Für bestimmte Umgebungen mit hohen Sicherheitsanforderungen müssen Sie für alle USB-Geräte, die Benutzer an ihre Clientgeräte angeschlossen haben, die Umleitung an die Remote-Desktops und ‑Anwendungen verhindern. Sie können die USB-Umleitung für alle Desktop-Pools, bestimmte Desktop-Pools oder bestimmte Benutzer in einem Desktop-Pool deaktivieren.
Sie können jede der folgenden Strategien Ihrer Situation entsprechend anwenden:
- Wenn Sie Horizon Agent auf einem Desktop-Image oder RDS-Host installieren, deaktivieren Sie die Setup-Option USB-Umleitung. (Diese Option ist standardmäßig deaktiviert.) Dadurch wird der Zugriff auf USB-Geräte auf allen Remote-Desktops und ‑Anwendungen verhindert, die über das Desktop-Image oder den RDS-Host bereitgestellt werden.
- Bearbeiten Sie in Horizon Console die Richtlinie USB-Zugriff für einen bestimmten Pool, um den Zugriff entweder zu verweigern oder zuzulassen. Bei dieser Vorgehensweise müssen Sie das Desktop-Image nicht ändern und können den Zugriff auf USB-Geräte in bestimmten Desktop-Pools und Anwendungspools steuern.
Nur die globale Richtlinie USB-Zugriff ist für veröffentlichte Desktop und ‑Anwendungspools verfügbar. Diese Richtlinie kann nicht für einzelne veröffentlichte Desktop oder Anwendungspools festgelegt werden.
- Nachdem Sie die Richtlinie in Horizon Console auf Desktop- oder Anwendungspool-Ebene festgelegt haben, können Sie die Richtlinie für einen bestimmten Benutzer im Pool außer Kraft setzen, indem Sie die Einstellung Benutzer-Außerkraftsetzung und anschließend einen Benutzer auswählen.
- Legen Sie die Richtlinie Exclude All Devices auf true fest, je nach Bedarf entweder auf Horizon Agent-Seite oder auf Client-Seite.
- Erstellen Sie mit Intelligente Richtlinien eine Richtlinie, die die Horizon-Richtlinieneinstellung USB-Umleitung deaktiviert. Mit diesem Vorgehen können Sie die USB-Umleitung auf einem bestimmten Remote-Desktop deaktivieren, wenn bestimmte Bedingungen erfüllt sind. Sie haben beispielsweise die Möglichkeit, eine Richtlinie zu konfigurieren, mit der die USB-Umleitung deaktiviert wird, wenn ein Benutzer von einem Gerät außerhalb des Unternehmensnetzwerks eine Verbindung mit dem Remote-Desktop herstellt.
Wenn Sie für die Richtlinie Exclude All Devices die Option true festlegen, verhindert Horizon Client, dass alle USB-Geräte umgeleitet werden. Sie können andere Richtlinieneinstellungen verwenden, um zuzulassen, dass bestimmte Geräte oder Gerätefamilien umgeleitet werden. Wenn Sie für diese Richtlinie false festlegen, lässt Horizon Client zu, dass alle USB-Geräte umgeleitet werden, mit Ausnahme derer, die durch andere Richtlinieneinstellungen blockiert werden. Sie können die Richtlinie sowohl für Horizon Agent als auch für Horizon Client festlegen. Die folgende Tabelle zeigt, wie sich die Richtlinie Exclude All Devices, die Sie für Horizon Agent und Horizon Client festlegen können, zu einer effektiven Richtlinie für den Clientcomputer kombinieren lässt. Standardmäßig können alle USB-Geräte umgeleitet werden, es sei denn, sie wären anderweitig blockiert.
Richtlinie „Alle Geräte ausschließen“ auf Horizon Agent | Richtlinie „Alle Geräte ausschließen“ auf Horizon Client | Kombinierte effektive Richtlinie zum Ausschließen aller Geräte |
---|---|---|
false oder nicht definiert (alle USB-Geräte einschließen) | false oder nicht definiert (alle USB-Geräte einschließen) | Include all USB devices (Alle USB-Geräte einschließen) |
false (alle USB-Geräte einschließen) | true (alle USB-Geräte ausschließen) | Exclude all USB devices (Alle USB-Geräte ausschließen) |
true (alle USB-Geräte ausschließen) | Beliebig oder nicht definiert | Exclude all USB devices (Alle USB-Geräte ausschließen) |
Wenn Sie die Richtlinie Disable Remote Configuration Download auf true setzen, wird der Wert von Exclude All Devices auf Horizon Agent nicht an Horizon Client weitergegeben. Horizon Agent und Horizon Client erzwingen dann den lokalen Wert von Exclude All Devices.
Diese Richtlinien sind in der ADMX-Vorlagendatei zur Konfiguration von Horizon Agent (vdm_agent.admx) enthalten.