Les fichiers de modèle ADM et ADMX pour Horizon Agent, vdm_agent.adm et vdm_agent.admx, contiennent des paramètres liés à la sécurité pour Horizon Agent. Sauf indication contraire, ces fichiers incluent uniquement les paramètres de configuration de l'ordinateur.
Les paramètres de sécurité sont stockés dans le registre sur la machine invitée sous HKLM\Software\VMware, Inc.\VMware VDM\Agent\Configuration.
| Paramètre | Description |
|---|---|
| AllowDirectRDP | Détermine si les clients qui ne sont pas des périphériques Horizon Client peuvent se connecter directement à des postes de travail distants avec RDP. Lorsque ce paramètre est désactivé, l'agent autorise uniquement les connexions gérées par Horizon via Horizon Client. Lorsque vous vous connectez à un poste de travail distant à partir d'Horizon Client pour Mac, ne désactivez pas le paramètre AllowDirectRDP. Si ce paramètre est désactivé, la connexion échoue avec une erreur Accès refusé. Par défaut, lorsqu'un utilisateur a ouvert une session de poste de travail distant, vous pouvez utiliser RDP pour vous connecter à la machine virtuelle. La connexion RDP met fin à la session de poste de travail distant et les données et paramètres non enregistrés de l'utilisateur risquent d'être perdus. L'utilisateur ne peut pas se connecter au poste de travail tant que la connexion RDP externe est fermée. Pour éviter cette situation, désactivez le paramètre AllowDirectRDP.
Important : Les services Bureau à distance doivent s'exécuter sur le système d'exploitation invité de chaque poste de travail. Vous pouvez utiliser ce paramètre pour empêcher les utilisateurs de faire des connexions RDP directes sur leurs postes de travail.
Ce paramètre est activé par défaut. La valeur de Registre Windows équivalente est AllowDirectRDP. |
| AllowSingleSignon | Détermine si l'authentification unique (Single Sign-On, SSO) est utilisée pour connecter les utilisateurs aux postes de travail et aux applications. Lorsque ce paramètre est activé, les utilisateurs doivent entrer leurs informations d'identification une seule fois, lorsqu'ils se connectent au serveur. Lorsqu'il est désactivé, les utilisateurs doivent s'authentifier de nouveau lorsque la connexion à distance est effectuée. Ce paramètre est activé par défaut. La valeur de Registre Windows équivalente est AllowSingleSignon. |
| CommandsToRunOnConnect | Spécifie une liste de commandes ou de scripts de commande à exécuter lorsqu'une session est connectée pour la première fois. Aucune liste n'est spécifiée par défaut. La valeur de Registre Windows équivalente est CommandsToRunOnConnect. |
| CommandsToRunOnDisconnect | Spécifie la liste des commandes ou des scripts de commande à exécuter lorsqu'une session est déconnectée. Aucune liste n'est spécifiée par défaut. La valeur de Registre Windows équivalente est CommandsToRunOnReconnect. |
| CommandsToRunOnReconnect | Spécifie une liste de commandes ou de scripts de commande à exécuter lorsqu'une session est reconnectée après une déconnexion. Aucune liste n'est spécifiée par défaut. La valeur de Registre Windows équivalente est CommandsToRunOnDisconnect. |
| ConnectionTicketTimeout | Spécifie la durée en secondes pendant laquelle le ticket de connexion Horizon est valide. Les périphériques Horizon Client utilisent un ticket de connexion pour la vérification et l'authentification unique lorsqu'ils se connectent à l'agent. Pour des raisons de sécurité, un ticket de connexion est valide pendant une durée limitée. Lorsqu'un utilisateur se connecte à un poste de travail distant, l'authentification doit avoir lieu pendant le délai d'expiration du ticket de connexion sinon la session expire. Si ce paramètre n'est pas configuré, le délai d'expiration par défaut est de 900 secondes. La valeur de Registre Windows équivalente est VdmConnectionTicketTimeout. |
| CredentialFilterExceptions | Spécifie les fichiers exécutables qui ne sont pas autorisés à charger l'agent CredentialFilter. Les noms de fichier ne doivent pas contenir de chemin d'accès ou de suffixe. Utilisez un point-virgule pour séparer plusieurs noms de fichier. Aucune liste n'est spécifiée par défaut. La valeur de Registre Windows équivalente est CredentialFilterExceptions. |
Pour plus d'informations sur ces paramètres et leurs implications en termes de sécurité, reportez-vous au document Fonctionnalités et GPO des postes de travail distants Horizon.
