Le fichier de modèle d'administration ADMX pour la configuration de VMware View Agent (view_agent_direct_connection.admx) contient les paramètres de stratégie relatifs au plug-in View Agent Direct-Connection.
Les paramètres de configuration de View Agent Direct-Connection se trouvent dans l'Éditeur de gestion de stratégie de groupe dans .
| Paramètre | Description |
|---|---|
| Applications activées | Ce paramètre prend en charge le lancement de l'application sur les hôtes de session Bureau à distance. Le paramètre par défaut est activé. |
| Paires de valeurs de nom de configuration du client | Liste de valeurs à transmettre au client sous la forme nom=valeur. Par exemple : clientCredentialCacheTimeout=1440. |
| Délai d'expiration de la session client | Durée maximale en secondes pendant laquelle une session est conservée active si un client n'est pas connecté. La valeur par défaut est de 36 000 secondes (10 heures). |
| Paramètre client : AlwaysConnect | La valeur peut être définie sur TRUE ou FALSE. Le paramètre AlwaysConnect est envoyé à Horizon Client. Si cette stratégie est définie sur TRUE, elle remplace toutes les préférences client enregistrées. Aucune valeur n'est définie par défaut. L'activation de cette stratégie définit la valeur sur TRUE. La désactivation de cette stratégie définit la valeur sur FALSE. |
| Paramètre client : AutoConnect | Ce paramètre remplace les préférences enregistrées d'Horizon Client. Aucune valeur n'est définie par défaut. L'activation de cette stratégie définit la valeur sur true, sa désactivation définit la valeur sur false. |
| Paramètre client : ScreenSize | Paramètre ScreenSize envoyé à Horizon Client. S'il est activé, il remplace les préférences enregistrées du client. S'il n'est ni configuré ni désactivé, les préférences du client sont utilisées. |
| Redirection multimédia (MMR) activée | Détermine si MMR est activé pour les systèmes client. MMR est un filtre de Microsoft DirectShow qui permet de transférer des données multimédia de codecs spécifiques sur des postes de travail Horizon au système client directement via un socket TCP. Les données sont ensuite directement décodées sur le système client, lorsqu'elles sont lues. La valeur par défaut est désactivée. MMR ne fonctionne pas correctement si le matériel d'affichage vidéo du système client ne prend pas en charge la superposition. Les systèmes clients peuvent ne pas contenir suffisamment de ressources pour gérer le décodage multimédia local. |
| Réinitialisation activée | La valeur peut être définie sur TRUE ou FALSE. Lorsque ce paramètre est défini sur TRUE, Horizon Client authentifié peut effectuer un redémarrage au niveau du système d'exploitation. Le paramètre par défaut est désactivé (FALSE). |
| Délai d'expiration de session | Période pendant laquelle un utilisateur peut garder une session ouverte avec Horizon Client. La valeur est définie en minutes. La valeur par défaut est de 600 minutes. Lorsque le délai arrive à expiration, toutes les sessions de poste de travail et d'applications de l'utilisateur sont déconnectées. |
| Connexion USB automatique | La valeur peut être définie sur TRUE ou FALSE. Connecte des périphériques USB au poste de travail lorsqu'ils sont branchés. Si cette stratégie est définie, elle remplace les préférences client enregistrées. Aucune valeur n'est définie par défaut. |
| USB activé | La valeur peut être définie sur TRUE ou FALSE. Détermine si des postes de travail peuvent utiliser des périphériques USB connectés au système client. La valeur par défaut est activée. Pour empêcher l'utilisation de périphériques externes pour des raisons de sécurité, désactivez le paramètre (FALSE). |
| Délai d'inactivité de l'utilisateur | En l'absence d'activité utilisateur sur Horizon Client pendant ce délai, les sessions de poste de travail et d'application de l'utilisateur sont déconnectées. La valeur est définie en secondes. La valeur par défaut est de 900 secondes (15 minutes). |
Paramètres d'authentification
Les paramètres d'authentification se trouvent dans l'Éditeur de gestion de stratégie de groupe dans . Dans ce dossier se trouvent les paramètres de la fonctionnalité Se connecter en tant qu'utilisateur actuel.
| Paramètre | Description |
|---|---|
| Autoriser les clients hérités | Lorsque cette option est désactivée, les versions d'Horizon Client antérieures à 5.5 ne s'authentifient pas à l'aide de la fonctionnalité Se connecter en tant qu'utilisateur actuel. Si ce paramètre n'est pas configuré, les clients plus anciens sont pris en charge. |
| Autoriser le recours NTLM | Lorsque cette option est activée, Horizon Client utilise l'authentification NTLM au lieu de Kerberos lorsqu'il n'existe aucun accès au contrôleur de domaine. Si ce paramètre n'est pas configuré, le recours NTLM n'est pas autorisé. |
| Exiger des liaisons de canal | Lorsque cette option est activée, les liaisons de canal fournissent une couche de sécurité supplémentaire pour sécuriser l'authentification NTLM. Les versions d'Horizon Client antérieures à 5.5 ne prennent pas en charge les liaisons de canal. |
| Délai d'expiration de la mise en cache des informations d'identification du client | Délai, en minutes, pendant lequel un client Horizon autorise un utilisateur à utiliser un mot de passe enregistré. 0 correspond à Jamais, -1 correspond à Toujours. Horizon Client donne aux utilisateurs la possibilité d'enregistrer leur mot de passe si ce paramètre est défini sur une valeur valide. La valeur par défaut est 0 (jamais). |
| Clause d'exclusion de responsabilité activée | La valeur peut être définie sur TRUE ou FALSE. Si elle est définie sur TRUE, le texte d'exclusion de responsabilité que l'utilisateur doit accepter à l'ouverture de session s'affiche. Il correspond au « Texte d'exclusion de responsabilité » si celui-ci a été rédigé, ou il est extrait du GPO Configuration\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité : Ouverture de session interactive.. Le paramètre par défaut pour disclaimerEnabled est FALSE. |
| Texte d'exclusion de responsabilité | Texte d'exclusion de responsabilité qui s'affiche pour les utilisateurs d'Horizon Client à l'ouverture de session. La stratégie Exclusion de responsabilité activée doit être définie sur TRUE. Si le texte n'est pas spécifié, la valeur par défaut utilisée est celle de la stratégie Windows Configuration\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité. |
| Authentification par certificat X509 | Détermine si l'authentification par certificat X.509 de carte à puce est désactivée, autorisée ou requise. |
| Authentification par certificat SSL X509 activée | Détermine si l'authentification par certificat X.509 de carte à puce est activée via une connexion SSL directe depuis Horizon Client. Cette option n'est pas requise si l'authentification par certificat X.509 est gérée via un point de terminaison SSL intermédiaire. La modification de ce paramètre nécessite un redémarrage d'Horizon Agent. |
Paramètres de protocole et de réseau
Les paramètres de protocole et de réseau se trouvent dans l'Éditeur de gestion de stratégie de groupe dans .
| Paramètre | Description |
|---|---|
| Protocole par défaut | Protocole d'affichage par défaut utilisé par Horizon Client pour se connecter au poste de travail. Si aucune valeur n'est définie, la valeur par défaut est BLAST. |
| Port Blast externe | Numéro de port envoyé à Horizon Client pour le numéro de port TCP de destination utilisé avec le protocole HTML5/Blast. Le signe + devant le numéro indique un nombre relatif calculé par rapport au numéro de port utilisé pour HTTPS. Ne définissez cette valeur que si le numéro de port exposé en externe ne correspond pas au port sur lequel le service écoute. En général, ce numéro de port s'utilise dans un environnement NAT. Aucune valeur n'est définie par défaut. |
| Port Framework Channel externe | Numéro de port envoyé à Horizon Client pour le numéro de port TCP de destination utilisé avec le protocole Framework Channel. Le signe + devant le numéro indique un nombre relatif calculé par rapport au numéro de port utilisé pour HTTPS. Ne définissez cette valeur que si le numéro de port exposé en externe ne correspond pas au port sur lequel le service écoute. En général, ce numéro de port s'utilise dans un environnement NAT. Aucune valeur n'est définie par défaut. |
| Adresse IP externe | Adresse IPv4 envoyée à Horizon Client pour l'adresse IP de destination utilisée avec les protocoles secondaires (RDP, PCoIP, Framework Channel, etc.). Ne définissez cette valeur que si l'adresse exposée en externe ne correspond pas à celle de la machine de poste de travail. En général, cette adresse s'utilise dans un environnement NAT. Aucune valeur n'est définie par défaut. |
| Port PCoIP externe | Numéro de port envoyé à Horizon Client pour le numéro de port TCP/UDP de destination utilisé avec le protocole PCoIP. Le signe + devant le numéro indique un nombre relatif calculé par rapport au numéro de port utilisé pour HTTPS. Ne définissez cette valeur que si le numéro de port exposé en externe ne correspond pas au port sur lequel le service écoute. En général, ce numéro de port s'utilise dans un environnement NAT. Aucune valeur n'est définie par défaut. |
| Port RDP externe | Numéro de port envoyé à Horizon Client pour le numéro de port TCP de destination utilisé avec le protocole RDP. Le signe + devant le numéro indique un nombre relatif calculé par rapport au numéro de port utilisé pour HTTPS. Ne définissez cette valeur que si le numéro de port exposé en externe ne correspond pas au port sur lequel le service écoute. En général, ce numéro de port s'utilise dans un environnement NAT. Aucune valeur n'est définie par défaut. |
| Numéro de port HTTPS | Port TCP sur lequel le plug-in écoute les demandes HTTPS entrantes provenant d'Horizon Client. Si vous modifiez cette valeur, vous devez effectuer la modification correspondante dans le Pare-feu Windows pour autoriser le trafic entrant. La valeur par défaut est 443. |
Les numéros de ports externes et les valeurs d'adresses IP externes sont utilisés pour prendre en charge la traduction d'adresses réseau (Network Address Translation, NAT) et le mappage des ports. Pour plus d'informations, reportez-vous à Utilisation de la traduction d'adresses réseau et du mappage de ports
Pour l'authentification par carte à puce, l'autorité de certification (CA) qui signe les certificats de carte à puce doit exister dans le magasin de certificats Windows. Pour obtenir des informations sur l'ajout d'une autorité de certification, reportez-vous à
Ajouter une autorité de certification à un magasin de certificats Windows.
Note : Si un utilisateur tente de se connecter à l'aide d'une carte à puce à une machine Windows 7 ou Windows Server 2008 R2 et que le certificat de la carte à puce a été signé par une autorité de certification intermédiaire, la tentative peut échouer, car Windows peut envoyer au client une liste d'émetteurs approuvés ne contenant pas les noms des autorités de certification intermédiaires. Le cas échéant, le client n'est pas en mesure de sélectionner un certificat de carte à puce correspondant. Pour éviter ce problème, définissez la valeur de registre
SendTrustedIssuerList (REG_DWORD) sur 0 dans la clé de registre
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL. Lorsque cette valeur de registre est définie sur 0, Windows n'envoie pas de liste d'émetteurs approuvés au client qui peut alors sélectionner tous les certificats valides de la carte à puce.
