Los archivos de plantilla ADM y ADMX para Horizon Agent, vdm_agent.adm y vdm_agent.admx contienen ajustes relacionados con la seguridad de Horizon Agent. A menos que se indique lo contrario, estos archivos solo incluyen las opciones de configuración del equipo.
La configuración de seguridad se guarda en el registro de la máquina invitada bajo HKLM\Software\VMware, Inc.\VMware VDM\Agent\Configuration.
| Configuración | Descripción |
|---|---|
| AllowDirectRDP | Determina si otros clientes que no sean dispositivos Horizon Client pueden conectarse directamente a escritorios remotos mediante RDP. Cuando esta configuración está desactivada, el agente solo permite conexiones administradas mediante Horizon a través de Horizon Client. Cuando se conecte a un escritorio remoto desde Horizon Client para Mac, no desactive el parámetro AllowDirectRDP. Si está desactivado, la conexión falla con un error de acceso denegado. De forma predeterminada, mientras un usuario tenga la sesión iniciada en la sesión del escritorio remoto, puede usar RDP para conectarse a la máquina virtual. La conexión RDP finaliza la sesión del escritorio remoto y se pueden perder la configuración y los datos sin guardar del usuario. El usuario no puede iniciar sesión en el escritorio hasta que la conexión RDP externa se cierre. Para evitar esta situación, desactive la opción AllowDirectRDP.
Importante: Es necesario que los Servicios de Escritorio remoto de Windows estén en ejecución en el sistema operativo invitado de cada escritorio. Puede usar esta configuración para impedir que los usuarios realicen conexiones RDP directas a sus escritorios.
Este ajuste está activado de forma predeterminada. El valor equivalente en el Registro de Windows es AllowDirectRDP. |
| AllowSingleSignon | Determina si se usa Single Sign-On (SSO) para conectar usuarios a escritorios y aplicaciones. Cuando esta configuración está activada, se requiere a los usuarios que introduzcan sus credenciales solo una vez, cuando inician sesión en el servidor. Cuando esta configuración está desactivada, los usuarios deben volver a autenticarse cuando se realiza la conexión remota. Este ajuste está activado de forma predeterminada. El valor equivalente en el Registro de Windows es AllowSingleSignon. |
| CommandsToRunOnConnect | Especifica una lista de comandos o scripts de comandos que se ejecutarán al conectar una sesión por primera vez. No se especifica ninguna lista de forma predeterminada. El valor equivalente en el Registro de Windows es CommandsToRunOnConnect. |
| CommandsToRunOnDisconnect | Especifica una lista de comandos o scripts de comandos que se ejecutarán al desconectar una sesión. No se especifica ninguna lista de forma predeterminada. El valor equivalente en el Registro de Windows es CommandsToRunOnReconnect. |
| CommandsToRunOnReconnect | Especifica una lista de comandos o scripts de comandos que se ejecutarán al volver a conectar una sesión después de una desconexión. No se especifica ninguna lista de forma predeterminada. El valor equivalente en el Registro de Windows es CommandsToRunOnDisconnect. |
| ConnectionTicketTimeout | Especifica la cantidad de tiempo en segundos durante los que es válido el ticket de conexión de Horizon. Los dispositivos Horizon Client usan un ticket de conexión para la verificación y Single Sign-On al conectarse al agente. Por motivos de seguridad, un ticket de conexión es válido por un periodo de tiempo limitado. Cuando un usuario se conecta a un escritorio remoto, la autenticación se debe realizar dentro del tiempo de espera del ticket de conexión; en caso contrario, la sesión agota el tiempo de espera. SI no se configura este parámetro, el periodo de tiempo de espera predeterminado es de 900 segundos. El valor equivalente en el Registro de Windows es VdmConnectionTicketTimeout. |
| CredentialFilterExceptions | Especifica los archivos ejecutables a los que no se permite cargar el filtro de credenciales del agente. Los nombres de archivo no deben incluir una ruta ni un sufijo. Use un punto y coma para separar varios nombres de archivo. No se especifica ninguna lista de forma predeterminada. El valor equivalente en el Registro de Windows es CredentialFilterExceptions. |
Para obtener más información sobre estas opciones y sus implicaciones de seguridad, consulte el documento Funciones de escritorios remotos y GPO de Horizon.
