Horizon Client 包含可用來設定 Horizon Client 功能和行為的群組原則 ADMX 範本檔。您可以將 ADMX 範本檔中的原則設定新增至 Active Directory 中新的或現有的 GPO,藉以最佳化及保護遠端桌面平台和已發佈的應用程式連線。

此範本檔包含「電腦組態」與「使用者組態」群組原則。

  • [電腦組態] 原則設定適用於 Horizon Client 的原則,不論在主機上執行用戶端的是誰。
  • 「使用者組態」原則設定的 Horizon Client 原則會套用至所有執行 Horizon Client 的使用者以及 RDP 連線設定。「使用者組態」原則會覆寫對等的「電腦組態」原則。

Horizon Client 會在遠端桌面平台和已發佈的應用程式啟動時以及使用者登入時套用原則。

Horizon Client 組態 ADMX 範本檔 (vdm_client.admx) 和所有提供群組原則設定的 ADMX 檔案皆可從 VMware-Horizon-Extras-Bundle-YYMM-x.x.x-yyyyyyy.zip 中取得,其中 YYMM 為行銷版本號碼,x.x.x 為內部版本號碼, yyyyyyy 為組建編號。您可以從 VMware 下載網站下載此 ZIP 檔案,網址為:https://my.vmware.com/web/vmware/downloads。您必須將此檔案複製到 Active Directory 伺服器,並使用群組原則管理編輯器新增系統管理範本。如需指示,請參閱 《Horizon 遠端桌面平台功能和 GPO》 文件。

用戶端 GPO 的指令碼定義設定

您可以為許多從命令列執行 Horizon Client 時可設定的相同設定進行群組原則設定,包括遠端桌面平台視窗大小、登入使用者名稱和登入網域名稱。

下表說明 VMware Horizon Client 組態 ADMX 範本檔中的指令碼定義設定。此範本檔提供每個指令碼定義設定的「電腦組態」和「使用者組態」版本。「使用者組態」設定會覆寫對等的「電腦組態」設定。這些設定會出現在群組原則管理編輯器的 VMware Horizon Client 組態 > 指令碼定義資料夾中。

表 1. VMware Horizon Client 組態範本:指令碼定義
設定 說明
Automatically connect if only one launch item is entitled 如果使用者僅有權使用一個遠端桌面平台,請將使用者連線至該遠端桌面平台。此設定可讓使用者無需從只包含一個遠端桌面平台的清單中選取遠端桌面平台。
Connect all USB devices to the desktop or remote application on launch

決定在遠端桌面平台或已發佈的應用程式啟動時,用戶端系統上所有可用的 USB 裝置是否會連線至遠端桌面平台或已發佈的應用程式。

Connect USB devices to the desktop or remote application when they are plugged in

決定在 USB 裝置插入用戶端系統時,這些裝置是否會連線至遠端桌面平台或已發佈的應用程式。

DesktopLayout

指定使用者在登入遠端桌面平台時看到的 Horizon Client 視窗配置。配置選項如下:

  • Full Screen
  • Multimonitor
  • Window - Large
  • Window - Small

此設定只有在同時設定DesktopName to select setting時才可用。

DesktopName to select 指定 Horizon Client 在登入期間使用的預設桌面平台。
Disable 3rd-party Terminal Services plugins 決定 Horizon Client 是否檢查安裝為一般 RDP 外掛程式的協力廠商終端機服務外掛程式。如果您並未設定此設定,Horizon Client 預設為檢查協力廠商外掛程式。此設定不會影響 Horizon 專用的外掛程式,例如 USB 重新導向。
Locked Guest Size 如果顯示用於一台監視器上,請指定遠端桌面平台的螢幕解析度。如果您將遠端桌面平台顯示設定為所有監視器,則此設定不會正常運作。

啟用此設定後,系統會停用遠端桌面平台自動調整功能,且會在 Horizon Client 使用者介面中隱藏允許顯示調整值選項。

Logon DomainName 指定 Horizon Client 登入時使用的 NetBIOS 網域。
Logon Password 指定 Horizon Client 登入時使用的密碼。Active Directory 會以純文字格式儲存密碼。為提高安全性,請勿指定此設定。使用者能以互動式方法輸入密碼。
Logon UserName

指定 Horizon Client 登入時使用的密碼。Active Directory 會以純文字格式儲存密碼。

Server URL 指定 Horizon Client 登入時使用的 URL,例如 https://view1.example.com
Suppress error messages (when fully scripted only)

決定是否在登入期間隱藏 Horizon Client 錯誤訊息。

此設定僅適用於完全以指令碼撰寫登入程序時,例如,當所有必要的登入資訊都是透過群組原則預先填入時。

如果因為登入資訊不正確造成登入失敗,使用者並不會收到通知,且 Horizon Client 程序將會終止。

Disconnected application session resumption behavior

決定當使用者重新連線至伺服器時,執行中已發佈應用程式的行為執行方式。選擇如下所示:

  • 要求重新連線以開啟應用程式
  • 自動重新連線以開啟應用程式
  • 不詢問且不自動重新連線

此設定啟用時,使用者將無法在 Horizon Client 中設定已發佈應用程式的重新連線行為。

此設定停用時,使用者將可在 Horizon Client 中設定已發佈應用程式的重新連線行為。此設定依預設為停用。

Enable Unauthenticated Access to the server 決定使用者在使用 Horizon Client 時是否必須輸入認證才能存取其已發佈的應用程式。

啟用此設定時,Horizon Client 中的未驗證存取設定會顯示為停用狀態,並且已選取。如果「未驗證存取」無法使用,則用戶端可能會回復為使用其他驗證方法。

當此設定停用時,使用者一律必須輸入認證才能登入並存取其已發佈的應用程式。Horizon Client 中的未驗證存取設定會隱藏並取消選取。

依預設,使用者可以在 Horizon Client 中啟用「未驗證存取」。未驗證存取設定會顯示為啟用狀態,並且取消選取。

Account to use for Unauthenticated Access 指定在Enable Unauthenticated Access to the server群組原則設定啟用時,或使用者在 Horizon Client 中選取未驗證存取以啟用「未驗證存取」時,讓 Horizon Client 用來匿名登入伺服器的「未驗證存取」使用者帳戶。

如果「未驗證存取」未用於特定的伺服器連線,則會忽略此設定。依預設,使用者可以選取帳戶。

Use existing client instance when connect to same server

決定是否將連線新增至使用者已連線至相同伺服器的現有 Horizon Client 執行個體。

未設定時,依預設會停用此設定。

用戶端 GPO 的安全性設定

安全性設定包括憑證、登入認證、單一登入功能和私人模式的群組原則。

下表說明 Horizon Client 組態 ADMX 範本檔中的安全性設定。此表格說明設定是同時包含「電腦組態」和「使用者組態」設定,還是僅包含「電腦組態」設定。對於兩種設定的安全性設定而言,「使用者組態」設定會覆寫同等的「電腦組態」設定。這些設定會出現在群組原則管理編輯器的 VMware Horizon Client 組態 > 安全性設定資料夾中。

表 2. Horizon Client 組態範本:安全性設定
設定 電腦 使用者 說明
Enable privacy mode for Horizon Cloud on Azure next-gen X

決定在登入和登出期間對 VMware Horizon Cloud Service - next-gen 使用者進行驗證時,Horizon Client 是否強制實施隱私權模式。

啟用此設定時,會強制執行隱私權模式。使用者必須進行驗證才能登入用戶端,而且會在從目前伺服器中斷連線或結束用戶端時被重新導向至瀏覽器型 IDP 登出頁面。

如果停用或未配置此設定,隱私權模式處於停用狀態且不會強制實施。

Allow command line credentials X 決定是否可以透過 Horizon Client 命令列選項提供使用者認證。如果已停用此設定,則使用者從命令列執行 Horizon Client 時就無法使用 smartCardPINpassword 選項。

此設定依預設為啟用。

對等的 Windows 登錄值為 AllowCmdLineCredentials

Configures the SSL Proxy certificate checking behavior of the Horizon Client X 針對 Blast 安全閘道和安全通道連線,決定是否允許針對透過 SSL Proxy 伺服器的次要連線進行憑證檢查。

未設定此設定時 (預設值),使用者可以在 Horizon Client 中手動變更 SSL Proxy 設定。請參閱在 Horizon Windows Client 上設定憑證檢查模式

依預設,Horizon Client 會針對 Blast 安全閘道和安全通道連線封鎖 SSL Proxy 連線。

Servers Trusted For Delegation X

指定有哪些連線伺服器執行個體會接受使用者在 Horizon Client 功能表列的選項功能表中選取以目前使用者身分登入時所傳遞的使用者身分識別和認證資訊。如果未指定任何連線伺服器執行個體,則所有連線伺服器執行個體都會接受這項資訊,除非您在 Horizon Console 中為連線伺服器執行個體停用允許以目前使用者身分登入驗證設定。

若要新增連線伺服器執行個體,請使用下列其中一種格式:

對等的 Windows 登錄值為 BrokersTrustedForDelegation

Certificate verification mode X 設定 Horizon Client 執行的憑證檢查層級。您可以選取下列其中一種模式:
  • No Security。不會執行憑證檢查。
  • Warn But Allow。如果憑證檢查因伺服器使用自我簽署憑證而失敗,使用者將會看到警告,但可加以忽略。針對自我簽署憑證,憑證名稱不需要符合使用者在 Horizon Client 中輸入的伺服器名稱。

    如果發生任何其他憑證錯誤情況,則 Horizon Client 會顯示錯誤,並防止使用者連線至伺服器。

    Warn But Allow是預設值。

  • Full Security。如果發生任何類型的憑證錯誤,使用者就無法連線至伺服器。Horizon Client 會對使用者顯示憑證錯誤。
備註: 在 FIPS 模式下執行時,您無法變更憑證驗證模式。在 FIPS 模式下,永遠都會選取 [完整安全性檢查] 選項,這意味著僅接受可完整驗證的 CA 簽署伺服器憑證。

設定此設定時,使用者可以檢視 Horizon Client 中選取的憑證驗證模式,但是無法進行設定。[憑證檢查模式] 對話方塊會通知使用者管理員已鎖定此設定。

當此設定停用時,Horizon Client 使用者可以選取憑證檢查模式。此設定依預設為停用。

若要允許伺服器執行 Horizon Client 提供的憑證選取,用戶端必須建立對連線伺服器或安全伺服器主機的 HTTPS 連線。如果您將 TLS 卸載至與連線伺服器或安全伺服器主機建立 HTTP 連線的中繼裝置,則不支援憑證檢查。

如果您不想將此設定設為群組原則,您也可以將 CertCheckMode 值名稱新增至用戶端電腦上的下列其中一個登錄機碼,以啟用憑證驗證:

  • 針對 32 位元 Windows:HKEY_LOCAL_MACHINE\Software\VMware, Inc.\VMware VDM\Client\Security
  • 針對 64 位元 Windows:HKLM\SOFTWARE\WOW6432Node\VMware, Inc.\VMware VDM\Client\Security

在登錄機碼中使用下列各值:

  • 0 會實作 No Security
  • 1 會實作 Warn But Allow
  • 2 會實作 Full Security

如果您在 Windows 登錄機碼中同時設定了群組原則設定及 CertCheckMode 設定,則群組原則設定的優先順序會高於登錄機碼值。

備註: 在未來的 Horizon Client 版本中,可能不再支援使用 Windows 登錄來設定此設定,而必須使用群組原則設定。
Default value of the 'Log in as current user' checkbox X X

指定 Horizon Client 功能表列的選項功能表中以目前使用者身分登入的預設值。

此設定會覆寫 Horizon Client 安裝期間指定的預設值。

如果使用者從命令列執行 Horizon Client 並指定 logInAsCurrentUser 選項,則該值會覆寫此設定。

選項功能表中選取以目前使用者身分登入時,使用者登入用戶端系統時所提供的身分識別和認證資訊都會傳遞至連線伺服器執行個體,且最終會傳遞至遠端桌面平台或已發佈的應用程式。如果取消選取以目前使用者身分登入,則使用者必須多次提供身分識別和認證資訊,才能存取遠端桌面平台或已發佈的應用程式。

此設定依預設為停用。

對等的 Windows 登錄值為 LogInAsCurrentUser

Display option to Log in as current user X X

決定以目前使用者身分登入是否會顯示在 Horizon Client 功能表列的選項功能表中。

以目前使用者身分登入顯示時,使用者將可加以選取或取消選取,並覆寫其預設值。以目前使用者身分登入隱藏時,使用者將無法從 Horizon Client選項功能表覆寫其預設值。

您可以使用原則設定 Default value of the 'Log in as current user' checkbox,指定以目前使用者身分登入的預設值。

此設定依預設為啟用。

對等的 Windows 登錄值為 LogInAsCurrentUser_Display

Enable jump list integration

X 決定跳躍清單是否會出現在 Windows 7 及更新版本系統工作列上的 Horizon Client 圖示中。跳躍清單可讓使用者連線至最近的伺服器、遠端桌面平台和已發佈的應用程式。

如果 Horizon Client 為共用狀態,您可能不希望使用者看到最近的桌面平台和已發佈的應用程式名稱。您可以停用此設定以停用跳躍清單。

此設定依預設為啟用。

對等的 Windows 登錄值為 EnableJumplist

Enable show password button X 確定是否要在 [密碼] 欄位旁顯示 [密碼顯示] 圖示。按一下 [密碼顯示] 圖示即可顯示密碼。

此設定依預設為停用。

Enable SSL encrypted framework channel X X 決定是否為 View 5.0 及更早版本的遠端桌面平台啟用 TLS。在 Wiew 5.0 之前,透過連接埠 TCP 32111 傳送至遠端桌面平台的資料不會加密。
  • 啟用:啟用 TLS,但如果遠端桌面平台沒有 TLS 支援,則允許回復為之前的未加密連線。例如,View 5.0 和更早版本的桌面平台並沒有 TLS 支援。啟用是預設設定。
  • 停用:停用 TLS。如果通道不存在,且之後可能由 WAN 加速器產品進行最佳化,則此設定可能有用。
  • 強制執行:啟用 TLS,並拒絕連線至沒有 TLS 支援的遠端桌面平台。

對等的 Windows 登錄值為 EnableTicketSSLAuth

Configures Signature Algorithms Extension 指定 TLS v1.2 的簽章演算法。以 algorithm+hash 形式,輸入以冒號分隔的簽章演算法清單,並依優先順序從高到低排列。請注意,演算法和雜湊名稱區分大小寫。例如:RSA+SHA256:ECDSA+SHA256

如果未設定此選項,預設值為 OpenSSL 程式庫所支援的所有簽章演算法。

Configures SSL protocols and cryptographic algorithms X X 設定加密清單,以限制在建立加密 TLS 連線之前對某些密碼編譯演算法和通訊協定的使用。加密清單由一個或多個以冒號分隔的加密字串組成。加密字串須區分大小寫。

預設值為 TLSv1.1:TLSv1.2:!aNULL:kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES

此加密字串表示會啟用 TLS v1.1 和 TLS v1.2,並停用 SSL v.2.0、SSL v3.0 和 TLS v1.0。SSL v2.0、SSL v3.0 和 TLS v1.0 已不再是核准的通訊協定,且會永久停用。

加密套件會使用具有 128 位元或 256 位元 AES 的 ECDHE、ECDH 和 RSA。GCM 是慣用模式。

如需詳細資訊,請參閱 http://www.openssl.org/docs/apps/ciphers.html

對等的 Windows 登錄值為 SSLCipherList

Configures Supported Groups Extension 設定支援的橢圓曲線群組。輸入使用冒號分隔的曲線清單。請注意,曲線名稱區分大小寫。例如:P-256:P-384

如果未設定此選項並提供 ECDHE 加密套件,則預設值為 OpenSSL 程式庫支援的所有簽章演算法。

Enable Single Sign-On for smart card authentication X 決定是否啟用智慧卡驗證的單一登入。啟用單一登入時,Horizon Client 會先將加密的智慧卡 PIN 儲存在暫存記憶體中,再提交至連線伺服器。停用單一登入時,Horizon Client 不會顯示自訂 PIN 碼對話方塊。

對等的 Windows 登錄值為 EnableSmartCardSSO

Do not check certificate revocation status X X 決定是否檢查憑證撤銷狀態。啟用此 GPO 後,即使伺服器所傳送的憑證已撤銷或憑證撤銷檢查已知無法執行 (例如,若網際網路連線受到限制),Horizon Client 仍會將伺服器的憑證視為有效。

此設定依預設為停用。

備註: 啟用此設定時,用戶端可能只會在伺服器憑證驗證期間使用快取的 URL。快取的 URL 資訊類型可以是 CRL 發佈點 (CDP) 和授權機構資訊存取 (OCSP 和 CA 簽發者存取方法)。
Strict certification revocation check 當啟用時,如果 Horizon Client 無法驗證憑證撤銷狀態,將拒絕連線至伺服器。停用此設定時,用戶端會檢查撤銷,但不會根據撤銷狀態封鎖連線。Do not check certificate revocation status GPO 的優先順序高於此 GPO,兩者請勿一起使用。

此設定依預設為停用。

Unlock remote sessions when the client machine is unlocked X X 決定是否啟用「遞迴解除鎖定」功能。遞迴解除鎖定功能可在用戶端機器解除鎖定之後才解除鎖定所有遠端工作階段。在使用者利用「以目前使用者身分登入」功能登入伺服器後才會套用此功能。

此設定依預設為啟用。

下列設定會出現在群組原則管理編輯器的 VMware Horizon Client 組態 > 安全性設定 > NTLM 設定資料夾中。

表 3. Horizon Client 組態範本:安全性設定、NTLM 驗證設定
設定 電腦 使用者 說明
Allow NTLM Authentication X 啟用此設定時,以目前使用者身分登入功能會允許 NTLM 驗證。停用此設定時,則不會將 NTLM 驗證用於任何伺服器。

啟用此設定時,您可以從允許從 Kerberos 後援至 NTLM下拉式功能表中選取

  • 如果您選取,當用戶端無法擷取伺服器的 Kerberos 票證時,即可能使用 NTLM 驗證。
  • 如果您選取,則僅允許對一律使用 NTLM 伺服器群組原則設定中列出的伺服器執行 NTLM 驗證。

未進行此設定時,則允許對一律使用 NTLM 伺服器群組原則設定中列出的伺服器進行 NTLM 驗證。

若要使用 NTLM 驗證,伺服器 SSL 憑證必須是有效的,且 Windows 原則不得限制使用 NTLM。

如需如何在連線伺服器執行個體中設定從 Kerberos 後援至 NTLM 的相關資訊,請參閱《Horizon 概觀和部署規劃》指南中的〈使用隨 Windows 型 Horizon Client 提供的以目前使用者身分登入功能〉。

Always use NTLM for servers X 啟用此設定時,以目前使用者身分登入功能將一律對列出的伺服器使用 NTLM 驗證。若要建立伺服器清單,請按一下顯示,然後在資料行中輸入伺服器名稱。伺服器的命名格式為完整網域名稱 (FQDN)。

用戶端 GPO 的 RDP 設定

使用 Microsoft RDP 顯示通訊協定時,您可以為如音訊、印表機、連接埠和其他裝置的重新導向等選項設定群組原則設定。

下表說明 Horizon Client 組態 ADMX 範本檔中的遠端桌面平台通訊協定 (RDP) 設定。所有 RDP 設定都是「使用者組態」設定。這些設定會出現在群組原則管理編輯器的 VMware Horizon Client 組態 > RDP 設定資料夾中。

表 4. Horizon Client 組態管理範本:RDP 設定
設定 說明
Audio redirection

決定是否重新導向遠端桌面平台上播放的音訊資訊。選取下列其中一項設定:

  • 停用音訊:停用音訊。
  • 在虛擬機器中播放 (為 VoIP USB 支援所需):在遠端桌面平台內播放音訊。此設定需要共用的 USB 音訊裝置,才能在用戶端上提供聲音。
  • 重新導向至用戶端:音訊重新導向至用戶端。此設定是預設模式。

此設定僅適用於 RDP 音訊。透過 MMR 重新導向的音訊會在用戶端上播放。

Enable audio capture redirection

決定是否將預設音訊輸入裝置從用戶端重新導向至遠端工作階段。啟用此設定時,用戶端上的錄音裝置會出現在遠端桌面平台上,而且可以錄製音訊輸入。

預設設定會遭到停用。

Bitmap cache file size in unit 為單位的 for number bpp bitmaps 指定點陣圖快取的大小 (以 KB 或 MB 為單位),用於特定的每個畫素位元 (bpp) 點陣圖色彩設定。

針對下列單位和 bpp 組合,提供此設定的不同版本:

  • MB/8bpp
  • MB/16bpp
  • MB/24bpp
  • MB/32bpp
In-memory bitmap cache size in KB for 8bpp bitmaps 指定用於每個像素 8 位元顏色設定的 RAM 點陣圖快取大小 (以 KB 為單位)。如果 ScaleBitmapCachesByBPP 為 true (預設值),則此快取大小會與每一像素的位元組數相乘,用以決定實際的 RAM 快取大小。

此設定啟用時,請輸入以 KB 為單位的大小。

Bitmap caching/cache persistence active 決定是否使用持續性點陣圖快取 (作用中)。持續性點陣圖快取可改善效能,但需要額外的磁碟空間。
Color depth

指定遠端桌面平台的色彩深度。選取下列其中一項可用設定:

  • 8 位元
  • 15 位元
  • 16 位元
  • 24 位元
  • 32 位元
Cursor shadow 決定遠端桌面平台上的指標下方是否出現陰影。
Desktop background 決定用戶端連線到遠端桌面平台時是否出現桌面平台背景。
Desktop composition

決定是否在遠端桌面平台上啟用桌面平台轉譯緩衝處理。

啟用桌面平台轉譯緩衝處理時,個別視窗將不再如舊版 Microsoft Windows 中一般,直接繪製到螢幕或主要顯示裝置上。繪圖會重新導向至視訊記憶體中的螢幕外介面,接著再轉譯到桌面平台影像中,並呈現於顯示器上。

Enable compression 決定是否壓縮 RDP 資料。此設定依預設為啟用。
Enable RDP Auto-Reconnect 決定 RDP 用戶端元件是否在 RDP 通訊協定連線失敗後,嘗試重新連線到遠端桌面平台。如果已在 Horizon Console 中啟用使用安全通道連線至桌面平台選項,則此設定沒有任何作用。此設定依預設為停用。
Font smoothing 決定是否將消除鋸齒套用至遠端桌面平台上的字型。
Menu and window animation 決定是否在用戶端連線到遠端桌面平台時啟用功能表和視窗的動畫。
Redirect clipboard 決定是否在用戶端連線到遠端桌面平台時重新導向本機剪貼簿資訊。
Redirect drives 決定是否在用戶端連線到遠端桌面平台時重新導向本機磁碟機。預設會重新導向本機磁碟機。

啟用此設定或維持此設定不變,即可將遠端桌面平台上重新導向的磁碟機上的資料複製到用戶端電腦上的磁碟機。如果允許從遠端桌面平台將資料傳遞至使用者的用戶端電腦會在您的部署中暴露出潛在的安全性風險,請停用此設定。另一種方式是啟用 Microsoft Windows 群組原則設定Do not allow drive redirection,藉以停用遠端桌面平台虛擬機器中的資料夾重新導向。

Redirect drives設定僅適用於 RDP。

Redirect printers 決定是否在用戶端連線到遠端桌面平台時重新導向本機印表機。
Redirect serial ports 決定是否在用戶端連線到遠端桌面平台時重新導向本機 COM 連接埠。
Redirect smart cards 決定是否在用戶端連線到遠端桌面平台時重新導向本機智慧卡。
備註: 此設定會同時套用至 RDP 和 PCoIP 連線。
Redirect supported plug-and-play devices 決定是否在用戶端連線到遠端桌面平台時重新導向本機隨插即用和銷售點裝置。此行為與代理程式之 USB 重新導向元件所管理的重新導向不同。
Shadow bitmaps 決定點陣圖是否加上陰影。此設定在全螢幕模式下沒有作用。
Show contents of window while dragging 決定使用者將資料夾拖曳至新位置時是否顯示資料夾內容。
Themes 決定用戶端連線到遠端桌面平台時是否顯示主題。
Windows key combination redirection 決定套用 Windows 組合鍵的位置。

此設定可讓您將組合鍵傳送至遠端虛擬機器,或在本機上套用組合鍵。

依預設組合鍵會套用至本機。

Enable Credential Security Service Provider 指定遠端桌面平台連線是否使用網路層級驗證 (NLA)。如果客體作業系統需要 NLA 以進行遠端桌面平台連線,您就必須啟用此設定,否則 Horizon Client 可能無法連線至遠端桌面平台。除了啟用此設定之外,您還必須驗證是否符合下列條件:
  • 用戶端和客體作業系統都支援 NLA。
  • 已啟用連線伺服器執行個體的直接用戶端連線。NLA 不支援通道連線。

用戶端 GPO 的一般設定

一般設定包括 Proxy 選項、時區轉送、多媒體加速和其他顯示設定。

下表說明 Horizon Client 組態 ADMX 範本檔中的一般設定。一般設定同時包含「電腦組態」和「使用者組態」設定。「使用者組態」設定會覆寫對等的「電腦組態」設定。這些設定會出現在群組原則管理編輯器的 VMware Horizon Client 組態資料夾中。

表 5. Horizon Client 組態範本:一般設定
設定 電腦 使用者 說明
Allow Blast connections to use operating system proxy settings X 設定對 VMware Blast 連線使用 Proxy 伺服器。

啟用此設定時,VMware Blast 可透過 Proxy 伺服器進行連線。

停用此設定時,VMware Blast 則無法使用 Proxy 伺服器。

未進行此設定 (預設值) 時,使用者可以在 Horizon Client 使用者介面中設定 VMware Blast 連線是否可使用 Proxy 伺服器。請參閱為 Horizon Windows Client 設定 VMware Blast 選項

Allow data sharing X 啟用此設定時,Horizon Client 使用者介面中的資料共用模式設定會設為「開啟」,且使用者無法變更此設定。

停用此設定時,Horizon Client 使用者介面中的資料共用模式設定會設為「關閉」,且使用者無法變更此設定。

未設定此設定時 (預設值),使用者可以變更 Horizon Client 使用者介面中的資料共用模式設定。

Allow display scaling X X

啟用此設定時,系統會針對所有遠端桌面平台和已發佈應用程式啟用顯示調整值功能。

停用此設定時,系統會針對所有遠端桌面平台和已發佈的應用程式停用顯示調整值功能。

如果未設定此設定 (預設設定),則使用者可以啟用或停用 Horizon Client 使用者介面中的顯示調整值功能。

您也可以透過啟用鎖定客體大小群組原則設定來隱藏 Horizon Client 使用者介面中的顯示調整值喜好設定。

Allow H.264 Decoding X 設定 VMware Blast 通訊協定的 H.264 解碼。

啟用此設定時,H.264 解碼成為慣用選項。

停用此設定時,則永遠不會使用 H.264 解碼。

未設定此設定時,使用者可以選擇是否要啟用 H.264 解碼。請參閱為 Horizon Windows Client 設定 VMware Blast 選項

Allow H.264 high color accuracy X 設定 H.264 的高色彩準確度模式。

此設定僅會在啟用 H.264 解碼時生效。

未設定此設定時,使用者可以選擇是否啟用高色彩準確度模式。請參閱為 Horizon Windows Client 設定 VMware Blast 選項

Allow HEVC Decoding X 設定 VMware Blast 通訊協定的 HEVC (也稱為 H.265) 解碼。

啟用此設定時,HEVC 解碼成為慣用選項。

停用此設定時,則永遠不會使用 HEVC 解碼。

未設定此設定時,使用者可以選擇是否要啟用 HEVC 解碼。請參閱為 Horizon Windows Client 設定 VMware Blast 選項

Allow user to skip Horizon Client update X 指定使用者是否可以在 Horizon Client 更新視窗中按一下略過按鈕。如果使用者按一下略過,則在下一個 Horizon Client 版本可供使用之前,將不會看到另一個更新通知。
Always hide the remote floating language (IME) bar for Hosted Apps X X 強制關閉應用程式工作階段的浮動語言列。當此設定啟用時,無論本機 IME 功能是否啟用,已發佈應用程式工作階段中一律不會顯示浮動語言列。當此設定停用時,僅在停用本機 IME 功能時才會顯示浮動語言列。此設定依預設為停用。
Always on top X 決定 Horizon Client 視窗是否始終是最頂端的視窗。啟用此設定可防止 Windows 工作列遮住全螢幕 Horizon Client 視窗。此設定依預設為停用。
Automatic input focus in a virtual desktop window X X 啟用此設定時,如果使用者將遠端桌面平台帶到前端,則 Horizon Client 會自動將輸入傳送至遠端桌面平台。換句話說,焦點不會在視窗的框架中,並且使用者不需再於遠端桌面平台的視窗中按一下來移動焦點。
Automatically check for updates X 指定是否自動檢查 Horizon Client 的軟體更新。此設定會控制 Horizon Client 更新視窗上的檢查更新並顯示徽章通知核取方塊。此設定依預設為啟用。
Automatically install shortcuts when configured on the Horizon server X X 在連線伺服器執行個體上設定已發佈的應用程式和遠端桌面平台捷徑時,此設定會指定當使用者連線至伺服器時捷徑的安裝方式,以及是否安裝在用戶端機器上。

此設定啟用時,系統會在用戶端機器上安裝捷徑。系統不會提示使用者安裝捷徑。

此設定停用時,則一律不在用戶端機器上安裝捷徑。系統不會提示使用者安裝捷徑。

依預設系統會提示使用者安裝捷徑。

Automatically synchronize the keypad, scroll and caps lock keys X 此設定啟用時,Num Lock、Scroll Lock 和 Caps Lock 鍵的切換狀態會從用戶端裝置同步至遠端桌面平台。在 Horizon Client 中,系統會選取自動同步數字鍵台、捲軸和 Caps Lock 鍵設定核取方塊,且設定會無法使用。

此設定停用時,鎖定鍵切換狀態會從遠端桌面平台同步至用戶端裝置。在 Horizon Client 中,系統會取消選取自動同步數字鍵台、捲軸和 Caps Lock 鍵設定核取方塊,且設定會無法使用。

此設定啟用或停用時,使用者將無法在 Horizon Client 中修改自動同步數字鍵台、捲軸和 Caps Lock 鍵設定。

若未進行此設定,則使用者可以透過在 Horizon Client 中設定自動同步數字鍵台、捲軸和 Caps Lock 鍵設定,來啟用或停用遠端桌面平台的鎖定鍵同步。請參閱在 Horizon Windows Client 上設定鎖定鍵同步

此設定依預設不會設定。

Block multiple Horizon Client instances per Windows session X 防止使用者在 Windows 工作階段期間啟動多個 Horizon Client 執行個體。

此設定啟用時,Horizon Client 會以單一執行個體模式執行,且使用者無法在 Windows 工作階段中啟動多個 Horizon Client 執行個體。

此設定停用時,使用者可以在 Windows 工作階段中啟動多個 Horizon Client 執行個體。此設定依預設為停用。

Client behavior when all sessions are disconnected X X 自訂所有工作階段中斷連線時的用戶端行為。您可以將用戶端設定為在所有工作階段中斷連線時結束、登出連線伺服器,或僅將其保持在目前狀態。

如果未設定此設定,用戶端會以預設方式執行。

Configure maximum latency for mouse coalescing X 設定聯合滑鼠移動事件時所允許的延遲上限 (以毫秒為單位)。有效值為 0 到 50。值為 0 時,系統會停用功能。

聯合滑鼠移動事件可以降低用戶端至代理程式的頻寬使用,但可能會輕微增加滑鼠移動的延遲。

此設定依預設為停用。

Custom error screen footer X 可讓您在所有 Horizon Client 錯誤訊息的底部新增自訂說明文字。您必須在本機用戶端系統上以純文字 (.txt) 檔案提供說明文字。此文字檔案最多可包含 2048 個字元 (包括控制字元在內)。同時支援 ANSI 和 Unicode 兩種編碼。

此設定啟用時,您可以在顯示的文字方塊中指定含有自訂說明文字的檔案完整路徑,例如 C:\myDocs\errorFooter.txt

此設定依預設為停用。

Default value of the "Hide the selector after launching an item" check box X X 設定是否要依預設選取啟動項目後隱藏選取器核取方塊。此設定依預設為停用。
Disable desktop disconnect messages X X 指定是否停用遠端桌面平台中斷連線訊息。依預設會顯示這些訊息。
Disable server session time out message X X 指定是否停用伺服器工作階段逾時訊息。依預設會顯示此訊息。
Disable sharing files and folders X 指定是否可在 Horizon Client 中使用用戶端磁碟機重新導向功能。

此設定啟用時,Horizon Client 中的所有用戶端磁碟機重新導向功能都會停用,包括使用已發佈的應用程式開啟本機檔案的功能。此外,下列是 Horizon Client 使用者介面中隱藏的元素:

  • [設定] 對話方塊中的 [共用] 面板。
  • 遠端桌面平台選項功能表中的共用資料夾項目。
  • 系統匣中 Horizon Client共用項目。
  • 當您連線至伺服器後,第一次連線至遠端桌面平台或應用程式時所顯示的 [共用] 對話方塊。

此設定停用時,用戶端磁碟機重新導向功能可完全正常運作。此設定依預設為停用。

Disable time zone forwarding X 決定是否停用遠端桌面平台與已連線用戶端之間的時區同步處理。
Disable toast notifications X X 決定是否停用來自 Horizon Client 的快顯通知。

如果您不希望使用者在螢幕角落看到快顯通知,請啟用此設定。

備註: 如果啟用此設定,使用者就不會在「工作階段逾時」功能作用中時看見五分鐘的警告。
Disallow passing through client information in a nested session X 指定是否要防止 Horizon Client 在巢狀工作階段中傳遞用戶端資訊。啟用此設定時,Horizon Client 若是在遠端工作階段內執行,將會傳送實際的實體用戶端資訊,而不是虛擬機器裝置資訊。此設定會套用至下列用戶端資訊:裝置名稱和網域、用戶端類型、IP 位址以及 MAC 位址。依預設會停用此設定,這表示允許在巢狀工作階段中傳遞用戶端資訊。
Display modifier function key X X 指定使用者可以按下的切換輔助按鍵和功能鍵組合,以便在 PCoIP 或 VMware Blast 遠端桌面平台工作階段中擷取並插入輸入時,變更用戶端機器上的顯示組態。

未設定此設定時 (預設設定),使用者必須使用滑鼠來取消擷取遠端桌面平台,然後按下 Windows 標誌鍵 + P 來選取簡報顯示模式。

此設定不適用於已發佈的應用程式工作階段。

Disable opening local files in hosted applications X 指定 Horizon Client 是否要登錄主控應用程式支援的副檔名所適用的本機處理常式。

此設定啟用時,Horizon Client 將不會登錄任何副檔名處理常式,且不允許使用者覆寫此設定。

此設定停用時,Horizon Client 一律會登錄副檔名處理常式。依預設,系統會登錄副檔名處理常式,但使用者可在 Horizon Client 使用者介面中停用此功能;方法是在 [設定] 對話方塊的 [共用] 面板上,使用開啟從本機檔案系統以遠端應用程式開啟本機檔案的功能設定。如需詳細資訊,請參閱在 Horizon Windows Client 上共用本機資料夾和磁碟機

此設定依預設為停用。

Don't check monitor alignment on spanning X 根據預設,如果畫面合併時未形成精確的矩形,用戶端桌面平台就不會跨越多部監視器。啟用此設定會覆寫預設值。此設定依預設為停用。
Enable multi-media acceleration X

決定是否在用戶端上啟用多媒體重新導向 (MMR)。

如果 Horizon Client 視訊顯示硬體沒有重疊支援,則 MMR 無法正確運作。

Enable relative mouse X X 使用 PCoIP 顯示通訊協定時啟用相對滑鼠。相對滑鼠模式會改進某些圖形應用程式和遊戲的滑鼠行為。如果遠端桌面平台不支援相對滑鼠,則不會使用此設定。此設定依預設為停用。
Enable the shade X 決定是否顯示 Horizon Client 視窗頂端的「網底」功能表列。此設定依預設為啟用。
備註: 「網底」功能表列在 Kiosk 模式下預設為停用狀態。
Enable Horizon Client online update X 啟用線上更新功能。此設定依預設為啟用。
備註: 當您透過命令列安裝 Horizon Client 時,您也可以將 AUTO_UPDATE_ENABLED 內容設為 0 來停用線上更新功能。如需詳細資訊,請參閱 從命令列安裝 Horizon Client
Enable Split Mks Window X

此設定為將 Windows 版 Horizon Client 2106 或更新版本與 Cisco WebEx 和 Zoom 等統一通訊 (UC) 應用程式搭配使用時遇到的顯示問題提供暫時的因應措施。此設定依預設為啟用。

如果您的 UC 廠商尚未提供可修正此顯示問題的應用程式更新,您可以藉由停用此設定來實作暫時的因應措施。停用此設定會關閉預設的視窗階層,並導致在多台監視器設定中顯示與所有監視器邊界方塊相關的視窗。如需詳細資訊,請參閱 VMware 知識庫 (KB) 文章 85400

備註: 僅使用此因應措施作為暫時的修正,直到您可以安裝可永久修正顯示問題的 UC 應用程式更新版本。安裝更新的 UC 應用程式之後,藉由從 GPO 啟用此設定,再次開啟預設視窗階層。
Hide items in application context menu X X 針對您在桌面平台和應用程式選取器視窗中,於已發佈的應用程式上按一下滑鼠右鍵時出現的快顯功能表,使用此設定即可隱藏其中的項目。

此設定啟用時,您可以設定下列選項:

  • 隱藏設定 -- 選取可隱藏快顯功能表中的設定項目。
  • 隱藏建立桌面平台的捷徑 -- 選取可隱藏快顯功能表中的建立桌面平台的捷徑項目。
  • 隱藏新增至 [開始] 功能表 -- 選取可隱藏快顯功能表中的新增至 [開始] 功能表項目。
  • 隱藏標記為我的最愛 -- 選取可隱藏快顯功能表中的標記為我的最愛項目。

此設定依預設為停用。

Hide items in desktop context menu X X 針對您在桌面平台和應用程式選取器視窗中,於遠端桌面平台上按一下滑鼠右鍵時出現的快顯功能表,使用此設定即可隱藏其中的項目。

此設定啟用時,您可以設定下列選項:

  • 隱藏重設桌面平台 -- 選取可隱藏快顯功能表中的重設桌面平台項目。
  • 隱藏重新啟動桌面平台 -- 選取可隱藏快顯功能表中的重新啟動桌面平台項目。
  • 隱藏顯示 -- 選取可隱藏快顯功能表中的顯示項目。
  • 隱藏設定 -- 選取可隱藏快顯功能表中的設定項目。
  • 隱藏建立桌面平台的捷徑 -- 選取可隱藏快顯功能表中的建立桌面平台的捷徑項目。
  • 隱藏新增至 [開始] 功能表 -- 選取可隱藏快顯功能表中的新增至 [開始] 功能表項目。
  • 隱藏標記為我的最愛 -- 選取可隱藏快顯功能表中的標記為我的最愛項目。

此設定依預設為停用。

Hide items in desktop toolbar X X 使用此設定即可隱藏遠端桌面平台視窗中功能表列上的項目。
此設定啟用時,您可以設定下列選項。
  • 隱藏說明 -- 選取可隱藏選項功能表中的說明項目。
  • 隱藏重設桌面平台 -- 選取可隱藏選項功能表中的重設桌面平台項目。
  • 隱藏重新啟動桌面平台 -- 選取可隱藏選項功能表中的重新啟動桌面平台項目。
  • 隱藏連線 USB 裝置 -- 選取可隱藏功能表列中的連線 USB 裝置功能表。

此設定依預設為停用。

Hide items in system tray menu X X 針對您在本機用戶端系統上,於系統匣中的 Horizon Client 圖示上按一下滑鼠右鍵時出現的快顯功能表,使用此設定即可隱藏其中的項目。

此設定啟用時,您可以設定下列選項。

  • 隱藏設定 -- 選取可隱藏 Horizon Client設定項目。

此設定依預設為停用。

Hide items in the client toolbar menu X X 使用此設定即可隱藏桌面平台和應用程式選取器視窗頂端工具列中的項目。

此設定啟用時,您可以設定下列選項。

  • 隱藏我的最愛切換 -- 選取可隱藏顯示我的最愛 (星形) 圖示。
  • 隱藏設定齒輪 -- 選取可隱藏設定 (齒輪) 圖示。

此設定依預設為停用。

Hotkey combination to grab input focus X X 設定快速鍵組合,來為上次使用的 PCoIP 或 VMware Blast 遠端桌面平台工作階段擷取輸入焦點。快速鍵包括一或兩個輔助按鍵以及一個字母鍵。

停用或未設定此設定時,使用者可藉由在遠端桌面平台的視窗內部按一下來擷取焦點。此設定依預設不會設定。

Hotkey combination to release input focus X X

設定快速鍵組合,以從 PCoIP 或 VMware Blast 遠端桌面平台工作階段釋放輸入焦點。快速鍵包括一到兩個輔助按鍵以及一個功能鍵。

如果已選取釋放輸入焦點之後,將全螢幕虛擬桌面平台最小化核取方塊,則使用者可以按下任何已設定用來釋放輸入焦點的快速鍵 (例如 Ctrl+Shift+F5),以在遠端桌面平台處於全螢幕模式時將遠端桌面視窗最小化。依預設,當桌面平台處於全螢幕模式且未進行任何設定時,Ctrl+Shift+F5 可將遠端桌面平台視窗最小化。

停用或未設定此設定時,使用者可以透過按下 Ctrl+Alt 或在遠端桌面平台的視窗外部按一下來釋放焦點。

此設定依預設不會設定。

Pin the shade X 決定是否啟用 Horizon Client 視窗頂端的釘住網底功能,且不會自動隱藏功能表列。如果停用網底,則此設定沒有作用。此設定依預設為啟用。
Preferred Speakers X 指定慣用的喇叭。如果選取全部,您可以使用多個喇叭;如果選取預設,則只能使用用戶端的預設喇叭。
Save resolution and DPI to server X 決定 Horizon Client 是否會在伺服器上儲存自訂顯示解析度和顯示調整值設定。如需自訂遠端桌面平台的顯示解析度和顯示調整值設定的相關資訊,請參閱在 Horizon Windows Client 上自訂遠端桌面平台的顯示解析度和顯示調整值

啟用此設定時,如果已為遠端桌面平台自訂顯示解析度或顯示調整值,則每次使用者開啟遠端桌面平台時,無論使用者用來登入至遠端桌面平台的用戶端裝置為何,系統皆會自動套用自訂設定。

此設定依預設為停用。

Show Bluetooth Icon X 啟用此設定後,用戶端工具列上會顯示 [藍牙] 圖示。

此設定依預設為停用。

Tunnel proxy bypass address list X 指定通道位址的清單。Proxy 伺服器不會用於這些位址。請使用分號 (;) 分隔多個項目。
Update message pop-up X 指定在有新版本的 Horizon Client 可供使用時,是否自動向使用者顯示更新快顯訊息。此設定用來控制 Horizon Client 更新視窗上的當有更新時,顯示快顯訊息核取方塊。此設定依預設為停用。
URL for Horizon Client online help X 指定 Horizon Client 可從中擷取說明頁面的替代 URL。此設定主要用於無法擷取遠端主控說明系統的環境,因為這類環境沒有網際網路存取。
URL for Horizon Client online update X 指定 Horizon Client 可從中擷取更新的替代 URL。此設定適用於定義其自有私人/個人更新中心的環境中。若未啟用此設定,將會使用 VMware 官方更新伺服器。

用戶端 GPO 的 USB 設定

您可以為 Horizon AgentHorizon Client 定義 USB 原則設定。在連線時,Horizon Client 會從 Horizon Agent 下載 USB 原則設定,並將這些設定與 Horizon Client USB 原則設定搭配使用,以決定可使用哪些裝置從主機重新導向。

下表說明 Horizon Client 組態 ADMX 範本檔中用來分割複合 USB 裝置的每個原則設定。此設定適用於電腦層級。GPO 中屬於電腦層級的設定會優先於 HKLM\Software\Policies\VMware, Inc.\VMware VDM\Client\USB 上的登錄。這些設定會出現在群組原則管理編輯器的 VMware Horizon Client 組態 > View USB 組態資料夾中。

如需關於使用原則來控制 USB 重新導向的詳細資訊,請參閱《Horizon 遠端桌面平台功能和 GPO》文件。

表 6. Horizon Client 組態範本:USB 分割設定
設定 說明
Allow Auto Device Splitting

允許複合 USB 裝置的自動分割。

該預設值未定義,其相當於 false

Exclude Vid/Pid Device From Split

排除依照廠商和產品識別碼指定的複合 USB 裝置,不進行分割。設定的格式為 vid-xxx1_pid-yyy2[;vid-xxx2_pid-yyy2]...

您必須以十六進位指定識別碼。您可以在識別碼中使用萬用字元 (*) 以取代個別數字。

例如:vid-0781_pid-55**

該預設值未定義。

Split Vid/Pid Device

將依照廠商和產品識別碼指定的複合 USB 裝置元件視為個別裝置。設定格式為

vid-xxxx_pid-yyyy(exintf:zz[;exintf:ww ])

您可以使用 exintf 關鍵字,藉由指定他們的介面號碼來將元件自重新導向清單中排除。您必須以十六進位指定識別碼,及以十進位指定介面號碼,包括任何前置的 0。您可以在識別碼中使用萬用字元 (*) 以取代個別數字。

例如:vid-0781_pid-554c(exintf:01;exintf:02)

備註: Horizon 不會自動包含您未明確排除的元件。您必須指定篩選原則,例如 Include Vid/Pid Device,以納入那些元件。

該預設值未定義。

下表說明 Horizon Client 組態 ADMX 範本檔中用來篩選 USB 裝置的原則設定。此設定適用於電腦層級。GPO 中屬於電腦層級的設定會優先於 HKLM\Software\Policies\VMware, Inc.\VMware VDM\Client\USB 上的登錄。

如需關於為 USB 重新導向設定篩選原則設定的詳細資訊,請參閱《Horizon 遠端桌面平台功能和 GPO》文件。

表 7. Horizon Client 組態範本:USB 篩選設定
設定 說明
Allow Audio Input Devices

允許將音訊輸入裝置重新導向。

該預設值未定義,其相當於 true

此設定會出現在群組原則管理編輯器的 VMware Horizon Client 組態 > View USB 組態資料夾中。

Allow Audio Output Devices

允許將音訊輸出裝置重新導向。

該預設值未定義,其相當於 false

此設定會出現在群組原則管理編輯器的 VMware Horizon Client 組態 > View USB 組態資料夾中。

Allow HID-Bootable

允許將鍵盤或滑鼠以外在啟動時可使用的輸入裝置 (亦稱為 HID 可開機裝置) 重新導向。

該預設值未定義,其相當於 true

此設定會出現在群組原則管理編輯器的 VMware Horizon Client 組態 > View USB 組態資料夾中。

Allow Device Descriptor Failsafe Behavior

即使在 Horizon Client 無法取得 config/device 描述元時,仍允許重新導向裝置。

若要在無法取得組態/描述元的情形允許裝置,請將其納入 Include 篩選器當中,例如 IncludeVidPidIncludePath

該預設值未定義,其相當於 false

此設定會出現在群組原則管理編輯器的 VMware Horizon Client 組態 > View USB 組態 > 無法由代理程式設定的設定資料夾中。

Allow Other Input Devices

允許重新導向隱藏式可開機裝置或具備整合式指標裝置之鍵盤以外的輸入裝置。

該預設值未定義,其相當於 true

此設定會出現在群組原則管理編輯器的 VMware Horizon Client 組態 > View USB 組態資料夾中。

Allow Keyboard and Mouse Devices

允許將整合指向裝置 (例如滑鼠、軌跡球或觸控板) 的鍵盤重新導向。

該預設值未定義,其相當於 false

此設定會出現在群組原則管理編輯器的 VMware Horizon Client 組態 > View USB 組態資料夾中。

Allow Smart Cards

允許將智慧卡裝置重新導向。

該預設值未定義,其相當於 false

此設定會出現在群組原則管理編輯器的 VMware Horizon Client 組態 > View USB 組態資料夾中。

Allow Video Devices

允許將視訊裝置重新導向。

該預設值未定義,其相當於 true

此設定會出現在群組原則管理編輯器的 VMware Horizon Client 組態 > View USB 組態資料夾中。

Disable Remote Configuration

當執行 USB 裝置篩選時,請將代理程式設定的使用設為停用。

該預設值未定義,其相當於 false

此設定會出現在群組原則管理編輯器的 VMware Horizon Client 組態 > View USB 組態 > 無法由代理程式設定的設定資料夾中。

Exclude All Devices

排除所有 USB 裝置,避免重新導向。如果設定為 true,您可以使用其他原則設定,以允許將特定裝置或裝置系列重新導向。如果設定為 false,您可以使用其他原則設定,以避免將特定裝置或裝置系列重新導向。

如果在代理程式上將Exclude All Devices的值設為 true,且此設定已傳遞至 Horizon Client,則代理程式設定會覆寫 Horizon Client 設定。

該預設值未定義,其相當於 false

此設定會出現在群組原則管理編輯器的 VMware Horizon Client 組態 > View USB 組態資料夾中。

Exclude Automatically Connection Device Family 排除裝置系列以避免自動轉送。使用下列語法:
family-name[;...]

例如:

storage;hid
Exclude Automatically Connection Vid/Pid Device 排除具有特定廠商和產品識別碼的裝置,以避免自動轉送。使用下列語法:
vid-xxxx_pid-xxxx|*[;...]

例如:

vid-0781_pid-554c;vid-0781_pid-9999
Exclude Device Family

排除裝置系列,避免重新導向。設定的格式為 family_name_1[;family_name_2]...

例如:bluetooth;smart-card

如果您已啟用自動裝置分割功能,則 Horizon 會檢查複合 USB 裝置各個介面的裝置系列,以決定要排除的介面。如果您已經停用自動裝置分割功能,Horizon 便會檢驗整個複合 USB 裝置的裝置系列。

該預設值未定義。

此設定會出現在群組原則管理編輯器的 VMware Horizon Client 組態 > View USB 組態資料夾中。

Exclude Vid/Pid Device

排除具有特定廠商和產品識別碼的裝置,以避免重新導向。設定的格式為 vid-xxx1_pid-yyy2[;vid-xxx2_pid-yyy2]...

您必須以十六進位指定識別碼。您可以在識別碼中使用萬用字元 (*) 以取代個別數字。

例如:vid-0781_pid-****;vid-0561_pid-554c

該預設值未定義。

此設定會出現在群組原則管理編輯器的 VMware Horizon Client 組態 > View USB 組態資料夾中。

Exclude Path

排除位於特定集線器或連接埠路徑上的裝置,避免重新導向。設定的格式為 bus-x1[/y1].../port-z1[;bus-x2[/y2].../port-z2]...

您必須以十六進位指定匯流排和連接埠號碼。您不能在路徑中使用萬用字元。

例如:bus-1/2/3_port-02;bus-1/1/1/4_port-ff

該預設值未定義。

此設定會出現在群組原則管理編輯器的 VMware Horizon Client 組態 > View USB 組態 > 無法由代理程式設定的設定資料夾中。

Include Device Family

納入可重新導向的裝置系列。設定的格式為 family_name_1[;family_name_2]...

例如:storage

該預設值未定義。

此設定會出現在群組原則管理編輯器的 VMware Horizon Client 組態 > View USB 組態資料夾中。

Include Path

納入位於特定集線器或連接埠路徑上並可重新導向的裝置。設定的格式為 bus-x1[/y1].../port-z1[;bus-x2[/y2].../port-z2]...

您必須以十六進位指定匯流排和連接埠號碼。您不能在路徑中使用萬用字元。

例如:bus-1/2_port-02;bus-1/7/1/4_port-0f

該預設值未定義。

此設定會出現在群組原則管理編輯器的 VMware Horizon Client 組態 > View USB 組態 > 無法由代理程式設定的設定資料夾中。

Include Vid/Pid Device

指定具有指定廠商和產品識別碼且可重新導向的 USB 裝置。設定的格式為 vid-xxx1_pid-yyy2[;vid-xxx2_pid-yyy2]...

您必須以十六進位指定識別碼。您可以在識別碼中使用萬用字元 (*) 以取代個別數字。

例如:vid-0561_pid-554c

該預設值未定義。

此設定會出現在群組原則管理編輯器的 VMware Horizon Client 組態 > View USB 組態資料夾中。

在巢狀模式或雙躍點案例中,使用者會從實體用戶端系統連線至遠端桌面平台、在遠端桌面平台 (巢狀工作階段) 內啟動 Horizon Client,以及連線至另一個遠端桌面平台。若要讓裝置在巢狀工作階段中如預期般運作,您必須在實體用戶端機器上和巢狀工作階段中以相同的方式設定 USB 原則設定。

用戶端 GPO 的 VMware Browser 重新導向設定

您可以為瀏覽器重新導向功能設定群組原則設定。

下表說明 Horizon Client 組態 ADMX 範本檔中的瀏覽器重新導向設定。所有瀏覽器重新導向設定皆為電腦組態設定。這些設定會出現在群組原則管理編輯器的 VMware Horizon Client 組態 > VMware Browser 重新導向資料夾中。

如需代理程式端瀏覽器重新導向設定的相關資訊,請參閱《Horizon 遠端桌面平台功能和 GPO》文件。

表 8. Horizon Client 組態範本:VMware Browser 重新導向設定
設定 說明
Enable WebRTC camera and microphone access for browser redirection 此設定啟用時,使用 WebRTC 的重新導向頁面將可存取用戶端系統的相機和麥克風。

此設定依預設為啟用。

Ignore certificate errors for browser redirection 此設定啟用時,會忽略重新導向的頁面中發生的憑證錯誤,並繼續瀏覽。

此設定依預設為停用。

Enable cache for browser redirection 此設定啟用時,瀏覽歷程記錄 (包括 Cookie) 會儲存在用戶端系統上。
備註: 停用此設定不會清除快取。如果先停用然後重新啟用此設定,那麼將重複使用快取。

此設定依預設為啟用。

用戶端 GPO 的 VMware Integrated Printing 設定

您可以為 VMware Integrated Printing 功能設定群組原則設定。

下表說明 Horizon Client 組態 ADMX 範本檔中的 VMware Integrated Printing 設定。該表格說明設定是同時包含「電腦組態」和「使用者組態」設定,還是僅包含「電腦組態」設定。對於兩種設定的設定而言,「使用者組態」設定會覆寫同等的「電腦組態」設定。這些設定會出現在群組原則管理編輯器的 VMware Horizon Client 組態 > VMware Integrated Printing 資料夾中。

如需代理程式端 VMware Integrated Printing 設定的相關資訊,請參閱《Horizon 遠端桌面平台功能和 GPO》文件。

表 9. Horizon Client 組態範本:VMware Integrated Printing 設定
設定 電腦 使用者 說明
Do not redirect client printer(s) X X 決定是否重新導向用戶端印表機。

此設定啟用時,將不會重新導向用戶端印表機。停用或未進行此設定時,則會重新導向所有用戶端印表機。

此設定依預設不會設定。

Allow to redirect L1 local printers to inner session X X 決定是否將 L1 本機印表機重新導向至內部工作階段。

VMware 支援在遠端桌面平台內執行 Horizon Client。此組態通常稱為巢狀模式,涉及三個階層與兩個躍點,如下所示:

  • L0 (端點) - 安裝 Horizon Client 所在的實體機器。
  • L1 (第一個躍點遠端桌面平台) - 安裝 Horizon ClientHorizon Agent 所在的遠端桌面平台。
  • L2 (第二個躍點已發佈的桌面平台或已發佈的應用程式) - 第二個躍點用戶端連線的已發佈的桌面平台或已發佈的應用程式。

啟用此設定時,L1 本機印表機即會重新導向至內部工作階段。未設定或停用此設定時,L1 本機印表機不會重新導向至內部工作階段。

此設定依預設不會設定。

PCoIP 用戶端工作階段變數 ADMX 範本設定

PCoIP 用戶端工作階段變數 ADMX 範本檔 (pcoip.client.admx) 中包含與 PCoIP 顯示通訊協定相關的原則設定。您可以設定管理員可以覆寫的電腦預設值,或者,您可以設定管理員無法覆寫的使用者設定。可覆寫的設定會出現在群組原則管理編輯器的 PCoIP 用戶端工作階段變數 > 可覆寫的管理員預設值資料夾中。無法覆寫的設定會出現在群組原則管理編輯器的 PCoIP 用戶端工作階段變數 > 未覆寫的設定資料夾中。

ADMX 檔案可從 VMware-Horizon-Extras-Bundle-YYMM-x.x.x-yyyyyyyy.zip 中取得,而您可以從 VMware 下載網站下載該 zip 檔案。請前往 https://my.vmware.com/web/vmware/downloads。尋找 [桌面平台及終端使用者運算],在此類別下,選取 VMware Horizon 下的 [下載產品]。然後,選取適當的 Horizon 版本,並按一下前往下載。您可以在此處尋找包含 VMware-Horizon-Extras-Bundle-YYMM-x.x.x-yyyyyyyy.zip 檔案的 Horizon GPO 服務包。

表 10. PCoIP 用戶端工作階段變數
設定 說明
Configure PCoIP client image cache size policy 控制 PCoIP 用戶端映像快取的大小。用戶端會使用映像快取,儲存之前傳輸的顯示部分。映像快取可減少重複傳輸的資料量。

當此設定停用時,PCoIP 會使用預設的用戶端影像快取大小 (250 MB)。

當您啟用此設定時,可以在最小 50 MB 到最大 300 MB 之間設定用戶端映像快取大小。預設值為 250 MB。

此設定依預設為停用。

Configure PCoIP event log cleanup by size in MB 啟用依 PCoIP 事件記錄的大小 (MB) 進行清理的組態。此設定經設定後,將會依大小 (MB) 控制記錄檔清理。例如,如果 m 設為非零值,則會以無訊息方式刪除大於 m MB 的記錄檔。設為 0 表示不會依據大小清理檔案。當此設定停用時,預設的依大小 (MB) 事件記錄清理設定為 100。此設定依預設為停用。
Configure PCoIP event log cleanup by time in days 啟用依 PCoIP 事件記錄的時間 (天數) 進行清理的組態。此設定經設定後,將會依時間 (天數) 控制記錄檔清理。例如,如果 n 設為非零值,則會以無訊息方式刪除存留超過 n 天的記錄檔。設為 0 表示不會依據時間清理檔案。當此原則停用時,預設的依時間 (天數) 事件記錄清理設定為 7。此設定依預設為停用。

記錄檔清理會在工作階段啟動時執行一次。在下一個工作階段開始之前不會套用對此設定所做的任何變更。

Configure PCoIP event log verbosity

設定 PCoIP 事件記錄詳細資訊。值的範圍為 0 (最不詳細) 至 3 (最詳細)。

當此設定啟用時,您可以設定從 0 到 3 的詳細資訊等級。當此設定停用時,預設的事件記錄詳細資訊等級為 2。此設定依預設為停用。

在作用中的 PCoIP 工作階段期間修改此設定時,新設定會立即生效。

Configure PCoIP session encryption algorithms 控制 PCoIP 端點在工作階段交涉期間公告的加密演算法。

選取其中一個核取方塊即會停用相關聯的加密演算法。您必須至少啟用一種演算法。

此設定會同時套用至代理程式和用戶端。端點會交涉所使用的實際工作階段加密演算法。如果啟用 FIPS140-2 核准模式,則在 AES-128-GCM 加密和 AES-256-GCM 加密皆停用時,將會覆寫停用 AES-128-GCM 加密值。

Configure SSL Connections設定停用時,Salsa20-256round12 和 AES-128-GCM 演算法都可用於此端點的交涉。此設定依預設為停用。

按喜好順序,支援的加密演算法為 SALSA20/12-256、AES-GCM-128 和 AES-GCM-256。依預設,所有支援的加密演算法均可供此端點用於交涉。

Configure PCoIP virtual channels 指定可以及無法透過 PCoIP 工作階段操作的虛擬通道。此設定也會決定是否停用 PCoIP 主機上的剪貼簿處理。

PCoIP 工作階段中使用的虛擬通道必須出現在虛擬通道授權清單中。出現在未授權虛擬通道清單中的虛擬通道無法在 PCoIP 工作階段中使用。

您最多可以指定 15 個在 PCoIP 工作階段中使用的虛擬通道。

請使用分隔號 (|) 字元分隔多個通道名稱。例如,允許 mksvchan 和 vdp_rdpvcbridge 虛擬通道的虛擬通道授權字串為 mksvchan|vdp_rdpvcbridge

如果通道名稱包含分隔號或反斜線 (\) 字元,請在前面插入反斜線字元。例如,通道名稱 awk|ward\channel 輸入為 awk\|ward\\channel

授權的虛擬通道清單為空白時,表示不允許所有虛擬通道。未授權的虛擬通道清單為空白時,表示允許所有虛擬通道。

虛擬通道設定會同時套用至代理程式和用戶端。代理程式和用戶端上的虛擬通道都必須啟用,才能使用虛擬通道。

虛擬通道設定會另外提供一個核取方塊,讓您停用 PCoIP 主機上的遠端剪貼簿處理。此值僅適用於代理程式。

依預設,會啟用所有虛擬通道,包括剪貼簿處理。

Configure SSL cipher list

設定 TLS/SSL 加密清單,以限制在建立加密 TLS/SSL 連線之前對於加密套件的使用。清單由一或多個以冒號分隔的加密套件字串組成。所有加密套件字串皆不區分大小寫。

預設值為 ECDHE-RSA-AES256-GCM-SHA384:AES256-SHA256:AES256-SHA:ECDHE-RSA-AES128-GCM-SHA256:AES128-SHA256:AES128-SHA:@STRENGTH。

如果進行此設定,則會忽略Configure SSL connections to satisfy Security Tools設定中的強制執行用於 SSL 連線交涉的 AES-256 或更強的加密核取方塊。

此設定必須同時套用至 PCoIP 伺服器和 PCoIP 用戶端。

Configure SSL connections to satisfy Security Tools 指定建立 TLS 工作階段交涉連線的方式。為符合安全工具 (例如連接埠掃描器) 的需求,請啟用此設定,並執行下列動作:
  1. 將簽署了任何要用於 PCoIP 之伺服器憑證的憑證授權機構所包含的憑證,儲存在「受信任的根憑證」憑證存放區中。
  2. 設定代理程式,使其僅從憑證存放區載入憑證。如果使用的是本機電腦的個人存放區,請將 CA 憑證存放區名稱保持不變為值 ROOT,除非您在步驟 1 使用了不同的存放區位置。

此設定停用時,AES-128 加密套件將無法使用,且端點將會使用機器帳戶的 MY 存放區中的「憑證授權機構」憑證和 ROOT 存放區中的「憑證授權機構」憑證。此設定依預設為停用。

Configure SSL protocols 設定 OpenSSL 通訊協定,以限制在建立加密 TLS 連線之前對特定通訊協定的使用。通訊協定清單由一個或多個以冒號分隔的 OpenSSL 通訊協定字串組成。所有加密字串皆不區分大小寫。

預設值為 TLS1.1:TLS1.2,這表示已啟用 TLS v1.1 和 TLS v1.2,並停用 SSL v2.0、SSLv3.0 和 TLS v1.0。

如果同時在用戶端和代理程式上設定此設定,則會遵循 OpenSSL 通訊協定交涉規則。

Configure the Client PCoIP UDP port 指定軟體 PCoIP 用戶端使用的 UDP 用戶端連接埠。UDP 連接埠值會指定要使用的基礎 UDP 連接埠。如果基礎連接埠無法使用,則會由 UDP 連接埠範圍值決定要額外嘗試多少個連接埠。

此範圍從基礎連接埠跨越至基礎連接埠和連接埠範圍的總和。例如,如果基礎連接埠為 50002 且連接埠範圍為 64,則範圍會從 50002 跨越至 50066。

此設定僅適用於用戶端。

根據預設,基礎連接埠為 50002 且連接埠範圍為 64。

Configure the maximum PCoIP session bandwidth 指定 PCoIP 工作階段中的最大頻寬 (單位 KB/秒)。頻寬包括所有映像處理、音訊、虛擬通道、USB 和控制 PCoIP 流量。

請將此值設定為端點所連線之連結的整體容量,並考量預期的並行 PCoIP 工作階段數目。例如,單一使用者的 VDI 組態 (即單一 PCoIP 工作階段) 是透過 4Mbit/s 網際網路連線來連線時,請將此值設為 4Mbit,或設定一個比此值低 10% 的值,留一些空間供其他網路流量使用。當您預期會有多個並行 PCoIP 工作階段共用一個包含多個 VDI 使用者或單一 RDS 組態的連結時,可能需要相應地調整此設定。但是,降低此值會限制每個作用中工作階段的最大頻寬。

設定此值可防止代理程式嘗試以高於連結容量的速率傳輸,這樣可能造成大量封包遺失並產生較差的使用者體驗。此值為對稱的。它會強制用戶端和代理程式使用用戶端和代理程式端上所設定的兩個值中的較低者。例如,將最大頻寬設定為 4Mbit/s 會強制代理程式以較低速率傳輸,即使該設定是在用戶端上設定的也一樣。

在端點上停用此設定時,端點將不會實施任何頻寬限制。當此設定啟用時,設定會用作端點的最大頻寬限制 (單位為 kbps)。

預設值為 900000 kbps。

此設定會套用至代理程式和用戶端。如果兩個端點擁有不同的設定,則會使用較小的值。

Configure the PCoIP session bandwidth floor 指定 PCoIP 工作階段所保留頻寬的下限 (單位為每秒 kb)。

此設定會設定端點的預期最小頻寬傳輸速率。當您使用此設定保留端點的頻寬時,使用者就不必等待可用的頻寬,如此就能改善工作階段的回應能力。

請確認不要過度訂閱所有端點的總保留頻寬。確定組態中所有連線的頻寬下限總和未超過網路能力。

預設值為 0,表示未保留最小頻寬。當此設定停用時,系統不會保留最小頻寬。此設定依預設為停用。

此設定會套用至代理程式和用戶端,但是只會影響設定此設定所在的端點。

在作用中的 PCoIP 工作階段期間修改此設定時,變更會立即生效。

Configure the PCoIP session MTU 針對 PCoIP 工作階段的 UDP 封包,指定傳輸單元最大值 (MTU) 大小。

MTU 大小包括 IP 和 UDP 封包標頭。TCP 會使用標準 MTU 探索機制設定 MTU,而此設定不會對其造成影響。

MTU 大小的最大值為 1500 個位元組。MTU 大小的最小值為 500 個位元組。預設值為 1300 個位元組。

通常您不需要變更 MTU 大小。如果您使用非一般的網路設定而造成 PCoIP 封包分段,請變更此值。

此設定會套用至代理程式和用戶端。如果兩個端點擁有不同的 MTU 大小設定,則會使用最小的值。

如果停用或未設定此設定,用戶端會使用預設值與代理程式交涉。

Configure the PCoIP transport header 設定 PCoIP 傳輸標頭以及設定傳輸工作階段優先順序。

PCoIP 傳輸標頭為 32 位元標頭,會新增至所有 PCoIP UDP 封包 (但只有在傳輸標頭已啟用且雙方皆支援時)。PCoIP 傳輸標頭會允許網路裝置在處理網路壅塞時決定較佳的優先順序/QoS。傳輸標頭預設為啟用。

傳輸工作階段優先順序會決定 PCoIP 傳輸標頭報告的 PCoIP 工作階段優先順序。網路裝置會根據指定的傳輸工作階段優先順序,決定較佳的優先順序/QoS。

啟用Configure the PCoIP transport header設定時,可使用下列傳輸工作階段優先順序:

  • (預設值)
  • 未定義

PCoIP 代理程式和用戶端交涉傳輸工作階段優先順序值。如果 PCoIP 代理程式指定了傳輸工作階段優先順序值,則工作階段會使用代理程式所指定的工作階段優先順序。如果只有用戶端指定了傳輸工作階段優先順序,則工作階段會使用用戶端所指定的工作階段優先順序。如果代理程式和用戶端都沒有指定傳輸工作階段優先順序,或是指定了未定義優先順序,則工作階段會使用預設值,即優先順序。

Enable/disable audio in the PCoIP session 決定是否在 PCoIP 工作階段中啟用音訊。兩個端點都必須啟用音訊。啟用此設定時,會允許 PCoIP 音訊。停用此設定時,會停用 PCoIP 音訊。依預設會啟用音訊。