Filterrichtlinieneinstellungen, die Sie für Horizon Agent und Horizon Client konfigurieren können, legen fest, welche USB-Geräte von einem Clientcomputer an einen Remote-Desktop oder eine Remoteanwendung umgeleitet werden können. Die USB-Gerätefilterung wird oft von Unternehmen verwendet, um die Verwendung von Massenspeichergeräten auf Remote-Desktops zu deaktivieren oder um die Weiterleitung eines bestimmten Gerätetyps wie eines USB-Ethernet-Adapters zu blockieren, der das Client-Gerät mit dem Remote-Desktop verbindet.
Wenn Sie eine Verbindung mit einem Desktop oder einer Anwendung herstellen, lädt Horizon Client die Horizon Agent-USB-Richtlinieneinstellungen herunter und verwendet diese in Verbindung mit den Horizon Client-USB-Richtlinieneinstellungen, um zu bestimmen, welche USB-Geräte Sie vom Clientcomputer umleiten dürfen.
Horizon wendet jegliche Richtlinieneinstellungen zum Gerätesplitten an, bevor die Filterrichtlinieneinstellungen angewendet werden. Wenn Sie ein USB-Verbundgerät gesplittet haben, prüft Horizon jede der Geräteschnittstellen, um zu entscheiden, welche gemäß den Filterrichtlinieneinstellungen ausgeschlossen oder eingeschlossen werden sollte. Wenn Sie kein USB-Verbundgerät gesplittet haben, wendet Horizon die Filterrichtlinieneinstellungen auf das gesamte Gerät an.
Die Richtlinien zum Gerätesplitten sind in der ADMX-Vorlagendatei zur Konfiguration von Horizon Agent (vdm_agent.admx) enthalten.
Interaktion der von Agent erzwungenen USB-Einstellungen
Die folgende Tabelle zeigt die Modifizierer an, die festlegen, wie Horizon Client mit einer Horizon Agent-Filterrichtlinieneinstellung für eine Einstellung umgeht, die vom Agenten erzwungen werden kann, wenn eine äquivalente Filterrichtlinieneinstellung für Horizon Client vorhanden ist.
Modifizierer | Beschreibung |
---|---|
m (Zusammenführen) | Horizon Client wendet die Horizon Agent-Filterrichtlinieneinstellung zusätzlich zur Horizon Client-Filterrichtlinieneinstellung an. Im Falle der booleschen Einstellungen „true/false“ werden die Agent-Einstellungen verwendet, wenn die Client-Richtlinie nicht festgelegt wurde. Wenn die Client-Richtlinie festgelegt wurde, werden die Agent-Einstellungen mit Ausnahme der Einstellung Exclude All Devices ignoriert. Wenn die Richtlinie Exclude All Devices auf der Agenten-Seite festgelegt wird, überschreibt die Richtlinie die Client-Einstellung. |
o (Außer Kraft setzen) | Horizon Client verwendet die Horizon Agent-Filterrichtlinieneinstellung anstelle der Horizon Client-Filterrichtlinieneinstellung. |
Beispiel: Die folgende Richtlinie auf der Agenten-Seite überschreibt alle Einbeziehungsregeln auf dem Client, und nur das Gerät VID-0911_PID-149a enthält eine angewendete Einbeziehungsregel:
IncludeVidPid: o:VID-0911_PID-149a
Sie können auch Sternchen als Platzhalterzeichen verwenden, wie beispielsweise: o:vid-0911_pid-****
Interaktion der vom Client interpretierten USB-Einstellungen
Die folgende Tabelle zeigt die Modifizierer an, die festlegen, wie Horizon Client mit einer Horizon Agent-Filterrichtlinieneinstellung für eine Client-interpretierte Einstellung umgeht.
Modifizierer | Beschreibung |
---|---|
Default (d in der Registrierungseinstellung) | Wenn keine Horizon Client-Filterrichtlinieneinstellung vorhanden ist, verwendet Horizon Client die Horizon Agent-Filterrichtlinieneinstellung. Wenn eine Horizon Client-Filterrichtlinieneinstellung vorhanden ist, wendet Horizon Client diese Richtlinieneinstellung an und ignoriert die Horizon Agent-Filterrichtlinieneinstellung. |
Override (o in der Registrierungseinstellung) | Horizon Client verwendet die Horizon Agent-Filterrichtlinieneinstellung anstelle jeder entsprechenden Horizon Client-Filterrichtlinieneinstellung. |
Horizon Agent wendet die Filterrichtlinieneinstellungen für Client-interpretierte Einstellungen auf seiner Seite der Verbindung nicht an.
Die folgende Tabelle zeigt Beispiele dafür an, wie Horizon Client die Einstellungen für Allow Smart Cards verarbeitet, wenn Sie verschiedene Filtermodifizierer verwenden.
Einstellung „Smartcards zulassen“ auf Horizon Agent | Einstellung „Smartcards zulassen“ auf Horizon Client | Effektive, von Horizon Client verwendete Richtlinieneinstellung zum Zulassen von Smartcards |
---|---|---|
Disable - Default Client Setting (d:false in der Registrierungseinstellung) | true (Zulassen) | true (Zulassen) |
Disable - Override Client Setting (o:false in der Registrierungseinstellung) | true (Zulassen) | false (Deaktivieren) |
Wenn Sie die Richtlinie Disable Remote Configuration Download auf true setzen, ignoriert Horizon Client sämtliche Filterrichtlinieneinstellungen, die von Horizon Agent eingehen.
Horizon Agent wendet die Filterrichtlinieneinstellungen in durch den Agenten erzwingbaren Einstellungen auf seiner Seite der Verbindung immer an, selbst dann, wenn Sie Horizon Client so konfigurieren, dass eine andere Filterrichtlinieneinstellung verwendet werden soll oder Sie für Horizon Client festlegen, keine Filterrichtlinieneinstellungen von Horizon Agent herunterzuladen. Horizon Client informiert nicht darüber, dass Horizon Agent die Umleitung eines Geräts verhindert.
Rangfolge von Einstellungen
Horizon Client evaluiert die Filterrichtlinieneinstellungen entsprechend einer Rangfolge. Eine Filterrichtlinieneinstellung, die verhindert, dass ein passendes Gerät umgeleitet wird, hat Vorrang vor der äquivalenten Filterrichtlinieneinstellung, die das Gerät einschließt. Wenn Horizon Client keine Filterrichtlinieneinstellung findet, die ein Gerät ausschließt, lässt Horizon Client die Umleitung des Geräts zu, es sei denn, Sie haben die Richtlinie Exclude All Devices auf true gesetzt. Wenn Sie jedoch in Horizon Agent eine Filterrichtlinieneinstellung zum Ausschließen des Geräts konfiguriert haben, blockiert der Desktop bzw. die Anwendung jeden Versuch, das Gerät an ihn bzw. sie umzuleiten.
Horizon Client evaluiert die Filterrichtlinieneinstellungen in der Rangfolge, wobei die Horizon Client-Einstellungen und die Horizon Agent-Einstellungen zusammen mit den Modifiziererwerten beachtet werden, die für die Horizon Agent-Einstellungen gelten. Die folgende Liste zeigt die Rangfolge an, wobei Element 1 den höchsten Rang hat.
- Exclude Path
- Include Path
- Exclude Vid/Pid Device
- Include Vid/Pid Device
- Exclude Device Family
- Include Device Family
- Allow Audio Input Devices, Allow Audio Output Devices, Allow HIDBootable, Allow HID (Non Bootable and Not Mouse Keyboard), Allow Keyboard and Mouse Devices, Allow Smart Cards und Allow Video Devices
- Kombinierte effektive Richtlinie zum Ausschließen aller Geräte (Exclude All Devices) evaluiert zum Ausschließen oder Einschließen aller USB-Geräte
Sie können die Filterrichtlinieneinstellungen Exclude Path und Include Path nur für Horizon Client festlegen. Die Filterrichtlinien Allow, die sich auf separate Gerätefamilien beziehen, haben denselben Rang.
Wenn Sie eine Richtlinieneinstellung zum Ausschließen von Geräten konfigurieren, die auf Anbieter- oder Produkt-ID-Werten basiert, schließt Horizon Client ein Gerät aus, dessen Anbieter- oder Produkt-ID-Werte dieser Richtlinieneinstellung entsprechen, obwohl Sie möglicherweise eine Richtlinieneinstellung Allow für die Familie konfiguriert haben, zu der das Gerät gehört.
Die Rangfolge für Richtlinieneinstellungen löst Konflikte zwischen den Richtlinieneinstellungen. Wenn Sie Allow Smart Cards konfigurieren, um die Umleitung von Smart Cards zuzulassen, hat jede Ausschlussrichtlinie höheren Ranges Vorrang vor dieser Richtlinie. Möglicherweise haben Sie eine Richtlinieneinstellung Exclude Vid/Pid Device konfiguriert, um Smartcard-Geräte mit übereinstimmenden Pfad-, Anbieter- oder Produkt-ID-Werten auszuschließen, oder vielleicht haben Sie eine Richtlinieneinstellung Exclude Device Family konfiguriert, die die smart-card-Gerätefamilie insgesamt ausschließt.
Wenn Sie beliebige Horizon Agent-Filterrichtlinieneinstellungen konfiguriert haben, evaluiert Horizon Agent diese und erzwingt die Filterrichtlinieneinstellungen in der folgenden Reihenfolge im Remote-Desktop bzw. in der Remoteanwendung, wobei Element 1 die höchste Priorität hat.
- Exclude Vid/Pid Device
- Include Vid/Pid Device
- Exclude Device Family
- Include Device Family
- Ein vom Agenten erzwungener Richtliniensatz Exclude All Devices, der alle USB-Geräte ein- oder ausschließt
Horizon Agent erzwingt diesen begrenzten Satz Filterrichtlinieneinstellungen auf seiner Seite der Verbindung.
Durch das Definieren von Richtlinieneinstellungen für Horizon Agent können Sie eine Filterrichtlinie für nicht verwaltete Clientcomputer erstellen. Die Funktion ermöglicht es Ihnen auch, die Umleitung von Geräten von Clientcomputern zu blockieren, selbst dann, wenn die Filterrichtlinieneinstellungen für Horizon Client die Umleitung zulassen.
Wenn Sie z. B. eine Richtlinie konfigurieren, die zulässt, dass Horizon Client ein Gerät umleiten lässt, blockiert Horizon Agent das Gerät, wenn Sie eine Richtlinie für Horizon Agent konfigurieren, nach der das Gerät ausgeschlossen werden soll.
Beispiele für das Festlegen von Richtlinien zum Filtern von USB-Geräten
Die hier verwendeten Hersteller- und Produkt-IDs sind nur Beispiele. Weitere Informationen zum Festlegen der Hersteller- und Produkt-ID für ein bestimmtes Gerät finden Sie unter Verwenden von Protokolldateien für die Fehlerbehebung und das Bestimmen von USB-Geräte-IDs.
- Schließen Sie auf dem Client ein bestimmtes Gerät von der Umleitung aus:
Exclude Vid/Pid Device: Vid-0341_Pid-1a11
- Blockieren Sie alle Speichergeräte von der Umleitung an diesen Desktop- oder Anwendungspool. Verwenden Sie eine Einstellung der Agenten-Seite:
Exclude Device Family: o:storage
- Blockieren Sie Audio- und Videogeräte für alle Benutzer in einem Desktop-Pool, um sicherzustellen, dass diese Geräte immer für die Echtzeit-Audio/Video-Funktion verfügbar sind. Verwenden Sie eine Einstellung der Agenten-Seite:
Exclude Device Family: o:video;audio
Eine andere Strategie würde im Ausschließen bestimmter Geräte nach Hersteller- und Produkt-ID bestehen.
- Blockieren Sie auf dem Client alle Geräte von der Umleitung mit Ausnahme eines bestimmten Geräts:
Exclude All Devices: true Include Vid/Pid Device: Vid-0123_Pid-abcd
- Schließen Sie alle Geräte aus, die von einem bestimmten Unternehmen hergestellt wurden, da diese Geräte zu Problemen für Ihre Endbenutzer führen können. Verwenden Sie eine Einstellung der Agenten-Seite:
Exclude Vid/Pid Device: o:Vid-0341_Pid-*
- Schließen Sie auf dem Client zwei bestimmte Geräte ein, alle anderen Geräte jedoch aus:
Exclude All Devices: true Include Vid/Pid Device: Vid-0123_Pid-abcd;Vid-1abc_Pid-0001