Auf Windows-Maschinen enthält die ADMX-Vorlagendatei (view_agent_direct_connection.admx) für die VMware View Agent-Konfiguration Konfigurationseinstellungen, die sich auf das Horizon Agent Direct-Connection-Plug-In (früher View Agent Direct-Connection-Plug-In) beziehen. Für Linux-Maschinen geben Sie diese Konfigurationseinstellungen in der Konfigurationsdatei /etc/vmware/vadc/viewagent-vadc.conf an.
(Windows) Konfigurationseinstellungen des Plug-Ins „Horizon Agent Direct-Connection“
Für Windows-Desktops können Sie die ADMX-Vorlagendatei (view_agent_direct_connection.admx) für die VMware View Agent-Konfiguration von der Website „VMware-Downloads“ herunterladen. Navigieren Sie zu https://my.vmware.com/web/vmware/downloads. Suchen Sie nach „Desktop- und End-User Computing“ und wählen Sie unter dieser Kategorie Produkt herunterladen unter VMware Horizon aus. Wählen Sie dann die entsprechende Horizon-Version aus und klicken Sie auf Zu den Downloads. Laden Sie hier das Horizon-GPO-Paket herunter, das die ADMX-Vorlagendatei für die VMware View Agent-Konfiguration enthält.
Die Konfigurationseinstellungen für das Horizon Agent Direct-Connection-Plug-In befinden sich im Gruppenrichtlinienverwaltungs-Editor unter .
| Einstellung | Beschreibung |
|---|---|
| Anwendungen aktiviert | Diese Einstellung unterstützt den Anwendungsstart auf Remotedesktop-Sitzungshosts. Die Standardeinstellung ist aktiviert. |
| Wertepaare für Clientkonfigurationsname | Liste der Werte, die an den Client übergeben werden sollen, im Format Name=Wert. Beispiel: clientCredentialCacheTimeout=1440. |
| Zeitüberschreitung der Clientsitzung | Die maximale Zeitdauer in Sekunden, in der eine Sitzung aktiv bleibt, wenn kein Client verbunden ist. Der Standardwert beträgt 36000 Sekunden (10 Stunden). |
| Client-Einstellung: AlwaysConnect | Der Wert kann auf TRUE oder FALSE festgelegt werden. Die Einstellung „AlwaysConnect“ wird an Horizon Client gesendet. Wenn diese Richtlinie auf TRUE festgelegt wird, werden alle gespeicherten Client-Voreinstellungen überschrieben. Standardmäßig wird kein Wert festgelegt. Durch das Aktivieren dieser Richtlinie wird der Wert auf TRUE festgelegt. Durch Deaktivieren dieser Richtlinie wird der Wert auf FALSE festgelegt. |
| Clienteinstellung: AutoConnect | Diese Einstellung setzt alle gespeicherten Horizon Client-Voreinstellungen außer Kraft. Standardmäßig wird kein Wert festgelegt. Durch Aktivieren dieser Richtlinie wird der Wert auf „True“ festgelegt, eine Deaktivierung setzt den Wert auf „False“. |
| Clienteinstellung: ScreenSize | Die an Horizon Client gesendete Einstellung. Wenn diese konfiguriert ist, werden alle gespeicherten Clienteinstellungen außer Kraft gesetzt. Wenn diese Einstellung nicht konfiguriert ist, werden die Clienteinstellungen verwendet. |
| Multimedia-Umleitung (MMR) aktiviert | Legt fest, ob MMR für Clientsysteme aktiviert ist. MMR ist ein Microsoft DirectShow-Filter, der Multimediadaten von bestimmten Codecs auf Remote-Desktops direkt über einen TCP-Socket an das Clientsystem weiterleitet. Die Daten werden direkt auf dem Clientsystem decodiert, auf dem sie wiedergegeben werden. Der Standardwert ist FALSE, was bedeutet, dass MMR deaktiviert ist. MMR arbeitet nicht ordnungsgemäß, wenn die Hardware zur Videoanzeige auf dem Clientsystem keine Overlay-Unterstützung bietet. Clientsysteme verfügen eventuell nicht über ausreichend Ressourcen zur Verarbeitung der lokalen Multimedia-Decodierung. |
| Zurücksetzen aktiviert | Der Wert kann auf TRUE oder FALSE festgelegt werden. Wenn diese Einstellung auf TRUE gesetzt wird, kann ein authentifizierter Horizon Client einen Neustart auf Betriebssystemebene durchführen. Die Standardeinstellung ist nicht aktiviert (FALSE). |
| Zeitüberschreitung der Sitzung | Der Zeitraum, in dem ein Benutzer eine Sitzung geöffnet lassen kann, nachdem er sich über Horizon Client angemeldet hat. Der Wert wird in Minuten festgelegt. Der Standardwert lautet 600 Minuten. Wenn die Zeitüberschreitung erreicht wurde, werden alle Desktop- und Anwendungssitzungen eines Benutzers getrennt. |
| USB-AutoConnect | Der Wert kann auf TRUE oder FALSE festgelegt werden. Verbinden Sie USB-Geräte mit dem Desktop, wenn sie angeschlossen sind. Wenn diese Richtlinie festgelegt ist, wird sie von allen gespeicherten Client-Voreinstellungen überschrieben. Standardmäßig wird kein Wert festgelegt. |
| USB aktiviert | Der Wert kann auf TRUE oder FALSE festgelegt werden. Legt fest, ob Desktops USB-Geräte verwenden können, die mit dem Clientsystem verbunden sind. Der Standardwert ist aktiviert. Um aus Sicherheitsgründen die Verwendung externer Geräte zu unterbinden, deaktivieren Sie die Einstellung (FALSE). |
| Zeitüberschreitung des Benutzerleerlaufs | Wenn auf dem Horizon Client für diesen Zeitraum keine Benutzeraktivität vorhanden ist, werden die Desktop- und Anwendungssitzungen des Benutzers getrennt. Der Wert wird in Sekunden festgelegt. Der Standardwert beträgt 900 Sekunden (15 Minuten). |
(Windows) Authentifizierungseinstellungen des Plug-Ins „Horizon Agent Direct-Connection“
Auf Windows-Desktops befinden sich die Authentifizierungseinstellungen im Gruppenrichtlinienverwaltungs-Editor unter . In diesem Ordner befindet sich die Einstellung „Als aktueller Benutzer anmelden“.
| Einstellung | Beschreibung |
|---|---|
| Vorgängermandanten erlauben | Wenn diese Option deaktiviert ist, werden Horizon Client-Versionen, die älter als Version 5.5 sind, nicht mithilfe der Funktion „Als aktueller Benutzer anmelden“ authentifiziert. Wenn diese Einstellung nicht konfiguriert ist, werden ältere Clients unterstützt. |
| NTLM-Fallback erlauben | Wenn diese Option aktiviert ist, verwendet Horizon Client die NTLM-Authentifizierung anstelle von Kerberos, falls kein Zugriff auf den Domänencontroller besteht. Wenn diese Einstellung nicht konfiguriert ist, ist ein NTLM-Fallback nicht zulässig. |
| Kanalbindungen verlangen | Wenn diese Option aktiviert ist, bieten Kanalbindungen eine zusätzliche Sicherheitsschicht zur sicheren NTLM-Authentifizierung. Horizon Client-Versionen, die älter als Version 5.5 sind, unterstützen Kanalbindungen nicht. |
| Zeitüberschreitung bei der Zwischenspeicherung der Client-Anmeldeinformationen | Der Zeitraum in Minuten, in dem ein Horizon Client einem Benutzer erlaubt, ein gespeichertes Kennwort zu verwenden. 0 bedeutet nie, -1 bedeutet immer. Horizon Client bietet Benutzern die Option, ihre Kennwörter zu speichern, wenn diese Einstellung auf einen gültigen Wert festgelegt ist. Der Standardwert lautet 0 (nie). |
| Haftungsausschluss aktiviert | Der Wert kann auf TRUE oder FALSE festgelegt werden. Wenn diese Einstellung auf TRUE gesetzt wird, zeigen Sie den Text des Haftungsausschlusses für die Benutzerakzeptanz bei der Anmeldung an. Der Text aus „Text des Haftungsausschlusses“ oder aus dem Gruppenrichtlinienobjekt Konfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen: Interaktive Anmeldung wird angezeigt. Die Standardeinstellung für „disclaimerEnabled“ ist FALSE. |
| Text des Haftungsausschlusses | Der den Benutzern von Horizon Client bei der Anmeldung angezeigte Text des Haftungsausschlusses. Die Richtlinie „Haftungsausschluss aktiviert“ muss auf TRUE festgelegt werden. Wenn der Text nicht festgelegt wird, wird standardmäßig der Wert über die Windows-Richtlinie Configuration\Windows Settings\Security Settings\Local Policies\Security Options verwendet. |
| X509-Zertifikatauthentifizierung | Legt fest, ob die Zertifikatauthentifizierung mit Smartcard X.509 deaktiviert, zulässig oder erforderlich ist. |
| X509-SSL-Zertifikatauthentifizierung aktiviert | Legt fest, ob die Zertifikatauthentifizierung mit Smartcard X.509 über eine direkte SSL-Verbindung von einem Horizon Client aktiviert wird. Diese Option ist nicht erforderlich, wenn die X.509-Zertifikatauthentifizierung über einen zwischenzeitlichen SSL-Beendigungspunkt durchgeführt wird. Wenn Sie diese Einstellung ändern, muss Horizon Agent neu gestartet werden. |
(Windows) Protokoll und Netzwerkeinstellungen des Plug-Ins „Horizon Agent Direct-Connection“
Auf Windows-Desktops befinden sich die Protokoll- und Netzwerkeinstellungen im Gruppenrichtlinienverwaltungs-Editor unter .
| Einstellung | Beschreibung |
|---|---|
| Standardprotokoll | Das Standardanzeigeprotokoll, das von Horizon Client für die Herstellung einer Verbindung mit dem Desktop verwendet wird. Wenn hierfür kein Wert festgelegt ist, wird als Standardwert BLAST verwendet. |
| Externer Blast-Port | Die Portnummer, die an Horizon Client für die TCP-Portnummer des Ziels gesendet wird, die für das HTML5/Blast-Protokoll verwendet wird. Ein Pluszeichen vor der Zahl gibt eine relative Zahl aus der für HTTPS verwendeten Portnummer an. Legen Sie diesen Wert nur fest, wenn die extern angezeigte Portnummer nicht mit dem Port übereinstimmt, den der Dienst verwaltet. Diese Portnummer befindet sich in der Regel in einer NAT-Umgebung. Standardmäßig wird kein Wert festgelegt. |
| Externer Framework-Kanal-Port | Die Portnummer, die an Horizon Client für die TCP-Portnummer des Ziels gesendet wird, die für das Framework-Kanal-Protokoll verwendet wird. Ein Pluszeichen vor der Zahl gibt eine relative Zahl aus der für HTTPS verwendeten Portnummer an. Legen Sie diesen Wert nur fest, wenn die extern angezeigte Portnummer nicht mit dem Port übereinstimmt, im dem der Dienst verwaltet. Diese Portnummer befindet sich in der Regel in einer NAT-Umgebung. Standardmäßig wird kein Wert festgelegt. |
| Externe IP-Adresse | Die IPV4-Adresse, die an Horizon Client für die IP-Adresse des Ziels gesendet wird, die für sekundäre Protokolle (RDP, PCoIP, Framework-Kanal usw.) verwendet wird. Legen Sie diesen Wert nur fest, wenn die extern angezeigte Adresse nicht mit der Adresse des Desktop-Computers übereinstimmt. Diese Adresse befindet sich in der Regel in einer NAT-Umgebung. Standardmäßig wird kein Wert festgelegt. |
| Externer PCoIP-Port | Die Portnummer, die an Horizon Client für die TCP/UDP-Portnummer des Ziels gesendet wird, die für das PCoIP-Protokoll verwendet wird. Ein Pluszeichen vor der Zahl gibt eine relative Zahl aus der für HTTPS verwendeten Portnummer an. Legen Sie diesen Wert nur fest, wenn die extern angezeigte Portnummer nicht mit dem Port übereinstimmt, den der Dienst verwaltet. Diese Portnummer befindet sich in der Regel in einer NAT-Umgebung. Standardmäßig wird kein Wert festgelegt. |
| Externer RDP-Port | Die Portnummer, die an Horizon Client für die TCP-Portnummer des Ziels gesendet wird, die für das RDP-Protokoll verwendet wird. Ein Pluszeichen vor der Zahl gibt eine relative Zahl aus der für HTTPS verwendeten Portnummer an. Legen Sie diesen Wert nur fest, wenn die extern angezeigte Portnummer nicht mit dem Port übereinstimmt, den der Dienst verwaltet. Diese Portnummer befindet sich in der Regel in einer NAT-Umgebung. Standardmäßig wird kein Wert festgelegt. |
| HTTPS-Portnummer | Der TCP-Port, an dem das Plug-In eingehende HTTPS-Anforderungen von Horizon Client überwacht. Wenn dieser Wert geändert wird, müssen Sie eine entsprechende Änderung an der Windows-Firewall vornehmen, um eingehenden Datenverkehr zuzulassen. Die Standardeinstellung ist 443. |
Die Werte „Externe Portnummer“ und „Externe IP-Adresse“ werden für die Unterstützung der Netzwerkadressübersetzung (NAT) und Portzuordnung verwendet. Weitere Informationen finden Sie unter Windows – Verwenden der NAT- (Network Address Translation, Netzwerkadressübersetzung) und Portzuordnung.
Für die Smartcard-Authentifizierung muss sich die Zertifizierungsstelle (CA), die die Smartcard-Zertifikate signiert, im Windows-Zertifikatspeicher befinden. Informationen zum Hinzufügen einer Zertifizierungsstelle finden Sie unter
Windows – Einrichten der Smartcard-Authentifizierung.
Hinweis: Wenn ein Benutzer versucht, sich mit einer Smartcard bei einem Computer mit Windows 7 oder Windows Server 2008 R2 anzumelden, und das Smartcard-Zertifikat wurde durch eine Zwischen-Zertifizierungsstelle unterzeichnet, schlägt der Versuch möglicherweise fehl, da Windows an den Client eine Liste der vertrauenswürdigen Aussteller senden kann, die keine Zwischen-Zertifizierungsstellennamen enthält. In diesem Fall kann der Client kein entsprechendes Smartcard-Zertifikat auswählen. Zur Vermeidung dieses Problems legen Sie den Registrierungswert
SendTrustedIssuerList (REG_DWORD) im Registrierungsschlüssel
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL auf „0“ fest. Wenn dieser Registrierungswert auf „0“ festgelegt ist, sendet Windows keine Liste mit vertrauenswürdigen Ausstellern an den Client, der dann alle gültigen Zertifikate für die Smartcard auswählen kann.
(Linux) Konfigurationseinstellungen des Plug-Ins „Horizon Agent Direct-Connection“
Für Linux-Desktops befinden sich die Konfigurationseinstellungen des Horizon Agent Direct-Connection Plug-Ins in der Konfigurationsdatei /etc/vmware/vadc/viewagent-vadc.conf.
Hinweis: Das Horizon Agent Direct-Connection-Plug-In wird auf Linux-Desktops unterstützt, auf denen
Horizon Agent 2111 oder höher ausgeführt wird.
| Einstellung | Beschreibung |
|---|---|
| AgentDisconnectTimeout | Der Zeitraum in Minuten nach der Unterbrechung der Clientsitzung, während dem Horizon Agent bis zur Abmeldung beim Desktop wartet. Um automatische Abmeldungen zu deaktivieren und die Clientanmeldung beim Desktop unbegrenzt beizubehalten, legen Sie den Wert auf 0 fest. Zur sofortigen Abmeldung beim Desktop nach der Unterbrechung der Sitzung durch den Client, legen Sie den Wert auf -1 fest. Der Standardwert ist 0. |
| AgentEmptySessionLogoff | Gibt an, ob nach dem in der Richtlinie „AgentEmptySessionTimeout“ angegebenen Zeitraum eine Abmeldung von oder Unterbrechung der Anwendungssitzung erfolgen soll. Zur Angabe der Abmeldeaktion legen Sie den Wert auf TRUE fest. Zur Angabe der Unterbrechungsaktion legen Sie den Wert auf FALSE fest. Wenn diese Einstellung nicht konfiguriert ist, wird FALSE als Standardwert verwendet. |
| AgentEmptySessionTimeout | Der Zeitraum in Minuten nach dem Schließen aller Anwendungsfenster durch den Clientbenutzer, während dem Horizon Agent bis zur Unterbrechung oder Abmeldung bei der Anwendungssitzung wartet. Um die Verbindung des Clients mit oder die Anmeldung des Clients bei der Anwendungssitzung unbegrenzt beizubehalten, legen Sie den Wert auf 0 fest. Zur sofortigen Unterbrechung oder Abmeldung bei der Anwendungssitzung beim Schließen aller Anwendungsfenster, legen Sie den Wert auf -1 fest. Der Standardwert lautet 1 Minute. Diese Zeitüberschreitungsrichtlinie wird mit der in der Richtlinie „AgentEmptySessionLogoff“ angegebenen Aktion (Trennen oder Abmelden bei der Sitzung) verwendet. |
| AgentPreLaunchSessionTimeout | Der maximale Zeitraum in Minuten, während dem Horizon Agent eine aktive Anwendungssitzung beibehält, wenn der Clientbenutzer die Anwendung nicht startet. Zur unbegrenzten Beibehaltung einer aktiven Anwendungssitzung legen Sie den Wert auf 0 fest. Der Standardwert lautet 10 Minuten. |
| ClientAlwaysConnect | Zum Aktivieren der Richtlinie kann der Wert auf TRUE und zum Deaktivieren der Richtlinie auf FALSE festgelegt werden. Diese Einstellung wird an Horizon Client gesendet. Wenn diese Richtlinie auf TRUE festgelegt wird, werden alle gespeicherten Client-Voreinstellungen überschrieben. Standardmäßig wird kein Wert festgelegt. |
| ClientAutoConnect | Diese Einstellung setzt alle gespeicherten Horizon Client-Voreinstellungen außer Kraft. Zum Aktivieren der Richtlinie kann der Wert auf TRUE und zum Deaktivieren der Richtlinie auf FALSE festgelegt werden. Standardmäßig wird kein Wert festgelegt. |
| ClientCredentialCacheTimeout | Der Zeitraum in Minuten, in dem ein Horizon Client einem Benutzer erlaubt, ein gespeichertes Kennwort zu verwenden. 0 bedeutet nie, -1 bedeutet immer. Horizon Client bietet Benutzern die Option, ihre Kennwörter zu speichern, wenn diese Einstellung auf einen gültigen Wert festgelegt ist. Wenn diese Einstellung nicht konfiguriert ist, wird 0 (niemals) als Standardwert verwendet. |
| ClientScreenSize | Die an Horizon Client gesendete Einstellung. Wenn diese konfiguriert ist, werden alle gespeicherten Clienteinstellungen außer Kraft gesetzt. Wenn diese Einstellung nicht konfiguriert ist, werden die Clienteinstellungen verwendet. |
| ClientSessionTimeout | Der Zeitraum in Sekunden nach der zuletzt gemeldeten Benutzeraktivität, der von einem Horizon Client zugelassen wird, bevor die Sitzung als inaktiv betrachtet und die Verbindung getrennt wird. Der Mindestwert beträgt 300 Sekunden (5 Minuten). Der Standardwert beträgt 36000 Sekunden (10 Stunden). |
| CSRFProtectionEnabled | Gibt an, ob der CSRF-Schutz durch Senden eines X-CSRF-TOKENS mit Webdienstanforderungen aktiviert werden soll. Bei aktiviertem Schutz ist der Wert auf TRUE festgelegt. Bei deaktiviertem Schutz ist der Wert auf FALSE festgelegt. Die Standardeinstellung ist TRUE. |
| DesktopName | Der Name des Remote-Desktops. Wenn diese Einstellung nicht konfiguriert ist, übernimmt der Desktop den Namen der Hostmaschine. |
| DisclaimerFile | Der Pfad der Datei mit dem Text des Haftungsausschlusses, der Horizon Client-Benutzern bei der Anmeldung angezeigt wird. Standardmäßig wird kein Wert festgelegt. |
| DomainName | Legt den FQDN-Domänennamen von Clientbenutzern fest. Wenn Sie die Maschine zu einer Domäne hinzufügen, wird der Domänenname automatisch abgerufen. Diese Einstellung ist dann nicht erforderlich. Wenn Sie einen LDAP-Authentifizierungsdienst verwenden, ohne die Linux-Maschine mit einer Domäne zu verbinden, konfigurieren Sie diese Einstellung, um den Domänennamen abzurufen. Ersetzen Sie den Platzhalterwert |
| EntitleGroups | Die Benutzergruppe oder Liste der Gruppen, deren Mitglieder auf den Direct-Connection-Desktop oder die Direct-Connection-Anwendung zugreifen dürfen. Standardmäßig ist diese Einstellung mit der Berechtigungsgruppe Für die Konfiguration zusätzlicher Berechtigungsgruppen fügen Sie die Gruppennamen zur Einstellungsliste hinzu und trennen Sie die Einträge durch Doppelpunkte. |
| ExternalBlastPort | Die an Horizon Client für die TCP-Portnummer des Ziels gesendete Portnummer, die für Blast-Verbindungen über ein Portzuordnungsgerät verwendet wird. Ein Pluszeichen vor der Zahl gibt eine relative Zahl aus der für NAT HTTPS verwendeten Portnummer an. Legen Sie diesen Wert nur fest, wenn die extern angezeigte Portnummer nicht mit dem Port übereinstimmt, den der Dienst verwaltet. In der Regel wird diese Portnummer in einer NAT-Umgebung verwendet. Standardmäßig wird kein Wert festgelegt. |
| ExternalIPAddress | Die an Horizon Client für die IP-Zieladresse gesendete IPv4-Adresse, die für Blast-Verbindungen über ein Portzuordnungsgerät verwendet wird. Legen Sie diesen Wert nur fest, wenn die extern angezeigte Adresse nicht mit der Adresse des Desktop-Computers übereinstimmt. In der Regel wird diese Adresse in einer NAT-Umgebung verwendet. Standardmäßig wird kein Wert festgelegt. |
| HTTPSPortNumber | Der TCP-Port, an dem das Plug-In eingehende HTTPS-Anforderungen von Horizon Client überwacht. Die Standardeinstellung ist 8443. |
| MaxSessions | Die maximale Anzahl veröffentlichter Desktop- oder Anwendungssitzungen, die von Horizon Agent unterstützt werden. Diese Richtlinie wird nur wirksam, wenn die Linux-Maschine als Mehrfachsitzungshost konfiguriert ist. Der Standardwert ist 50. |
| ResetEnabled | Der Wert kann auf TRUE oder FALSE festgelegt werden. Wenn diese Einstellung auf TRUE gesetzt wird, kann ein authentifizierter Horizon Client einen Neustart auf Betriebssystemebene durchführen. Bei nicht konfigurierter Einstellung wird FALSE als Standardwert verwendet, der die Neustartfunktion deaktiviert. |
| SessionTimeout | Der Zeitraum, in dem ein Benutzer eine Sitzung geöffnet lassen kann, nachdem er sich über Horizon Client angemeldet hat. Der Wert wird in Minuten festgelegt. Der Wert -1 steht für „Unbegrenzt“. Der Standardwert beträgt 600 Minuten (10 Stunden). Wenn die Zeitüberschreitung erreicht wurde, werden alle Desktop- und Anwendungssitzungen eines Benutzers getrennt. |
| USBAutoConnect | Der Wert kann auf TRUE oder FALSE festgelegt werden. Wenn der Wert auf TRUE festgelegt ist, verbindet Horizon Client USB-Geräte beim Anschließen mit dem Desktop. Wenn diese Richtlinie festgelegt ist, werden alle gespeicherten Clienteinstellungen überschrieben. Standardmäßig wird kein Wert festgelegt. |
| UserIdleTimeout | Wenn auf Horizon Client für diesen Zeitraum keine Benutzeraktivität vorliegt, werden die Desktop- und Anwendungssitzungen des Benutzers getrennt. Der Wert wird in Sekunden festgelegt. Mit einem Wert von -1 wird angegeben, dass Sitzungen nie getrennt werden. Der Standardwert beträgt 900 Sekunden (15 Minuten). |
| X509CertAuth | Die Unterstützungsebene für die Smartcard X.509-Zertifikatauthentifizierung. Der Wert kann auf 0 (deaktiviert), 1 (zulässig) oder 2 (erforderlich) festgelegt werden. Der Standardwert ist 0. |
