Les paramètres de stratégie de filtre que vous configurez pour Horizon Agent et Horizon Client déterminent les périphériques USB pouvant être redirigés d'un ordinateur client vers une application ou un poste de travail distant. Le filtrage des périphériques USB est généralement utilisé par les entreprises pour empêcher le recours à des périphériques de stockage de masse sur les postes de travail distants ou pour bloquer le transfert d'un type de périphérique spécifique, comme l'adaptateur USB vers Ethernet qui connecte le périphérique client au poste de travail distant.
Lorsque vous vous connectez à un poste de travail ou une application, Horizon Client télécharge les paramètres de stratégie USB d'Horizon Agent et les utilise avec les paramètres de stratégie USB d'Horizon Client afin de décider quels périphériques USB il vous autorisera à rediriger à partir de l'ordinateur client.
Horizon applique tous les paramètres de stratégie de fractionnement de périphérique avant d'appliquer les paramètres de stratégie de filtre. Si vous avez fractionné un périphérique USB composite, Horizon examine les interfaces de chacun des périphériques pour décider laquelle exclure ou inclure, conformément aux paramètres de stratégie de filtre. Dans le cas contraire, Horizon applique les paramètres de stratégie de filtre à l'ensemble du périphérique.
Les stratégies de fractionnement de périphérique sont incluses dans le fichier de modèle d'administration ADMX pour la configuration d'Horizon Agent (vdm_agent.adm).
Interaction des paramètres USB appliqués par l'agent
Le tableau suivant présente les modificateurs qui spécifient de quelle manière Horizon Client gère un paramètre de stratégie de filtre d'Horizon Agent pour un paramètre applicable par l'agent, s'il existe un paramètre de stratégie de filtre équivalent pour Horizon Client.
Modificateur | Description |
---|---|
m (fusionner) | Horizon Client applique le paramètre de stratégie de filtre d'Horizon Agent en plus du paramètre de stratégie de filtre d'Horizon Client. En cas de paramètres booléens ou vrai/faux, si la stratégie du client n'est pas définie, les paramètres de l'agent sont utilisés. Si la stratégie du client est définie, les paramètres de l'agent sont ignorés, à l'exception du paramètre Exclude All Devices. Si la stratégie Exclude All Devices est définie du côté de l'agent, elle remplace le paramètre du client. |
o (remplacer) | Horizon Client utilise le paramètre de stratégie de filtre d'Horizon Agent à la place de celui d'Horizon Client. |
Par exemple, la stratégie suivante du côté de l'agent remplace toutes les règles d'inclusion du côté du client, et une règle d'inclusion sera appliquée uniquement au périphérique VID-0911_PID-149a :
IncludeVidPid: o:VID-0911_PID-149a
Vous pouvez également utiliser des astérisques comme caractères génériques ; par exemple : o:vid-0911_pid-****
Interaction des paramètres USB interprétés par le client
Le tableau suivant présente les modificateurs qui spécifient de quelle manière Horizon Client gère un paramètre de stratégie de filtre d'Horizon Agent pour un paramètre interprété par le client.
Modificateur | Description |
---|---|
Default (d dans le paramètre de registre) | En l'absence de paramètre de stratégie de filtre d'Horizon Client, Horizon Client utilise le paramètre de stratégie de filtre d'Horizon Agent. S'il existe un paramètre de stratégie de filtre d'Horizon Client, Horizon Client applique celui-ci et ignore celui d'Horizon Agent. |
Override (o dans le paramètre de registre) | Horizon Client utilise le paramètre de stratégie de filtre d'Horizon Agent à la place d'un paramètre de stratégie de filtre équivalent d'Horizon Client. |
Horizon Agent n'applique pas les paramètres de stratégie de filtre pour des paramètres interprétés par un client de son côté de la connexion.
Le tableau suivant montre les différentes manières dont Horizon Client traite les valeurs de l'option Allow Smart Cards lorsque vous spécifiez différents modificateurs de filtre.
Paramètre Autoriser les cartes à puce dans Horizon Agent | Paramètre Autoriser les cartes à puce dans Horizon Client | Paramètre de stratégie Autoriser les cartes à puce effectif utilisé par Horizon Client |
---|---|---|
Disable - Default Client Setting (d:false dans le paramètre de registre) | true (autoriser) | true (autoriser) |
Disable - Override Client Setting (o:false dans le paramètre de registre) | true (autoriser) | false (désactiver) |
Si vous définissez la stratégie Disable Remote Configuration Download sur la valeur true, Horizon Client ignore les paramètres de stratégie de filtre qu'il reçoit d'Horizon Agent.
Horizon Agent applique toujours les paramètres de stratégie de filtre aux paramètres applicables par l'agent de son côté de la connexion, même si vous configurez Horizon Client afin qu'il utilise un paramètre de stratégie de filtre différent ou qu'il désactive le téléchargement de paramètres de stratégie de filtre par Horizon Client auprès d'Horizon Agent. Horizon Client ne signale pas qu'Horizon Agent empêche le transfert d'un périphérique.
Priorité des paramètres
Horizon Client évalue les paramètres de stratégie de filtre selon un ordre de priorité. Un paramètre de règle de filtre qui exclut la redirection d'un périphérique correspondant est prioritaire sur le paramètre de règle de filtre équivalent qui inclut le périphérique. Si Horizon Client ne rencontre pas de paramètre de stratégie de filtre visant à exclure un périphérique, Horizon Client permet au périphérique d'être redirigé, sauf si vous avez défini la stratégie Exclude All Devices sur true. Toutefois, si vous avez configuré un paramètre de stratégie de filtre sur Horizon Agent afin d'exclure le périphérique, l'application ou le poste de travail bloque toute tentative de redirection du périphérique vers lui.
Horizon Client évalue les paramètres de stratégie de filtre par ordre de priorité, en tenant compte des paramètres d'Horizon Client et de ceux d'Horizon Agent, ainsi que des valeurs de modificateur que vous appliquez aux paramètres d'Horizon Agent. La liste suivante répertorie l'ordre de priorité, l'élément 1 ayant la priorité la plus élevée.
- Exclude Path
- Include Path
- Exclude Vid/Pid Device
- Include Vid/Pid Device
- Exclude Device Family
- Include Device Family
- Allow Audio Input Devices, Allow Audio Output Devices, Allow HIDBootable, Allow HID (Non Bootable and Not Mouse Keyboard), Allow Keyboard and Mouse Devices, Allow Smart Cards et Allow Video Devices
- Règle Exclude All Devices effective combinée évaluée pour exclure ou inclure tous les périphériques USB
Vous pouvez définir les paramètres de stratégie de filtre Exclude Path et Include Path uniquement pour Horizon Client. Les paramètres de règle de filtre Allow qui font référence à des familles de périphériques séparés ont la même priorité.
Si vous configurez un paramètre de stratégie afin d'exclure les périphériques en fonction des valeurs d'ID de fournisseur et de produit, Horizon Client exclut un périphérique dont les valeurs d'ID de fournisseur et de produit correspondent à cette stratégie, même si vous auriez pu configurer une stratégie Allow pour la famille à laquelle appartient le périphérique.
L'ordre de priorité des paramètres de règle résout des conflits entre les paramètres de règle. Si vous configurez Allow Smart Cards pour autoriser la redirection de cartes à puce, tout paramètre de règle d'exclusion avec une priorité supérieure remplace ce paramètre. Par exemple, vous pouvez avoir configuré un paramètre de règle Exclude Vid/Pid Device pour exclure les périphériques à carte à puce avec un chemin ou des valeurs d'ID de fournisseur et de produit correspondants, ou vous pouvez avoir configuré un paramètre de règle Exclude Device Family qui exclut également la famille de périphériques smart-card entièrement.
Si vous avez configuré un paramètre de stratégie de filtre d'Horizon Agent, Horizon Agent évalue et applique les paramètres de stratégie de filtre dans l'ordre de priorité suivant sur l'application ou le poste de travail distant, l'élément 1 ayant la priorité la plus élevée.
- Include a device by Vendor/Product ID
- Include a device by USB family
- Exclude a device by Vendor/Product ID
- Exclude a device by USB family
- Exclude all USB devices
Horizon Agent applique cet ensemble limité de paramètres de règle de filtre de son côté de la connexion.
En définissant des paramètres de règle de filtre pour Horizon Agent, vous pouvez créer un paramètre de filtrage pour des ordinateurs client non gérés. Cette fonctionnalité vous permet également de bloquer le transfert des périphériques depuis les ordinateurs clients, même si les paramètres de stratégie de filtre d'Horizon Client autorisent la redirection.
Par exemple, si vous configurez une stratégie permettant à Horizon Client d'autoriser la redirection d'un périphérique, Horizon Agent bloque celui-ci si vous configurez une stratégie pour qu'Horizon Agent l'exclue.
Exemples de définition de règles pour filtrer des périphériques USB
Les ID de fournisseurs et de produits utilisés dans ces exemples sont employés uniquement à titre d'exemple. Pour plus d'informations sur la détermination des ID de fournisseur et de produit d'un périphérique spécifique, reportez-vous à Utilisation de fichiers journaux pour le dépannage et pour déterminer les ID de périphérique USB.
- Sur le client, excluez la redirection d'un périphérique particulier :
Exclude Vid/Pid Device: Vid-0341_Pid-1a11
- Bloquez la redirection de tous les périphériques de stockage vers ce pool d'applications ou de postes de travail. Utilisez un paramètre côté agent :
Exclude Device Family: o:storage
- Pour tous les utilisateurs d'un pool de postes de travail, bloquez les périphériques audio et vidéo pour vous assurer qu'ils seront toujours disponibles pour la fonctionnalité Audio-vidéo en temps réel. Utilisez un paramètre côté agent :
Exclude Device Family: o:video;audio
Notez qu'une autre stratégie consisterait à exclure des périphériques spécifiques par ID de fournisseur et de produit.
- Sur le client, bloquez la redirection de tous les périphériques, à l'exception d'un périphérique particulier :
Exclude All Devices: true Include Vid/Pid Device: Vid-0123_Pid-abcd
- Excluez tous les périphériques fabriqués par une entreprise spécifique, car ils posent problème à vos utilisateurs finaux. Utilisez un paramètre côté agent :
Exclude Vid/Pid Device: o:Vid-0341_Pid-*
- Sur le client, incluez deux périphériques spécifiques mais excluez tous les autres :
Exclude All Devices: true Include Vid/Pid Device: Vid-0123_Pid-abcd;Vid-1abc_Pid-0001