La configuración de seguridad se proporciona en archivos de plantilla ADMX para Horizon Agent. Los archivos de plantilla ADMX se denominan vdm_agent.admx. Salvo que se indique lo contrario, los parámetros solo incluyen un parámetro de configuración de equipo.

La configuración de seguridad se guarda en el registro de la máquina invitada bajo HKLM\Software\VMware, Inc.\VMware VDM\Agent\Configuration.

Tabla 1. La configuración de seguridad de la plantilla de configuración de View Agent (para Horizon 6) o Horizon Agent (para Horizon 7)

Ajuste

Descripción

AllowDirectRDP

Determina si otros clientes que no sean dispositivos Horizon Client pueden conectarse directamente a escritorios remotos mediante RDP. Cuando esta configuración está deshabilitada, el agente solo permite conexiones administradas mediante Horizon a través de Horizon Client.

Cuando se conecte a un escritorio remoto desde Horizon Client para Mac, no deshabilite el parámetro AllowDirectRDP. Si está deshabilitado, la conexión falla con un error de acceso denegado.

De forma predeterminada, mientras un usuario tenga la sesión iniciada en la sesión del escritorio de Horizon 7, puede usar RDP para conectarse a la máquina virtual desde fuera de Horizon 7. La conexión RDP finaliza la sesión del escritorio de Horizon 7 y se pueden perder la configuración y los datos sin guardar del usuario. El usuario no puede iniciar sesión en el escritorio hasta que la conexión RDP externa se cierre. Para evitar esta situación, deshabilite la opción AllowDirectRDP.

Importante:

Es necesario que los Servicios de Escritorio remoto de Windows estén en ejecución en el sistema operativo invitado de cada escritorio. Puede usar esta configuración para impedir que los usuarios realicen conexiones RDP directas a sus escritorios.

Esta configuración está habilitada de forma predeterminada.

El valor equivalente en el Registro de Windows es AllowDirectRDP.

AllowSingleSignon

Determina si se usa Single Sign-On (SSO) para conectar usuarios a escritorios y aplicaciones. Cuando esta configuración está habilitada, se requiere a los usuarios que introduzcan sus credenciales solo una vez, cuando inician sesión en el servidor. Cuando esta configuración está deshabilitada, los usuarios deben volver a autenticarse cuando se realiza la conexión remota.

Esta configuración está habilitada de forma predeterminada.

El valor equivalente en el Registro de Windows es AllowSingleSignon.

CommandsToRunOnConnect

Especifica una lista de comandos o scripts de comandos que se ejecutarán al conectar una sesión por primera vez.

No se especifica ninguna lista de forma predeterminada.

El valor equivalente en el Registro de Windows es CommandsToRunOnConnect.

CommandsToRunOnDisconnect

Especifica una lista de comandos o scripts de comandos que se ejecutarán al desconectar una sesión.

No se especifica ninguna lista de forma predeterminada.

El valor equivalente en el Registro de Windows es CommandsToRunOnReconnect.

CommandsToRunOnReconnect

Especifica una lista de comandos o scripts de comandos que se ejecutarán al volver a conectar una sesión después de una desconexión.

No se especifica ninguna lista de forma predeterminada.

El valor equivalente en el Registro de Windows es CommandsToRunOnDisconnect.

ConnectionTicketTimeout

Especifica la cantidad de tiempo en segundos durante los que es válido el ticket de conexión de Horizon.

Los dispositivos Horizon Client usan un ticket de conexión para la verificación y Single Sign-On al conectarse al agente. Por motivos de seguridad, un ticket de conexión es válido por un periodo de tiempo limitado. Cuando un usuario se conecta a un escritorio remoto, la autenticación se debe realizar dentro del tiempo de espera del ticket de conexión; en caso contrario, la sesión agota el tiempo de espera. SI no se configura este parámetro, el periodo de tiempo de espera predeterminado es de 900 segundos.

El valor equivalente en el Registro de Windows es VdmConnectionTicketTimeout.

CredentialFilterExceptions

Especifica los archivos ejecutables a los que no se permite cargar el filtro de credenciales del agente. Los nombres de archivo no deben incluir una ruta ni un sufijo. Use un punto y coma para separar varios nombres de archivo.

No se especifica ninguna lista de forma predeterminada.

El valor equivalente en el Registro de Windows es CredentialFilterExceptions.

Para obtener más información sobre estas opciones y sus implicaciones de seguridad, consulte el documento Administración de View.