows-Remotedesktopdienste müssen auf dem Gastbetriebssystem jedes Desktops ausgeführt werden. Sie können diese Einstellung verwenden, um Benutzer davon abzuhalten, direkte RDP-Verbindungen zu ihren Desktops herzustellen.
Diese Einstellung ist standardmäßig aktiviert. Der entsprechende Wert in der Windows-Registrierung lautet AllowDirectRDP. |
| AllowSingleSignon | Legt fest, ob zur Verbindungsherstellung mit Desktops und Anwendungen die einmalige Anmeldung (Single Sign-On, SSO) zulässig ist. Wenn diese Einstellung aktiviert ist, müssen Benutzer ihre Anmeldedaten nur einmal eingeben, wenn sie sich beim Server anmelden. Ist diese Einstellung deaktiviert, müssen sich die Benutzer beim Herstellen einer Remote-Verbindung erneut authentifizieren. Diese Einstellung ist standardmäßig aktiviert. Der entsprechende Wert in der Windows-Registrierung lautet AllowSingleSignon. |
| CommandsToRunOnConnect | Gibt eine Liste mit Befehlen oder Befehlsskripts an, die bei der ersten Verbindungsherstellung ausgeführt werden. Standardmäßig ist keine Liste angegeben. Der entsprechende Wert in der Windows-Registrierung lautet CommandsToRunOnConnect. |
| CommandsToRunOnDisconnect | Gibt eine Liste mit Befehlen oder Befehlsskripts an, die ausgeführt werden, wenn eine Sitzung getrennt wird. Standardmäßig ist keine Liste angegeben. Der entsprechende Wert in der Windows-Registrierung lautet CommandsToRunOnReconnect. |
| CommandsToRunOnReconnect | Gibt eine Liste mit Befehlen oder Befehlsskripts an, die ausgeführt werden, wenn eine Sitzung nach einer Verbindungstrennung wiederhergestellt wird. Standardmäßig ist keine Liste angegeben. Der entsprechende Wert in der Windows-Registrierung lautet CommandsToRunOnDisconnect. |
| ConnectionTicketTimeout | Gibt die Gültigkeitsdauer des Horizon-Verbindungstickets in Sekunden an. Horizon Client-Geräte verwenden bei der Verbindungsherstellung mit dem Agenten zur Überprüfung und für die einmalige Anmeldung ein Verbindungsticket. Ein Verbindungsticket ist aus Sicherheitsgründen nur für einen begrenzten Zeitraum gültig. Wenn ein Benutzer eine Verbindung zu einem Remote-Desktop herstellt, muss die Authentifizierung innerhalb des Gültigkeitszeitraums des Verbindungstickets erfolgen, ansonsten wird die Sitzung aufgrund einer Zeitüberschreitung beendet. Wenn diese Einstellung nicht konfiguriert ist, beträgt die standardmäßige Dauer bis zur Zeitüberschreitung 900 Sekunden. Der entsprechende Wert in der Windows-Registrierung lautet VdmConnectionTicketTimeout. |
| CredentialFilterExceptions | Gibt die ausführbaren Dateien an, die nicht zum Laden des CredentialFilter-Agenten berechtigt sind. Dateinamen dürfen weder einen Pfad noch ein Suffix enthalten. Verwenden Sie ein Semikolon zum Trennen mehrerer Dateinamen. Standardmäßig ist keine Liste angegeben. Der entsprechende Wert in der Windows-Registrierung lautet CredentialFilterExceptions. |
Weitere Informationen zu diesen Einstellungen und ihren Auswirkungen auf die Sicherheit finden Sie im Dokument Horizon-Remote-Desktopfunktionen und GPOs.
