您為 Horizon AgentHorizon Client 設定的篩選器原則設定,將決定可將哪些 USB 裝置從用戶端電腦重新導向至遠端桌面平台或應用程式。公司通常使用 USB 裝置篩選在遠端桌面平台上停用大量儲存裝置或封鎖轉送特定類型的裝置,例如,將用戶端裝置連線至遠端桌面平台的 USB 乙太網路介面卡。

連線至桌面平台或應用程式時,Horizon Client 會下載 Horizon Agent USB 原則設定,並結合使用 Horizon Client USB 原則設定,以決定您可從用戶端電腦重新導向哪些 USB 裝置。

Horizon 會先套用任何裝置分割原則設定,然後才會套用篩選器原則設定。如果您已分割複合 USB 裝置,Horizon 會根據篩選器原則設定檢查裝置的每個介面,以決定應排除或包含哪些裝置。如果您未分割複合 USB 裝置,Horizon 會將篩選器原則設定套用至整個裝置。

裝置分割原則包含在 Horizon Agent 組態 ADMX 範本檔 (vdm_agent.admx) 中。

代理程式強制 USB 設定的互動

下表列出修飾詞,指定在 Horizon Client 具有與代理程式可強制的設定對等的篩選器原則設定時,Horizon Client 將如何處理 Horizon Agent 篩選器原則設定。

表 1. 代理程式可強制設定的篩選器修飾詞
修飾詞 說明
m (合併) 除了 Horizon Client 篩選器原則設定,Horizon Client 還會套用 Horizon Agent 篩選器原則設定。在原則設定為 Boolean 或 true/false 的情況下,如果未設定用戶端原則,則會使用代理程式設定。如果已設定用戶端原則,則會忽略除 Exclude All Devices 設定之外的代理程式設定。如果已在代理程式端上設定 Exclude All Devices 原則,則該原則會覆寫用戶端設定。
o (覆寫) Horizon Client 會使用 Horizon Agent 篩選器原則設定,而非 Horizon Client 篩選器原則設定。

例如,代理程式端上的以下原則會覆寫用戶端上的所有包括規則,並且僅裝置 VID-0911_PID-149a 會套用包括規則:

IncludeVidPid: o:VID-0911_PID-149a

也可以使用星號做為萬用字元;例如:o:vid-0911_pid-****

重要: 如果將代理程式端設定為沒有 om 修飾詞,則組態規則會被視為無效並且將被忽略。

用戶端轉譯 USB 設定的互動

下表列出修飾詞,指定 Horizon Client 如何為用戶端轉譯的設定處理 Horizon Agent 篩選器原則設定。

表 2. 用戶端轉譯設定的篩選器修飾詞
修飾詞 說明
Default (在登錄設定中為 d)

如果 Horizon Client 篩選器原則設定不存在,Horizon Client 將會使用 Horizon Agent 篩選器原則設定。

如果 Horizon Client 篩選器原則設定存在,則 Horizon Client 會套用此原則設定,並忽略 Horizon Agent 篩選器原則設定。

Override (在登錄設定中為 o) Horizon Client 會使用 Horizon Agent 篩選器原則設定,而非任何對等的 Horizon Client 篩選器原則設定。

Horizon Agent 不會在其連線端上為用戶端轉譯的設定套用篩選器原則設定。

下表顯示了您指定其他篩選器修飾詞時,Horizon Client 如何處理 Allow Smart Cards 設定的範例。

表 3. 將篩選器修飾詞套用至用戶端轉譯設定的範例
允許 Horizon Agent 上的智慧卡設定 允許 Horizon Client 上的智慧卡設定 有效允許由 Horizon Client 使用的智慧卡原則設定
Disable - Default Client Setting (在登錄設定中為 d:false) true (允許) true (允許)
Disable - Override Client Setting (在登錄設定中為 o:false) true (允許) false (停用)

如果您將 Disable Remote Configuration Download 原則設為 trueHorizon Client 將會忽略任何從 Horizon Agent 接收的篩選器原則設定。

即使您將 Horizon Client 設定為使用其他篩選器原則設定,或停用 Horizon ClientHorizon Agent 下載篩選器原則設定的功能,則 Horizon Agent 一律會在其連線端上,於代理程式可強制執行的設定中套用篩選器原則設定。Horizon Client 不會報告 Horizon Agent 正在封鎖轉送裝置。

設定的優先順序

Horizon Client 會根據優先順序評估篩選器原則設定。排除相符裝置重新導向的篩選器原則設定,優先於包含該裝置的同等篩選器原則設定。如果 Horizon Client 沒有遇到要排除裝置的篩選器原則設定,Horizon Client 就會允許裝置重新導向,除非已將 Exclude All Devices 原則設為 true。不過,如果已設定 Horizon Agent 上的篩選器原則設定以排除裝置,桌面平台或應用程式就會封鎖對其重新導向裝置的任何嘗試。

Horizon Client 會以下列優先順序評估篩選器原則設定,其中考量了 Horizon Client 設定、Horizon Agent 設定,以及您套用至 Horizon Agent 設定的修飾詞值。以下清單顯示了優先順序,項目 1 的優先順序最高。

  1. Exclude Path
  2. Include Path
  3. Exclude Vid/Pid Device
  4. Include Vid/Pid Device
  5. Exclude Device Family
  6. Include Device Family
  7. Allow Audio Input DevicesAllow Audio Output DevicesAllow HIDBootableAllow HID (Non Bootable and Not Mouse Keyboard)Allow Keyboard and Mouse DevicesAllow Smart CardsAllow Video Devices
  8. 已結合經評估為排除或包含所有 USB 裝置的有效Exclude All Devices原則

您可以僅為 Horizon Client 設定 Exclude PathInclude Path 篩選器原則設定。參考個別裝置系列的Allow篩選器原則設定有同等優先性。

如果您將原則設定設為根據廠商和產品識別碼值排除裝置,則 Horizon Client 會排除其廠商和產品識別碼值符合此原則設定的裝置,即使您已對該裝置所屬的系列設定 Allow 原則設定也一樣。

原則設定的優先順序可以解決原則設定之間的衝突。如果您設定Allow Smart Cards,以允許重新導向智慧卡,則任何更高優先級的排除原則設定均會覆寫此原則。例如,您可能已設定Exclude Vid/Pid Device原則設定,以排除具有相符路徑或供應商與產品識別碼值的智慧卡裝置,或可能已設定Exclude Device Family原則設定,這樣也會全面排除smart-card裝置系列。

如果您已設定任何 Horizon Agent 篩選器原則設定,Horizon Agent 就會在遠端桌面平台或應用程式上依照下列優先順序 (項目 1 的優先順序最高) 評估並強制執行篩選器原則設定。

  1. Include a device by Vendor/Product ID
  2. Include a device by USB family
  3. Exclude a device by Vendor/Product ID
  4. Exclude a device by USB family
  5. Exclude all USB devices

Horizon Agent 會在其連線端上強制執行這一組限定的篩選器原則設定。

定義 Horizon Agent 的篩選器原則設定後,您就可以為非受管用戶端電腦建立篩選器原則。此功能也允許您封鎖裝置從用戶端電腦轉送,即使 Horizon Client 的篩選器原則設定允許重新導向也一樣。

例如,如果您將原則設定為讓 Horizon Client 允許裝置重新導向,但若 Horizon Agent 的原則已設定為排除該裝置,那麼 Horizon Agent 還是會封鎖裝置。

設定原則以篩選 USB 裝置的範例

這些範例中使用的廠商識別碼和產品識別碼只是範例。如需判定特定裝置之廠商識別碼和產品識別碼的相關資訊,請參閱使用記錄檔進行疑難排解及判定 USB 裝置識別碼

  • 在用戶端上,排除特定裝置,避免重新導向:
    Exclude Vid/Pid Device:     Vid-0341_Pid-1a11
  • 封鎖所有儲存裝置,避免重新導向至此桌面平台或應用程式集區。使用代理程式端設定:
    Exclude Device Family:      o:storage  
  • 對於桌面平台集區中的所有使用者,封鎖音訊及視訊裝置,以確保這些裝置永遠可用於即時音訊視訊功能。使用代理程式端設定:
    Exclude Device Family:      o:video;audio 

    請注意,其他策略會根據廠商和產品識別碼排除特定裝置。

  • 在用戶端上,封鎖除特定裝置以外的所有裝置,避免重新導向:
    Exclude All Devices:        true
    Include Vid/Pid Device:     Vid-0123_Pid-abcd
  • 排除某個特定公司製造的所有裝置,因為這些裝置會為使用者帶來問題。使用代理程式端設定:
    Exclude Vid/Pid Device:     o:Vid-0341_Pid-*
  • 在用戶端上,包括兩個特定裝置,但排除所有其他裝置:
    Exclude All Devices:        true
    Include Vid/Pid Device:     Vid-0123_Pid-abcd;Vid-1abc_Pid-0001