部分高度安全的环境要求您防止用户可能已连接到其客户端设备的所有 USB 设备重定向至其远程桌面和应用程序。您可以为所有桌面池、特定桌面池或桌面池中的特定用户禁用 USB 重定向。
选择以下适合您的情形的任何策略:
- 在桌面映像或 RDS 主机上安装 Horizon Agent 时,取消选中 USB 重定向安装选项。(该选项默认为取消选中。)此方法可防止访问从桌面映像或 RDS 主机部署的所有远程桌面和应用程序上的 USB 设备。
- 在控制台中,编辑特定池的 USB 访问策略,以拒绝或允许访问。通过此方法,不必更改桌面映像,且可以控制对特定桌面和应用程序池中 USB 设备的访问。
只有全局 USB 访问策略可用于已发布的桌面池和应用程序池。无法为单个已发布的桌面池或应用程序池设置此策略。
- 在控制台中,当您在桌面或应用程序池级别设置策略后,可以通过选择用户覆盖设置和选择用户覆盖池中特定用户的策略。
- 根据需要在 Horizon Agent 端或在客户端将Exclude All Devices策略设置为 true。
- 使用智能策略创建一个策略,以禁用 USB 重定向 Horizon 策略设置。通过此方法,您可以在满足特定条件的情况下禁用特定远程桌面上的 USB 重定向。例如,您可以配置一个策略,以在用户从您的企业网络外部连接到远程桌面时禁用 USB 重定向。
如果将Exclude All Devices策略设置为 true,Horizon Client 会阻止重定向所有 USB 设备。您可以使用其他策略设置以允许重定向指定设备或设备系列。如果将策略设置为 false,Horizon Client 将允许重定向所有 USB 设备(其他策略设置阻止的设备除外)。在 Horizon Agent 和 Horizon Client 上均可以设置此策略。下表显示了如何组合可以为 Horizon Agent 和 Horizon Client 设置的Exclude All Devices策略,从而为客户端计算机生成有效的策略。默认情况下,所有 USB 设备都可以被重定向,除非设备被阻止。
在 Horizon Agent 上排除所有设备策略 | 在 Horizon Client 上排除所有设备策略 | 结合使用有效的排除所有设备策略 |
---|---|---|
false 或未定义(包含所有 USB 设备) | false 或未定义(包含所有 USB 设备) | 包含所有 USB 设备 |
false(包含所有 USB 设备) | true(排除所有 USB 设备) | 排除所有 USB 设备 |
true(排除所有 USB 设备) | 任意或未定义 | 排除所有 USB 设备 |
如果已将Disable Remote Configuration Download策略设置为 true,则 Horizon Agent 上Exclude All Devices的值不会传递给 Horizon Client,但 Horizon Agent 和 Horizon Client 会强制使用Exclude All Devices的本地值。
这些策略包含在 Horizon Agent 配置 ADMX 模板文件 (vdm_agent.admx) 中。有关更多信息,请参阅《Horizon 远程桌面功能和 GPO》中的“Horizon Agent 配置 ADMX 模板中的 USB 设置”。