Pour les machines Windows, le fichier de modèle ADMX pour la configuration de VMware View Agent (view_agent_direct_connection.admx) contient les paramètres de configuration relatifs au plug-in Horizon Agent Direct-Connection (anciennement View Agent Direct-Connection). Pour les machines Linux, vous spécifiez ces paramètres de configuration dans le fichier de configuration /etc/vmware/vadc/viewagent-vadc.conf.
Paramètres de configuration du plug-in Horizon Agent Direct-Connection (Windows)
Pour les postes de travail Windows, vous pouvez télécharger le fichier de modèle ADMX pour la configuration de VMware View Agent (view_agent_direct_connection.admx) sur le site de téléchargement de VMware. Accédez à https://my.vmware.com/web/vmware/downloads. Recherchez Informatique de bureau et d'utilisateur final et, dans cette catégorie, sélectionnez Télécharger le produit sous VMware Horizon. Sélectionnez ensuite la version d'Horizon appropriée et cliquez sur Accéder aux téléchargements. À partir de là, téléchargez le Bundle de GPO Horizon qui contient le fichier de modèle ADMX pour la configuration de VMware View Agent.
Les paramètres de configuration du plug-in Horizon Agent Direct-Connection se trouvent dans l'éditeur de gestion de stratégie de groupe dans .
| Paramètre | Description |
|---|---|
| Applications activées | Ce paramètre prend en charge le lancement de l'application sur les hôtes de session Bureau à distance. Le paramètre par défaut est activé. |
| Paires de valeurs de nom de configuration du client | Liste de valeurs à transmettre au client sous la forme nom=valeur. Par exemple : clientCredentialCacheTimeout=1440. |
| Délai d'expiration de la session client | Durée maximale en secondes pendant laquelle une session est conservée active si un client n'est pas connecté. La valeur par défaut est de 36 000 secondes (10 heures). |
| Paramètre client : AlwaysConnect | La valeur peut être définie sur TRUE ou FALSE. Le paramètre AlwaysConnect est envoyé à Horizon Client. Si cette stratégie est définie sur TRUE, elle remplace toutes les préférences client enregistrées. Aucune valeur n'est définie par défaut. L'activation de cette stratégie définit la valeur sur TRUE. La désactivation de cette stratégie définit la valeur sur FALSE. |
| Paramètre client : AutoConnect | Ce paramètre remplace les préférences enregistrées d'Horizon Client. Aucune valeur n'est définie par défaut. L'activation de cette stratégie définit la valeur sur true, sa désactivation définit la valeur sur false. |
| Paramètre client : ScreenSize | Paramètre envoyé à Horizon Client. S'il est configuré, il remplace les préférences enregistrées du client. S'il n'est pas configuré, les préférences du client sont utilisées. |
| Redirection multimédia (MMR) activée | Détermine si MMR est activé pour les systèmes client. MMR est un filtre de Microsoft DirectShow qui permet de transférer des données multimédias de codecs spécifiques sur des postes de travail distants au système client directement via un socket TCP. Les données sont ensuite directement décodées sur le système client, lorsqu'elles sont lues. La valeur par défaut est FALSE, ce qui implique la désactivation de MMR. MMR ne fonctionne pas correctement si le matériel d'affichage vidéo du système client ne prend pas en charge la superposition. Les systèmes clients peuvent ne pas contenir suffisamment de ressources pour gérer le décodage multimédia local. |
| Réinitialisation activée | La valeur peut être définie sur TRUE ou FALSE. Lorsque ce paramètre est défini sur TRUE, Horizon Client authentifié peut effectuer un redémarrage au niveau du système d'exploitation. Le paramètre par défaut n'est pas activé (FALSE). |
| Délai d'expiration de session | Période pendant laquelle un utilisateur peut garder une session ouverte avec Horizon Client. La valeur est définie en minutes. La valeur par défaut est de 600 minutes. Lorsque le délai arrive à expiration, toutes les sessions de poste de travail et d'applications de l'utilisateur sont déconnectées. |
| Connexion USB automatique | La valeur peut être définie sur TRUE ou FALSE. Connecte des périphériques USB au poste de travail lorsqu'ils sont branchés. Si cette stratégie est définie, elle remplace les préférences client enregistrées. Aucune valeur n'est définie par défaut. |
| USB activé | La valeur peut être définie sur TRUE ou FALSE. Détermine si des postes de travail peuvent utiliser des périphériques USB connectés au système client. La valeur par défaut est activée. Pour empêcher l'utilisation de périphériques externes pour des raisons de sécurité, modifiez le paramètre pour le désactiver (FALSE). |
| Délai d'inactivité de l'utilisateur | En l'absence d'activité utilisateur sur Horizon Client pendant ce délai, les sessions de poste de travail et d'application de l'utilisateur sont déconnectées. La valeur est définie en secondes. La valeur par défaut est de 900 secondes (15 minutes). |
Paramètres d'authentification du plug-in Horizon Agent Direct-Connection (Windows)
Pour les postes de travail Windows, les paramètres d'authentification se trouvent dans l'éditeur de gestion de stratégie de groupe dans . Dans ce dossier se trouvent les paramètres de la fonctionnalité Ouvrir une session en tant qu'utilisateur actuel.
| Paramètre | Description |
|---|---|
| Autoriser les clients hérités | Lorsque ce paramètre est désactivé, les versions d'Horizon Client antérieures à 5.5 ne s'authentifient pas à l'aide de la fonctionnalité Se connecter en tant qu'utilisateur actuel. Si ce paramètre n'est pas configuré, les clients plus anciens sont pris en charge. |
| Autoriser le recours NTLM | Lorsque cette option est activée, Horizon Client utilise l'authentification NTLM au lieu de Kerberos lorsqu'il n'existe aucun accès au contrôleur de domaine. Si ce paramètre n'est pas configuré, le recours NTLM n'est pas autorisé. |
| Exiger des liaisons de canal | Lorsque cette option est activée, les liaisons de canal fournissent une couche de sécurité supplémentaire pour sécuriser l'authentification NTLM. Les versions d'Horizon Client antérieures à 5.5 ne prennent pas en charge les liaisons de canal. |
| Délai d'expiration de la mise en cache des informations d'identification du client | Délai, en minutes, pendant lequel un client Horizon autorise un utilisateur à utiliser un mot de passe enregistré. 0 correspond à Jamais, -1 correspond à Toujours. Horizon Client donne aux utilisateurs la possibilité d'enregistrer leur mot de passe si ce paramètre est défini sur une valeur valide. La valeur par défaut est 0 (jamais). |
| Clause d'exclusion de responsabilité activée | La valeur peut être définie sur TRUE ou FALSE. Si elle est définie sur TRUE, le texte d'exclusion de responsabilité que l'utilisateur doit accepter à l'ouverture de session s'affiche. Il correspond au « Texte d'exclusion de responsabilité » si celui-ci a été rédigé, ou il est extrait du GPO Configuration\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité : Ouverture de session interactive. Le paramètre par défaut pour disclaimerEnabled est FALSE. |
| Texte d'exclusion de responsabilité | Texte d'exclusion de responsabilité qui s'affiche pour les utilisateurs d'Horizon Client à l'ouverture de session. La stratégie Exclusion de responsabilité activée doit être définie sur TRUE. Si le texte n'est pas spécifié, la valeur par défaut utilisée est celle de la stratégie Windows Configuration\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité. |
| Authentification par certificat X509 | Détermine si l'authentification par certificat X.509 de carte à puce est désactivée, autorisée ou requise. |
| Authentification par certificat SSL X509 activée | Détermine si l'authentification par certificat X.509 de carte à puce est activée via une connexion SSL directe depuis Horizon Client. Cette option n'est pas requise si l'authentification par certificat X.509 est gérée via un point de terminaison SSL intermédiaire. La modification de ce paramètre nécessite un redémarrage d'Horizon Agent. |
Paramètres de protocole et de réseau du plug-in Horizon Agent Direct-Connection (Windows)
Pour les postes de travail Windows, les paramètres de protocole et de réseau se trouvent dans l'éditeur de gestion de stratégie de groupe dans .
| Paramètre | Description |
|---|---|
| Protocole par défaut | Protocole d'affichage par défaut utilisé par Horizon Client pour se connecter au poste de travail. Si aucune valeur n'est définie, la valeur par défaut est BLAST. |
| Port Blast externe | Numéro de port envoyé à Horizon Client pour le numéro de port TCP de destination utilisé avec le protocole HTML5/Blast. Le signe + devant le numéro indique un nombre relatif calculé par rapport au numéro de port utilisé pour HTTPS. Ne définissez cette valeur que si le numéro de port exposé en externe ne correspond pas au port sur lequel le service écoute. En général, ce numéro de port s'utilise dans un environnement NAT. Aucune valeur n'est définie par défaut. |
| Port Framework Channel externe | Numéro de port envoyé à Horizon Client pour le numéro de port TCP de destination utilisé avec le protocole Framework Channel. Le signe + devant le numéro indique un nombre relatif calculé par rapport au numéro de port utilisé pour HTTPS. Ne définissez cette valeur que si le numéro de port exposé en externe ne correspond pas au port sur lequel le service écoute. En général, ce numéro de port s'utilise dans un environnement NAT. Aucune valeur n'est définie par défaut. |
| Adresse IP externe | Adresse IPv4 envoyée à Horizon Client pour l'adresse IP de destination utilisée avec les protocoles secondaires (RDP, PCoIP, Framework Channel, etc.). Ne définissez cette valeur que si l'adresse exposée en externe ne correspond pas à celle de la machine de poste de travail. En général, cette adresse s'utilise dans un environnement NAT. Aucune valeur n'est définie par défaut. |
| Port PCoIP externe | Numéro de port envoyé à Horizon Client pour le numéro de port TCP/UDP de destination utilisé avec le protocole PCoIP. Le signe + devant le numéro indique un nombre relatif calculé par rapport au numéro de port utilisé pour HTTPS. Ne définissez cette valeur que si le numéro de port exposé en externe ne correspond pas au port sur lequel le service écoute. En général, ce numéro de port s'utilise dans un environnement NAT. Aucune valeur n'est définie par défaut. |
| Port RDP externe | Numéro de port envoyé à Horizon Client pour le numéro de port TCP de destination utilisé avec le protocole RDP. Le signe + devant le numéro indique un nombre relatif calculé par rapport au numéro de port utilisé pour HTTPS. Ne définissez cette valeur que si le numéro de port exposé en externe ne correspond pas au port sur lequel le service écoute. En général, ce numéro de port s'utilise dans un environnement NAT. Aucune valeur n'est définie par défaut. |
| Numéro de port HTTPS | Port TCP sur lequel le plug-in écoute les demandes HTTPS entrantes provenant d'Horizon Client. Si vous modifiez cette valeur, vous devez effectuer la modification correspondante dans le Pare-feu Windows pour autoriser le trafic entrant. La valeur par défaut est 443. |
Les numéros de ports externes et les valeurs d'adresses IP externes sont utilisés pour prendre en charge la traduction d'adresses réseau (Network Address Translation, NAT) et le mappage des ports. Pour plus d'informations, reportez-vous à Windows - Utilisation de la traduction d'adresses réseau et du mappage de ports
Pour l'authentification par carte à puce, l'autorité de certification (CA) qui signe les certificats de carte à puce doit exister dans le magasin de certificats Windows. Pour obtenir des informations sur l'ajout d'une autorité de certification, reportez-vous à
Windows - Configurer l'authentification par carte à puce.
Note : Si un utilisateur tente de se connecter à l'aide d'une carte à puce à une machine Windows 7 ou Windows Server 2008 R2 et que le certificat de la carte à puce a été signé par une autorité de certification intermédiaire, la tentative peut échouer, car Windows peut envoyer au client une liste d'émetteurs approuvés ne contenant pas les noms des autorités de certification intermédiaires. Le cas échéant, le client n'est pas en mesure de sélectionner un certificat de carte à puce correspondant. Pour éviter ce problème, définissez la valeur de registre
SendTrustedIssuerList (REG_DWORD) sur 0 dans la clé de registre
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL. Lorsque cette valeur de registre est définie sur 0, Windows n'envoie pas de liste d'émetteurs approuvés au client qui peut alors sélectionner tous les certificats valides de la carte à puce.
Paramètres de configuration du plug-in Horizon Agent Direct-Connection (Linux)
Pour les postes de travail Linux, les paramètres de configuration du plug-in Horizon Agent Direct-Connection se trouvent dans le fichier de configuration /etc/vmware/vadc/viewagent-vadc.conf.
Note : Le plug-in Horizon Agent Direct-Connection est pris en charge sur les postes de travail Linux exécutant
Horizon Agent 2111 ou version ultérieure.
| Paramètre | Description |
|---|---|
| AgentDisconnectTimeout | Période, en minutes, après la déconnexion de la session cliente, pendant laquelle Horizon Agent doit attendre avant de se déconnecter du poste de travail. Pour désactiver les déconnexions automatiques et laisser le client connecté au poste de travail indéfiniment, définissez la valeur sur 0. Pour vous déconnecter du poste de travail immédiatement lorsque le client déconnecte la session, définissez la valeur sur -1. La valeur par défaut est 0. |
| AgentEmptySessionLogoff | Spécifie s'il faut fermer la session ou se déconnecter de la session d'application après la période spécifiée dans la stratégie AgentEmptySessionTimeout. Pour spécifier l'action de déconnexion, définissez la valeur sur TRUE. Pour spécifier l'action de fermeture de session, définissez la valeur sur FALSE. Si ce paramètre n'est pas configuré, la valeur par défaut est FALSE. |
| AgentEmptySessionTimeout | Période d'attente, en minutes, après que l'utilisateur du client a fermé toutes les fenêtres d'application, au terme de laquelle Horizon Agent ferme la session ou se déconnecte de la session d'application. Pour que le client reste indéfiniment connecté ou en session d'application, définissez la valeur sur 0. Pour vous déconnecter ou fermer la session d'application immédiatement lorsque toutes les fenêtres d'application sont fermées, définissez la valeur sur -1. La valeur par défaut est de 1 minute. Cette stratégie de délai d'expiration est utilisée avec l'action (déconnexion ou fermeture de session) spécifiée dans la stratégie AgentEmptySessionLogoff. |
| AgentPreLaunchSessionTimeout | Durée maximale, en minutes, pendant laquelle Horizon Agent maintient une session d'application active si l'utilisateur client ne démarre pas l'application. Pour maintenir la session d'application indéfiniment active, définissez la valeur sur 0. La valeur par défaut est de 10 minutes. |
| ClientAlwaysConnect | La valeur peut être définie sur TRUE pour activer la stratégie ou sur FALSE pour la désactiver. Ce paramètre est envoyé à Horizon Client. Si cette stratégie est définie sur TRUE, elle remplace toutes les préférences client enregistrées. Aucune valeur n'est définie par défaut. |
| ClientAutoConnect | Ce paramètre remplace les préférences enregistrées d'Horizon Client. La valeur peut être définie sur TRUE pour activer la stratégie ou sur FALSE pour la désactiver. Aucune valeur n'est définie par défaut. |
| ClientCredentialCacheTimeout | Délai, en minutes, pendant lequel un client Horizon autorise un utilisateur à utiliser un mot de passe enregistré. 0 correspond à Jamais, -1 correspond à Toujours. Horizon Client donne aux utilisateurs la possibilité d'enregistrer leur mot de passe si ce paramètre est défini sur une valeur valide. Si ce paramètre n'est pas configuré, la valeur par défaut est 0 (jamais). |
| ClientScreenSize | Paramètre envoyé à Horizon Client. S'il est configuré, il remplace les préférences enregistrées du client. S'il n'est pas configuré, les préférences du client sont utilisées. |
| ClientSessionTimeout | Période en secondes, après la dernière activité utilisateur signalée, au terme de laquelle Horizon Client considère la session inactive et déconnectée. La valeur minimale est de 300 secondes (5 minutes). La valeur par défaut est de 36 000 secondes (10 heures). |
| CSRFProtectionEnabled | Spécifie s'il faut activer la protection CSRF en envoyant X-CSRF-TOKEN avec les demandes de service Web. Si la valeur est définie sur TRUE, la protection est activée. Si la valeur est définie sur FALSE, la protection est désactivée. L'option par défaut est TRUE. |
| DesktopName | Nom du poste de travail distant. Ce paramètre n'est pas configuré. Le poste de travail prend le nom de la machine hôte . |
| DisclaimerFile | Chemin d'accès au fichier contenant le texte de la clause de non-responsabilité présentée aux utilisateurs d'Horizon Client lors de la connexion. Aucune valeur n'est définie par défaut. |
| DomainName | Définit le nom de domaine FQDN des utilisateurs clients. Si vous joignez la machine à un domaine, le nom de domaine est récupéré automatiquement et ce paramètre n'est pas requis. Si vous utilisez un service d'authentification LDAP sans joindre la machine Linux à un domaine, configurez ce paramètre pour récupérer le nom de domaine. Remplacez la valeur de l'espace réservé |
| EntitleGroups | Groupe d'utilisateurs ou liste de groupes dont les membres sont autorisés à accéder à l'application ou au poste de travail de connexion directe. Par défaut, ce paramètre est configuré avec le groupe de droits Pour configurer des groupes de droits supplémentaires, ajoutez les noms de groupe à la liste de paramètres et utilisez des deux-points pour séparer les entrées. |
| ExternalBlastPort | Numéro de port envoyé à Horizon Client pour le numéro de port TCP de destination utilisé pour les connexions Blast via un périphérique de mappage de port. Le caractère + devant le numéro indique un nombre relatif par rapport au numéro de port utilisé pour NAT HTTPS. Ne définissez cette valeur que si le numéro de port exposé en externe ne correspond pas au port sur lequel le service écoute. Généralement, ce numéro de port est utilisé dans un environnement NAT. Aucune valeur n'est définie par défaut. |
| ExternalIPAddress | Adresse IPv4 envoyée à Horizon Client pour l'adresse IP de destination utilisée pour les connexions Blast via un périphérique de mappage de port. Ne définissez cette valeur que si l'adresse exposée en externe ne correspond pas à celle de la machine de poste de travail. En général, cette adresse est utilisée dans un environnement NAT. Aucune valeur n'est définie par défaut. |
| HTTPSPortNumber | Port TCP sur lequel le plug-in écoute les demandes HTTPS entrantes provenant d'Horizon Client. Le niveau par défaut est 8443. |
| MaxSessions | Nombre maximal de sessions de poste de travail publié ou d'application publiées pris en charge par Horizon Agent. Cette stratégie n'entre en vigueur que lorsque la machine Linux est configurée en tant qu'hôte à sessions multiples. La valeur par défaut est 50. |
| ResetEnabled | La valeur peut être définie sur TRUE ou FALSE. Lorsque ce paramètre est défini sur TRUE, Horizon Client authentifié peut effectuer un redémarrage au niveau du système d'exploitation. Lorsque ce paramètre n'est pas configuré, la valeur par défaut est FALSE, ce qui désactive la capacité de redémarrage. |
| SessionTimeout | Période pendant laquelle un utilisateur peut garder une session ouverte avec Horizon Client. La valeur est définie en minutes. La valeur -1 signifie permanent. La valeur par défaut est de 600 minutes (10 heures). Lorsque le délai arrive à expiration, toutes les sessions de poste de travail et d'applications de l'utilisateur sont déconnectées. |
| USBAutoConnect | La valeur peut être définie sur TRUE ou FALSE. Si elle est définie sur TRUE, Horizon Client connecte automatiquement les périphériques USB au poste de travail lorsqu'ils sont branchés. Si cette stratégie est définie, elle remplace toutes les préférences client enregistrées. Aucune valeur n'est définie par défaut. |
| UserIdleTimeout | En l'absence d'activité utilisateur sur Horizon Client pendant cette période, les sessions de poste de travail et d'application de l'utilisateur sont déconnectées. La valeur est définie en secondes. Une valeur de -1 signifie que les sessions ne sont jamais déconnectées. La valeur par défaut est de 900 secondes (15 minutes). |
| X509CertAuth | Niveau de prise en charge de l'authentification par certificat X.509 par carte à puce. La valeur peut être définie sur 0 (désactivé), 1 (autorisé) ou 2 (requis). La valeur par défaut est 0. |
