这些内容以项目符号内的段落方式显示,以便更易于查看。如果需要,则可以参考表格单元格内的段落。

Windows 虚拟桌面是单会话虚拟机。

此版本的 Horizon Client 适用于安装了 Horizon Agent 7.5 或更高版本的 Windows 虚拟桌面。支持的客户机操作系统包括 Windows 7、Windows 8.x、Windows 10、Windows Server 2012 R2、Windows Server 2016 和 Windows Server 2019,但具有以下限制:

Windows Server 2019 虚拟桌面需要使用 Horizon Agent 7.7 或更高版本。

Horizon Agent 2006 及更高版本不支持 Windows 7 和 Windows 8.x 虚拟桌面。

RDS 主机是安装了 Windows 远程桌面服务和 Horizon Agent 的服务器计算机。多个用户可以同时在一个 RDS 主机上具有已发布的桌面会话。RDS 主机可以是物理机或虚拟机。

此版本的 Horizon Client 可与安装了 Horizon Agent 7.5 或更高版本的 RDS 主机配合使用。支持的客户机操作系统包括 Windows Server 2012、Windows Server 2012 R2、Windows Server 2016 和 Windows Server 2019,但具有以下限制:

Windows Server 2019 RDS 主机需要使用 Horizon Agent 7.7 或更高版本。

Horizon Agent 2006 及更高版本不支持 Windows Server 2012 RDS 主机。

有关支持的 Linux 客户机操作系统列表以及支持的功能相关信息,请参阅《在 Horizon 中设置 Linux 桌面》文档。

RDS 主机是安装了 Windows 远程桌面服务和 Horizon Agent 的服务器计算机。多个用户可以同时在一个 RDS 主机上具有远程桌面会话。RDS 主机可以是物理机或虚拟机。

表 1. RDS 主机支持的功能

功能

Windows Server 2012 和 Windows Server 2012 R2 RDS 主机

Windows Server 2016 RDS 主机

Windows Server 2019 RDS 主机

RSA SecurID 或 RADIUS

X

X

X

智能卡

X

X

X

单点登录

X

X

X

PCoIP 显示协议

X

X

X

VMware Blast 显示协议

X

X

X

HTML Access

X

X

X

USB 重定向

X

X

X

客户端驱动器重定向

X

X

X

VMware Integrated Printing 和基于位置的打印

X

X

X

多显示器

X

X

X

实时音频-视频 (RTAV)

X

X

X

使用 VMware Blast 显示协议或 PCoIP 显示协议,可以支持分辨率为 4K (3840x2160) 的远程桌面屏幕。支持的 4K 显示器的数量取决于桌面虚拟机的硬件版本和 Windows 版本。

硬件版本

Windows 版本

支持的 4K 显示器数量

10(兼容 ESXi 5.5.x)

7、8、8.x 和 10

1

11(兼容 ESXi 6.0)

7

(禁用 3D 渲染功能和 Windows Aero)

3

11

7

(启用 3D 渲染功能)

1

11

8、8.x 和 10

1

13 或 14

7、8、8.x 和 10

(启用 3D 渲染功能)

1

13 或 14

7、8、8.x 和 10

4

表 2. Horizon Client 配置模板:安全性设置

设置

说明

Allow command line credentials

(计算机配置设置)

确定是否可以通过 Horizon Client 命令行选项提供用户凭据。如果禁用此设置,当用户从命令行运行 Horizon Client 时,smartCardPINpassword 选项不可用。

默认情况下启用该设置。

等效的 Windows 注册表值为 AllowCmdLineCredentials

Servers Trusted For Delegation

(计算机配置设置)

指定接受在用户选中以当前用户身份登录复选框时传送的用户身份和凭据信息的连接服务器实例。如果未指定任何连接服务器实例,则所有连接服务器实例都会接受该信息。

要添加连接服务器实例,请使用以下格式之一:

domain\system$

system$@domain.com

连接服务器服务的服务主体名称 (Service Principal Name, SPN)。

等效的 Windows 注册表值为 BrokersTrustedForDelegation

Certificate verification mode

(计算机配置设置)

配置 Horizon Client 执行的证书检查的级别。您可以选择其中一种模式:

No Security。不检查证书。

Warn But Allow。如果连接服务器主机提供自签名证书,将显示一条警告,但用户可以继续连接到连接服务器。证书名称不需要与用户在 Horizon Client 中提供的连接服务器名称匹配。如果发生任何其他证书错误状况,则会显示一个错误对话框,并禁止用户连接到连接服务器。Warn But Allow为默认值。

Full Security。如果出现任何类型的证书错误,则用户无法连接到连接服务器。用户将会看到证书错误。

配置该组策略设置后,用户可以在 Horizon Client 中查看选定的证书验证模式,但无法配置该设置。SSL 配置对话框会通知用户:管理员已锁定该设置。

未配置或禁用该设置时,Horizon Client 用户可以选择证书验证模式。

如果您不希望将证书验证设置配置为组策略,您还可以通过修改 Windows 注册表设置来启用证书验证。

Default value of the 'Log in as current user' checkbox

(计算机和用户配置设置)

指定 Horizon Client 连接对话框上的以当前用户身份登录复选框的默认值。

这项设置将覆盖 Horizon Client 安装期间指定的默认值。

如果用户通过命令行运行 Horizon Client 并指定了 logInAsCurrentUser 选项,则该值将覆盖此设置。

如果选中了以当前用户身份登录复选框,用户在登录到客户端系统时提供的身份和凭据信息将传送到连接服务器实例,并最终传送到远程桌面。如果取消选中该复选框,用户必须多次输入身份和凭据信息,才能访问远程桌面。

默认情况下禁用该设置。

等效的 Windows 注册表值为 LogInAsCurrentUser

Display option to Log in as current user

(计算机和用户配置设置)

确定以当前用户身份登录复选框是否显示在 Horizon Client 连接对话框上。

如果显示该复选框,用户可以选中或取消选中该复选框并覆盖其默认值。如果该复选框隐藏,用户将无法从 Horizon Client 连接对话框中覆盖其默认值。

您可以通过Default value of the 'Log in as current user' checkbox策略设置指定以当前用户身份登录复选框的默认值。

默认情况下启用该设置。

等效的 Windows 注册表值为 LogInAsCurrentUser_Display

Enable jump list integration

(计算机配置设置)

确定在 Windows 7 和更高版本系统的任务栏上的 Horizon Client 图标中是否显示跳转列表。通过使用跳转列表,用户可以连接到最近使用的连接服务器实例和远程桌面。

共享 Horizon Client 时,您可能不希望用户查看最近使用的桌面名称。因此,您可以通过禁用此设置来禁用跳转列表。

默认情况下启用该设置。

等效的 Windows 注册表值为 EnableJumplist

Enable SSL encrypted framework channel

(计算机和用户配置设置)

确定是否启用 SSL 加密框架通道。

启用:启用 SSL,但在远程桌面不支持 SSL 时允许回退到以前的未加密连接。

禁用:禁用 SSL。此设置不推荐使用,但调试时或通道未经过安全加密链路并可能由 WAN 加速器产品优化时可能很有用。

强制:启用 SSL,并拒绝连接不支持 SSL 的桌面。

等效的 Windows 注册表值为 EnableTicketSSLAuth

Configures SSL protocols and cryptographic algorithms

(计算机和用户配置设置)

在建立加密 SSL 连接之前,配置密码列表来限制某些加密算法和协议的使用。密码列表由以冒号分隔的一个或多个密码字符串组成。

Horizon Client 的默认值为 TLSv1.1:TLSv1.2:!aNULL:kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES

所有密码字符串均区分大小写。

密码套件使用 128 位或 256 位 AES,移除匿名 DH 算法,然后按加密算法密钥长度的顺序排序当前密码列表。

您可以在 Web 浏览器中搜索 openssl cipher string,并查看密码列表格式。

等效的 Windows 注册表值为 SSLCipherList

如果您不希望将该设置配置为组策略,您还可以通过将 SSLCipherList 值名称添加到客户端计算机上的以下注册表项之一来启用它。

对于 32 位 Windows:HKEY_LOCAL_MACHINE\Software\VMware, Inc.\VMware VDM\Client\Security

对于 64 位 Windows:HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\VMware,Inc.\VMware VDM\Client\Security

Enable Single Sign-On for smart card authentication

(计算机配置设置)

确定是否为智能卡身份验证启用单点登录。如果启用了单点登录,Horizon Client 将加密的智能卡 PIN 存储到临时内存中,然后再将其提交到连接服务器。如果禁用单点登录,Horizon Client 将不显示自定义 PIN 对话框。

等效的 Windows 注册表值为 EnableSmartCardSSO

默认情况下启用该设置。

默认情况下禁用该设置。

AllowDirectRDP

决定除 Horizon Client 设备之外的客户端是否可以使用 RDP 直接连接到远程桌面。如果禁用此设置,代理将只允许通过 Horizon Client 建立受 Horizon 管理的连接。

从适用于 Mac 的 Horizon Client 中连接到远程桌面时,不要禁用 AllowDirectRDP 设置。如果禁用此设置,连接会失败并返回访问被拒绝错误。

重要

必须在每个桌面的客户机操作系统上运行 Windows 远程桌面服务。您可以使用此设置防止用户通过 RDP 直接连接到其桌面。

AllowSingleSignon

确定是否通过单点登录 (SSO) 将用户连接到桌面和应用程序。启用该设置时,用户在登录到服务器时仅需要输入一次凭据。禁用该设置时,用户必须在进行远程连接时重新进行身份验证。

默认情况下未指定列表。

CommandsToRunOnConnect

指定在会话首次连接时运行的一组命令或命令脚本。

CommandsToRunOnDisconnect

指定在会话断开连接时运行的一组命令或命令脚本。

CommandsToRunOnReconnect

指定在会话断开后重新连接时运行的一组命令或命令脚本。

ConnectionTicketTimeout

指定 Horizon 连接票证的有效时间(以秒为单位)。

连接代理时,Horizon Client 设备使用连接票证进行验证和单点登录。出于安全性原因,连接票证仅在有限时间内有效。当用户连接到远程桌面时,必须在连接票证超时或会话超时之前进行身份验证。如果未配置该设置,则使用默认超时时限 900 秒。

CredentialFilterExceptions

指定不允许加载代理 CredentialFilter 的可执行文件。文件名不得包含路径或后缀。使用分号分隔多个文件名。

Connect all USB devices to the desktop on launch

确定桌面启动时是否将客户端系统中所有可用的 USB 设备都连接到桌面。

Connect all USB devices to the desktop when they are plugged in

确定将 USB 设备插入客户端系统时是否将其都连接到桌面

Logon Password

指定 Horizon Client 在登录过程中使用的密码。该密码由 Active Directory 存储在纯文本中。

viewusb.AllowAutoDeviceSplitting

Allow Auto Device Splitting

允许复合 USB 设备的自动拆分。

未定义默认值,相当于 false

viewusb.SplitExcludeVidPid

Exclude Vid/Pid Device From Split

从拆分中排除按供应商和产品 ID 指定的复合 USB 设备。设置的格式为 vid-xxx1_pid-yyy2[;vid-xxx2_pid-yyy2]...

您必须以十六进制格式指定 ID 号。可以使用通配符 (*) 代替 ID 中的单个数字。

例如:vid-0781_pid-55**

未定义默认值。

viewusb.SplitVidPid

Split Vid/Pid Device

将按供应商和产品 ID 指定的复合 USB 设备的组件视为单独设备。设置的格式为

vid-xxxx_pid-yyyy(exintf:zz[;exintf:ww ])

可以使用 exintf 关键字通过指定接口号禁止重定向组件。您必须以十六进制格式指定 ID 号,以十进制格式(包含前导零)指定接口号。可以使用通配符 (*) 代替 ID 中的单个数字。

例如:vid-0781_pid-554c(exintf:01;exintf:02)

Horizon 不会自动包含未明确排除的组件。您必须指定一个筛选策略(如Include Vid/Pid Device)来包含这些组件。

未定义默认值。

viewusb.AllowAudioIn

Allow Audio Input Devices

允许音频输入设备进行重定向。

未定义默认值,相当于 true

viewusb.AllowAudioOut

Allow Audio Output Devices

允许音频输出设备进行重定向。

未定义默认值,相当于 false

viewusb.AllowHID

允许除键盘或鼠标之外的输入设备进行重定向。

未定义默认值,相当于 true

viewusb.AllowHIDBootable

Allow HIDBootable

允许开机时除键盘或鼠标之外的其他可用输入设备(又称为可引导的 hid 设备)进行重定向。

未定义默认值,相当于 true

viewusb.AllowDevDescFailsafe

Allow Device Descriptor Failsafe

即使 Horizon Client 未能获取配置/设备描述符,依然允许设备重定向。

要在设备出现配置/描述符问题时依然允许它进行重定向,可将其添加到 Include 筛选器中,如 IncludeVidPidIncludePath

未定义默认值,相当于 false

Allow Other Input Devices

允许重定向输入设备(可引导的 hid 设备和具有集成指针设备的键盘)。

未定义默认值,相当于 true

viewusb.AllowKeyboardMouse

Allow Keyboard and Mouse Devices

允许键盘以及集成指针设备(例如,鼠标、轨迹球或触摸板)进行重定向。

未定义默认值,相当于 false

viewusb.AllowSmartcard

Allow Smart Cards

允许智能卡设备进行重定向。

未定义默认值,相当于 false

viewusb.AllowVideo

Allow Video Devices

允许视频设备进行重定向。

未定义默认值,相当于 true

viewusb.DisableRemoteConfig

Disable Remote Configuration Download

在执行 USB 设备筛选时,禁用代理设置。

未定义默认值,相当于 false

viewusb.ExcludeAllDevices

Exclude All Devices

禁止任何 USB 设备进行重定向。如果设置为 true,可以使用其他策略设置来允许对特定设备或设备系列进行重定向。如果设置为 false,可以使用其他策略设置来防止特定设备或系列设备进行重定向。

如果在代理上将 Exclude All Devices 值设置为 true,并将该设置传递到 Horizon Client,代理设置将覆盖 Horizon Client 设置。

未定义默认值,相当于 false

viewusb.ExcludeFamily

Exclude Device Family

禁止设备系列进行重定向。设置的格式为 family_name_1[;family_name_2]...

例如:bluetooth;smart-card

如果启用了自动设备拆分,Horizon 将检查复合 USB 设备的每个接口的设备系列以确定应排除哪些接口。如果禁用了自动设备拆分,Horizon 将检查整个复合 USB 设备的设备系列。

未定义默认值。

viewusb.ExcludeVidPid

Exclude Vid/Pid Device

禁止具有指定供应商和产品 ID 的设备进行重定向。设置的格式为 vid-xxx1_pid-yyy2[;vid-xxx2_pid-yyy2]...

您必须以十六进制格式指定 ID 号。可以使用通配符 (*) 代替 ID 中的单个数字。

例如:vid-0781_pid-****;vid-0561_pid-554c

未定义默认值。

viewusb.ExcludePath

Exclude Path

禁止位于指定集线器或端口路径的设备进行重定向。设置的格式为 bus-x1[/y1].../port-z1[;bus-x2[/y2].../port-z2]...

您必须以十六进制格式指定总线和端口号。在路径中不能使用通配符。

例如:bus-1/2/3_port-02;bus-1/1/1/4_port-ff

未定义默认值。

viewusb.IncludeFamily

Include Device Family

包含可以进行重定向的设备系列。设置的格式为 family_name_1[;family_name_2]...

例如:storage

未定义默认值。

viewusb.IncludePath

Include Path

包含位于指定集线器或端口路径的可重定向设备。设置的格式为 bus-x1[/y1].../port-z1[;bus-x2[/y2].../port-z2]...

您必须以十六进制格式指定总线和端口号。在路径中不能使用通配符。

例如:bus-1/2_port-02;bus-1/7/1/4_port-0f

未定义默认值。

viewusb.IncludeVidPid

Include Vid/Pid Device

包含具有指定供应商和产品 ID 的可重定向设备。设置的格式为 vid-xxx1_pid-yyy2[;vid-xxx2_pid-yyy2]...

您必须以十六进制格式指定 ID 号。可以使用通配符 (*) 代替 ID 中的单个数字。

例如:vid-0561_pid-554c

未定义默认值。

重要

如果启用在客户端用户界面中隐藏域列表设置,并为连接服务器实例选择双因素身份验证(RSA SecureID 或 RADIUS),则不要强制实施 Windows 用户名匹配。实施 Windows 用户名匹配将禁止用户在用户名文本框中输入域信息,登录将始终失败。

“发送域列表”设置

“在客户端用户界面中隐藏域列表”设置

用户登录方式

已禁用(默认)

已启用

下拉菜单处于隐藏状态。用户必须在用户名文本框中输入以下值之一。

用户名(不允许为多个域使用同一个用户名)

domain\username

username@domain.com

已禁用(默认)

已禁用

如果在客户端上配置了默认域,则在下拉菜单中显示默认域。如果客户端无法识别默认域,则在下拉菜单中显示 *DefaultDomain*。用户必须在用户名文本框中输入以下值之一。

用户名(不允许为多个域使用同一个用户名)

domain\username

username@domain.com

已启用

已启用

下拉菜单处于隐藏状态。用户必须在用户名文本框中输入以下值之一。

用户名(不允许为多个域使用同一个用户名)

domain\username

username@domain.com

已启用

已禁用

用户可以在用户名文本框中输入一个用户名,然后从下拉菜单中选择一个域。或者,用户可以在用户名文本框中输入以下值之一。

domain\username

username@domain.com

确定空应用程序会话保持打开的时间。如果应用程序会话中运行的所有应用程序都已关闭,此会话便为空。当会话为打开状态时,用户可更快地打开应用程序。如果将空应用程序会话断开连接或注销,可以节省系统资源。选择从不立即,或者设置分钟数作为超时值。默认值为在 1 分钟后。如果您选择立即,会话将在 30 秒内注销或断开连接。

您可以通过在安装 Horizon Agent 的 RDS 主机上编辑注册表项,来进一步缩短会话注销或断开连接的时间。导航到 HKEY_LOCAL_MACHINE\SOFTWARE\VMware, Inc.\VMware VDM\Plugins\wssm\applaunchmgr\Params 并设置 WindowCheckInterval 的值。默认值为 20000。这表示每 20 秒轮询一次空会话检查,也就是将从最后一个应用程序关闭到会话注销之间的最长时间设置为 40 秒。您可以将此值更改为 2500。这表示每 2.5 秒轮询一次空会话检查,也就是将从最后一个应用程序关闭到会话注销之间的最长时间设置为 5 秒。