將這些內容置於項目符號項目內的段落中,以方便查看。然後,如果需要,您可以參考表格內的段落。

Windows 虛擬桌面平台是單一工作階段虛擬機器。

此版本的 Horizon Client 可與已安裝 Horizon Agent 7.5 或更新版本的 Windows 虛擬桌面平台搭配使用。支援的客體作業系統包括 Windows 7、Windows 8.x、Windows 10、Windows Server 2012 R2、Windows Server 2016 和 Windows Server 2019,但具有下列限制:

Windows Server 2019 虛擬桌面平台需要 Horizon Agent 7.7 或更新版本。

Horizon Agent 2006 及更新版本不支援 Windows 7 和 Windows 8.x 虛擬桌面平台。

RDS 主機是已安裝 Windows 遠端桌面服務和 Horizon Agent 的伺服器電腦。多個使用者可以同時在一部 RDS 主機上擁有已發佈的桌面平台工作階段。RDS 主機可以是實體機器,也可以是虛擬機器。

此版本的 Horizon Client 可與已安裝 Horizon Agent 7.5 或更新版本的 RDS 主機搭配使用。支援的客體作業系統包括 Windows Server 2012、Windows Server 2012 R2、Windows Server 2016 和 Windows Server 2019,但具有下列限制:

Windows Server 2019 RDS 主機需要 Horizon Agent 7.7 或更新版本。

Horizon Agent 2006 及更新版本不支援 Windows Server 2012 RDS 主機。

如需所支援 Linux 客體作業系統的清單以及所支援功能的相關資訊,請參閱《在 Horizon 中設定 Linux 桌面平台》文件。

RDS 主機是已安裝 Windows 遠端桌面服務和 Horizon Agent 的伺服器電腦。多個使用者可以同時在一部 RDS 主機上擁有遠端桌面工作階段。RDS 主機可以是實體機器,也可以是虛擬機器。

表格 1. RDS 主機所支援的功能

功能

Windows Server 2012 和 Windows Server 2012 R2 RDS 主機

Windows Server 2016 RDS 主機

Windows Server 2019 RDS 主機

RSA SecurID 或 RADIUS

X

X

X

智慧卡

X

X

X

單一登入

X

X

X

PCoIP 顯示通訊協定

X

X

X

VMware Blast 顯示通訊協定

X

X

X

HTML Access

X

X

X

USB 重新導向

X

X

X

用戶端磁碟機重新導向

X

X

X

VMware Integrated Printing 和依據位置列印

X

X

X

多台監視器

X

X

X

即時音訊視訊 (RTAV)

X

X

X

可透過 VMware Blast 顯示通訊協定或 PCoIP 顯示通訊協定,支援 4K (3840 x 2160) 的遠端桌面平台畫面解析度。支援的 4K 顯示器數目取決於桌面平台虛擬機器的硬體版本以及 Windows 版本。

硬體版本

Windows 版本

支援的 4K 顯示器數目

10 (ESXi 5.5.x 相容)

7、8、8.x、10

1

11 (ESXi 6.0 相容)

7

(停用 3D 轉譯功能和 Windows Aero)

3

11

7

(啟用 3D 轉譯功能)

1

11

8、8.x、10

1

13 或 14

7、8、8.x、10

(啟用 3D 轉譯功能)

1

13 或 14

7、8、8.x、10

4

表格 2. Horizon Client 組態範本:安全性設定

設定

說明

Allow command line credentials

(電腦組態設定)

決定是否可以透過 Horizon Client 命令列選項提供使用者認證。如果已停用此設定,則使用者從命令列執行 Horizon Client 時就無法使用 smartCardPINpassword 選項。

此設定依預設為啟用。

對等的 Windows 登錄值為 AllowCmdLineCredentials

Servers Trusted For Delegation

(電腦組態設定)

指定使用者選取以目前使用者身分登入核取方塊時,接受使用者識別碼和認證資訊的連線伺服器執行個體。如果您未指定任何連線伺服器執行個體,則所有連線伺服器執行個體都可以接受這項資訊。

若要新增連線伺服器執行個體,請使用下列其中一種格式:

domain\system$

system$@domain.com

連線伺服器服務的服務主體名稱 (SPN)。

對等的 Windows 登錄值為 BrokersTrustedForDelegation

Certificate verification mode

(電腦組態設定)

設定 Horizon Client 執行的憑證檢查層級。您可以選取下列其中一種模式:

No Security。沒有憑證檢查。

Warn But Allow。如果連線伺服器主機出示自我簽署憑證,則會出現警告,但使用者仍可繼續連線到連線伺服器。憑證名稱不需要符合使用者在 Horizon Client 中提供的連線伺服器名稱。如果發生其他任何憑證錯誤情況,將會顯示錯誤對話方塊,並且阻止使用者連線到連線伺服器。Warn But Allow是預設值。

Full Security。如果發生任何類型的憑證錯誤,使用者就無法連線到連線伺服器。使用者會看見憑證錯誤。

設定此群組原則設定時,使用者可以檢視 Horizon Client 中選取的憑證驗證模式,但是無法進行設定。SSL 組態對話方塊會通知使用者,管理員已鎖定這項設定。

若未設定或已停用此設定,Horizon Client 使用者就可以選取憑證驗證模式。

如果您不想將憑證驗證設定設為群組原則,您也可以藉由修改 Windows 登錄設定來啟用憑證驗證。

Default value of the 'Log in as current user' checkbox

(電腦和使用者組態設定)

指定 Horizon Client 連線對話方塊上以目前使用者身分登入核取方塊的預設值。

此設定會覆寫 Horizon Client 安裝期間指定的預設值。

如果使用者從命令列執行 Horizon Client 並指定 logInAsCurrentUser 選項,則該值會覆寫此設定。

選取以目前使用者身分登入核取方塊時,使用者登入用戶端系統時提供的身分和認證資訊都會傳遞至連線伺服器執行個體,且最終傳遞至遠端桌面平台。取消選取此核取方塊時,使用者必須多次提供身分和認證資訊,才能存取遠端桌面平台。

此設定依預設為停用。

對等的 Windows 登錄值為 LogInAsCurrentUser

Display option to Log in as current user

(電腦和使用者組態設定)

決定是否可以在 Horizon Client 連線對話方塊上看到以目前使用者身分登入核取方塊。

如果可以看到,使用者就可以選取或取消選取該核取方塊,並且覆寫其預設值。如果隱藏,使用者就無法在 Horizon Client 連線對話方塊中覆寫該核取方塊的預設值。

您可以使用原則設定Default value of the 'Log in as current user' checkbox指定以目前使用者身分登入核取方塊的預設值。

此設定依預設為啟用。

對等的 Windows 登錄值為 LogInAsCurrentUser_Display

Enable jump list integration

(電腦組態設定)

決定跳躍清單是否會出現在 Windows 7 及更新版本系統工作列上的 Horizon Client 圖示中。跳躍清單可讓使用者連線至最近的連線伺服器執行個體和遠端桌面平台。

如果 Horizon Client 為共用狀態,您可能不希望使用者看到最近的桌面平台名稱。您可以停用此設定以停用跳躍清單。

此設定依預設為啟用。

對等的 Windows 登錄值為 EnableJumplist

Enable SSL encrypted framework channel

(電腦和使用者組態設定)

決定是否要啟用以 SSL 加密的架構通道。

啟用:啟用 SSL,但如果遠端桌面平台沒有 SSL 支援,則允許退回之前的未加密連線。

停用:停用 SSL。不建議使用此設定,但如果不存在通道,且之後可能由 WAN 加速器產品進行最佳化,則此設定可能有用。

強制執行:啟用 SSL,並拒絕連線到沒有 SSL 支援的桌面平台。

對等的 Windows 登錄值為 EnableTicketSSLAuth

Configures SSL protocols and cryptographic algorithms

(電腦和使用者組態設定)

設定加密清單,以限制在建立加密 SSL 連線之前某些密碼編譯演算法和通訊協定的使用。加密清單由一個或多個以冒號分隔的加密字串組成。

Horizon Client 的預設值為 TLSv1.1:TLSv1.2:!aNULL:kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES

備註

所有加密字串均區分大小寫。

加密套件使用 128 或 256 位元 AES,移除匿名 DH 演算法,然後依加密演算法金鑰長度為目前加密清單排序。

您可以在網頁瀏覽器中搜尋 openssl cipher string,然後查看加密清單格式。

對等的 Windows 登錄值為 SSLCipherList

如果您不想將此設定設為群組原則,您也可以將 SSLCipherList 值名稱新增至用戶端電腦上的下列其中一個登錄機碼,以啟用此設定:

針對 32 位元 Windows:HKEY_LOCAL_MACHINE\Software\VMware, Inc.\VMware VDM\Client\Security

針對 64 位元 Windows:HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\VMware,Inc.\VMware VDM\Client\Security

Enable Single Sign-On for smart card authentication

(電腦組態設定)

決定是否啟用智慧卡驗證的單一登入。啟用單一登入時,Horizon Client 會先將加密的智慧卡 PIN 儲存在暫存記憶體中,再提交至連線伺服器。停用單一登入時,Horizon Client 不會顯示自訂的 PIN 對話方塊。

對等的 Windows 登錄值為 EnableSmartCardSSO

此設定依預設為啟用。

此設定依預設為停用。

AllowDirectRDP

決定 Horizon Client 裝置之外的用戶端是否可以使用 RDP 直接連線至遠端桌面平台。停用此設定時,代理程式僅允許受 Horizon 管理的連線通過 Horizon Client

從 Mac 版 Horizon Client 連線至遠端桌面平台時,請勿停用 AllowDirectRDP 設定。如果停用此設定,則連線會失敗,並出現拒絕存取錯誤。

重要事項

Windows 遠端桌面服務必須在每個桌面平台的客體作業系統上執行。您可以使用此設定,防止使用者建立 RDP 與其桌面平台的直接連線。

AllowSingleSignon

決定是否使用單一登入 (SSO) 將使用者連線至桌面平台和應用程式。若啟用此設定,當使用者登入伺服器時,只需要輸入一次認證。若停用此設定,當使用者進行遠端連線時,則必須重新驗證。

預設沒有指定任何清單。

CommandsToRunOnConnect

指定首次連線某個工作階段時,要執行的命令或命令指令碼的清單。

CommandsToRunOnDisconnect

指定某個工作階段中斷連線時,要執行的命令或命令指令碼的清單。

CommandsToRunOnReconnect

指定某個工作階段中斷連線後重新連線時,要執行的命令或命令指令碼的清單。

ConnectionTicketTimeout

指定 Horizon 連線票證的有效時間長度 (以秒為單位)。

Horizon Client 裝置在連線至代理程式時,會使用連線票證以進行驗證和單一登入。基於安全理由,連線票證的有效時間長度是有限的。當使用者連線至遠端桌面平台時,在連線票證逾時期間內必須進行驗證,否則工作階段會逾時。如果未設定此設定,則預設的逾時期間為 900 秒。

CredentialFilterExceptions

指定不允許載入代理程式 CredentialFilter 的執行檔。檔案名稱不得包含路徑或尾碼。使用分號分隔多個檔案名稱。

Connect all USB devices to the desktop on launch

決定用戶端系統上的所有可用 USB 裝置是否在啟動桌面平台時連線至桌面平台。

Connect all USB devices to the desktop when they are plugged in

決定是否將外掛到用戶端系統的 USB 裝置連線至桌面平台。

Logon Password

指定 Horizon Client 登入時使用的密碼。Active Directory 會以純文字格式儲存密碼。

viewusb.AllowAutoDeviceSplitting

Allow Auto Device Splitting

允許複合 USB 裝置的自動分割。

該預設值未定義,其相當於 false

viewusb.SplitExcludeVidPid

Exclude Vid/Pid Device From Split

排除依照廠商和產品識別碼指定的複合 USB 裝置,不進行分割。設定的格式為 vid-xxx1_pid-yyy2[;vid-xxx2_pid-yyy2]...

您必須以十六進位指定識別碼。您可以在識別碼中使用萬用字元 (*) 以取代個別數字。

例如:vid-0781_pid-55**

該預設值未定義。

viewusb.SplitVidPid

Split Vid/Pid Device

將依照廠商和產品識別碼指定的複合 USB 裝置元件視為個別裝置。設定格式為

vid-xxxx_pid-yyyy(exintf:zz[;exintf:ww ])

您可以使用 exintf 關鍵字,藉由指定他們的介面號碼來將元件自重新導向清單中排除。您必須以十六進位指定識別碼,及以十進位指定介面號碼,包括任何前置的 0。您可以在識別碼中使用萬用字元 (*) 以取代個別數字。

例如:vid-0781_pid-554c(exintf:01;exintf:02)

備註

Horizon 不會自動包含您未明確排除的元件。您必須指定篩選原則,例如 Include Vid/Pid Device,以納入那些元件。

該預設值未定義。

viewusb.AllowAudioIn

Allow Audio Input Devices

允許將音訊輸入裝置重新導向。

該預設值未定義,其相當於 true

viewusb.AllowAudioOut

Allow Audio Output Devices

允許將音訊輸出裝置重新導向。

該預設值未定義,其相當於 false

viewusb.AllowHID

允許將鍵盤或滑鼠之外的輸入裝置重新導向。

該預設值未定義,其相當於 true

viewusb.AllowHIDBootable

Allow HIDBootable

允許將鍵盤或滑鼠以外且開機時可使用的輸入裝置 (亦稱為 HID 可開機裝置) 重新導向。

該預設值未定義,其相當於 true

viewusb.AllowDevDescFailsafe

Allow Device Descriptor Failsafe

即使在 Horizon Client 無法取得 config/device 描述元時,仍允許重新導向裝置。

若要在無法取得組態/描述元的情形允許裝置,請將其納入 Include 篩選器當中,例如 IncludeVidPidIncludePath

該預設值未定義,其相當於 false

Allow Other Input Devices

允許重新導向隱藏式可開機裝置或具備整合式指標裝置之鍵盤以外的輸入裝置。

該預設值未定義,其相當於 true

viewusb.AllowKeyboardMouse

Allow Keyboard and Mouse Devices

允許將整合指向裝置 (例如滑鼠、軌跡球或觸控板) 的鍵盤重新導向。

該預設值未定義,其相當於 false

viewusb.AllowSmartcard

Allow Smart Cards

允許將智慧卡裝置重新導向。

該預設值未定義,其相當於 false

viewusb.AllowVideo

Allow Video Devices

允許將視訊裝置重新導向。

該預設值未定義,其相當於 true

viewusb.DisableRemoteConfig

Disable Remote Configuration Download

當進行 USB 裝置篩選時,請將代理程式設定的使用設為停用。

該預設值未定義,其相當於 false

viewusb.ExcludeAllDevices

Exclude All Devices

排除所有 USB 裝置,避免重新導向。如果設定為 true,您可以使用其他原則設定,以允許將特定裝置或裝置系列重新導向。如果設定為 false,您可以使用其他原則設定,以避免將特定裝置或裝置系列重新導向。

如果在代理程式上將Exclude All Devices的值設為 true,且此設定已傳遞至 Horizon Client,則代理程式設定會覆寫 Horizon Client 設定。

該預設值未定義,其相當於 false

viewusb.ExcludeFamily

Exclude Device Family

排除裝置系列,避免重新導向。設定的格式為 family_name_1[;family_name_2]...

例如:bluetooth;smart-card

如果您已經啟用自動裝置分割功能,Horizon 便會檢驗複合 USB 裝置每個介面的裝置系列,以確認應該排除的介面。如果您已經停用自動裝置分割功能,Horizon 便會檢驗整個複合 USB 裝置的裝置系列。

該預設值未定義。

viewusb.ExcludeVidPid

Exclude Vid/Pid Device

排除具有特定廠商和產品識別碼的裝置,避免重新導向。設定的格式為 vid-xxx1_pid-yyy2[;vid-xxx2_pid-yyy2]...

您必須以十六進位指定識別碼。您可以在識別碼中使用萬用字元 (*) 以取代個別數字。

例如:vid-0781_pid-****;vid-0561_pid-554c

該預設值未定義。

viewusb.ExcludePath

Exclude Path

排除位於特定集線器或連接埠路徑上的裝置,避免重新導向。設定的格式為 bus-x1[/y1].../port-z1[;bus-x2[/y2].../port-z2]...

您必須以十六進位指定匯流排和連接埠號碼。您不能在路徑中使用萬用字元。

例如:bus-1/2/3_port-02;bus-1/1/1/4_port-ff

該預設值未定義。

viewusb.IncludeFamily

Include Device Family

納入可重新導向的裝置系列。設定的格式為 family_name_1[;family_name_2]...

例如:storage

該預設值未定義。

viewusb.IncludePath

Include Path

納入位於特定集線器或連接埠路徑上並可重新導向的裝置。設定的格式為 bus-x1[/y1].../port-z1[;bus-x2[/y2].../port-z2]...

您必須以十六進位指定匯流排和連接埠號碼。您不能在路徑中使用萬用字元。

例如:bus-1/2_port-02;bus-1/7/1/4_port-0f

該預設值未定義。

viewusb.IncludeVidPid

Include Vid/Pid Device

納入具有特定廠商和產品識別碼並可重新導向的裝置。設定的格式為 vid-xxx1_pid-yyy2[;vid-xxx2_pid-yyy2]...

您必須以十六進位指定識別碼。您可以在識別碼中使用萬用字元 (*) 以取代個別數字。

例如:vid-0561_pid-554c

該預設值未定義。

重要事項

如果您啟用在用戶端使用者介面中隱藏網域清單設定,並且為連線伺服器執行個體選取了雙因素驗證 (RSA SecureID 或 RADIUS),則請不要強制執行 Windows 使用者名稱比對。強制執行 Windows 使用者名稱比對會防止使用者在使用者名稱文字方塊中輸入網域資訊,導致登入一律會失敗。

傳送網域清單設定

在用戶端使用者介面中隱藏網域清單設定

使用者登入方式

已停用 (預設值)

已啟用

網域下拉式功能表已隱藏。使用者必須在使用者名稱文字方塊中輸入下列其中一個值。

使用者名稱 (不允許使用多個網域)

domain\username

username@domain.com

已停用 (預設值)

已停用

如果在用戶端上設定了預設網域,則網域下拉式功能表中會出現該預設網域。如果用戶端無法識別預設網域,則網域下拉式功能表中會出現 *DefaultDomain*。使用者必須在使用者名稱文字方塊中輸入下列其中一個值。

使用者名稱 (不允許使用多個網域)

domain\username

username@domain.com

已啟用

已啟用

網域下拉式功能表已隱藏。使用者必須在使用者名稱文字方塊中輸入下列其中一個值。

使用者名稱 (不允許使用多個網域)

domain\username

username@domain.com

已啟用

已停用

使用者可以在使用者名稱文字方塊中輸入使用者名稱,然後從網域下拉式功能表中選取網域。或者,使用者也可以在使用者名稱文字方塊中輸入下列其中一個值。

domain\username

username@domain.com

判定空白應用程式工作階段一直保持開啟狀態的時間長度。當工作階段中執行的所有應用程式都已關閉時,應用程式工作階段才會空白。當工作階段處於開啟狀態時,使用者可以更快地開啟應用程式。中斷空白應用程式工作階段的連線或將其登出,即可節省系統資源。選取永不立即,或設定分鐘數作為逾時值。預設值為 1 分鐘後。如果選取立即,則工作階段將在 30 秒內登出或中斷連線。

您可以藉由編輯 Horizon Agent 安裝所在之 RDS 主機上的登錄機碼,進一步縮短將工作階段登出或中斷連線的時間。導覽至 HKEY_LOCAL_MACHINE\SOFTWARE\VMware, Inc.\VMware VDM\Plugins\wssm\applaunchmgr\Params,並設定 WindowCheckInterval 的值。預設值為 20000。這表示空白工作階段檢查的輪詢為每 20 秒一次,而這會將最後一個應用程式工作階段關閉到工作階段登出之間的最長時間設為 40 秒。您可將此值變更為 2500。這表示空白工作階段檢查的輪詢為每 2.5 秒一次,而這會將最後一個應用程式關閉到工作階段登出之間的最長時間設為 5 秒。