Remote desktop generic usb device перенаправление что это

Обновлено: 06.07.2024

Моя ОС - это Windows 7, и у меня есть удаленный хост Windows 8.1, который я могу использовать RDP для перенаправления локального USB-устройства на Windows 8.1. Но перенаправление USB не работает на хосте Windows 10. Как включить его в Windows 10?

У меня также были проблемы с использованием RemoteFX USB Redirection на клиенте Windows 7 на удаленный хост в Azure под управлением Windows 10, в то время как конфигурация той же машины успешно перенаправляла USB на виртуальную машину Windows 8.1 Azure.

Чтобы было ясно, у меня не было проблем с перенаправлением USB для обычных устройств (флэш-накопителей, принтеров и т.д.), Которые поддерживаются ванильной настройкой удаленного рабочего стола. Этот тип перенаправления USB, например, позволяющий мне видеть флэш-диск, который я подключаю к своему клиенту Windows 7, прекрасно работает для меня, как я вижу это в проводнике на виртуальной машине Azure.

Сравнение стандартного перенаправления RDP и перенаправления RemoteFX подробно описано в этой записи блога.

computer icon

Моя конкретная проблема перенаправления USB связана с классами устройств, которые не обрабатываются базовым перенаправлением высокого уровня RDP, и для этого я включил перенаправление USB RemoteFX в предыдущих выпусках Windows. Когда это работает правильно, значок компьютера () появляется в строке заголовка удаленного рабочего стола, позволяя мне выбрать, какое устройство должно быть перенаправлено на виртуальную машину.

Titlebar when RemoteFX USB Redirection is working


Заголовок, когда работает RemoteFX USB Redirection

Следование инструкциям на многочисленных веб-ресурсах по включению перенаправления RemoteFX USB работало для меня в более ранних версиях ОС (например, Windows 8.1 на виртуальной машине Azure), но не работало на любой созданной мной виртуальной машине Windows 10. Titlebar упорно оставался без функции перенаправления USB RemoteFX.

Titlebar when RemoteFX USB Redirection was not working


Заголовок, когда RemoteFX USB Redirection не работал

Я наконец наткнулся на эту тему, которая решила мою проблему.

Кажется, на хосте Windows 10 требуется еще один шаг по сравнению с предыдущими версиями ОС, а именно:

Запустите gpedit.msc на целевой виртуальной машине (целевой виртуальной машине Windows 10), чтобы запустить Group Policy Editor . gpedit.msc может быть введен из диалогового окна запуска (используйте WinKey + R ), если у вас есть права администратора, или запустите CMD.EXE с повышенными CMD.EXE и введите gpedit.msc из командной строки.

Найдите пункт Computer Configuration\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Session Host\Device and Resource Redirection\ Do not allow supported Plug and Play device redirection из древовидной структуры Group Policy Editor .

Странно установить этот пункт на Disabled .

Запустите gpupdate/force из командной строки с повышенными gpupdate/force .

По крайней мере отключите сеанс RDP и подключитесь снова, если это не работает, перезагрузите целевую ВМ.

В этой статье описывается, почему определенные USB-устройства недоступны для RemoteFX usb-перенаправления и как сделать их доступными.

Применяется к: Windows 7 Пакет обновления 1
Исходный номер КБ: 2653326

Симптомы

В системе, RemoteFX включена перенаправление USB, устройства следующих типов не могут быть указаны в удаленном настольном подключении в категории Другие поддерживаемые RemoteFX USB-устройства:

  • Принтер
  • Аудиозапись/воспроизведение
  • Массовые служба хранилища устройства (примеры включают жесткие диски, диски CD/DVD-RW, флэш-накопители и считыватели карт памяти)
  • Считыватель смарт-карт
  • PTP Camera
  • MTP Media Player
  • Apple iPod/iPod Touch/iPhone/iPad
  • КПК Blackberry
  • Windows Мобильный PDA
  • Сетевой адаптер

Кроме того, композитные устройства, которые содержат интерфейс устройства, соответствующий любому из этих типов устройств, также не могут быть перечислены в удаленном подключении к настольным компьютерам в категории Другие поддерживаемые RemoteFX USB-устройства.

Причина

По умолчанию устройства в категориях, указанных в разделе "Симптомы", доступны в удаленном сеансе с помощью методов перенаправления устройств высокого уровня. Эти методы перенаправления обеспечивают оптимальную производительность и обратную совместимость устройства в большинстве пользовательских сценариев. Поэтому эти устройства не предлагаются через RemoteFX USB-перенаправление.

Решение

Предусмотрен механизм переопределения, позволяющий выборочно включить использование определенных типов устройств в категориях, упомянутых в разделе "Симптомы" с помощью RemoteFX перенаправления USB. Типы устройств, включенные с помощью этого механизма, будут доступны для перенаправления USB RemoteFX и будут отображаться в удаленном подключении к настольным компьютерам в категории Другие поддерживаемые RemoteFX USB-устройства. Для использования устройства через RemoteFX usb-перенаправление необходимо выбрать устройство для удаленного доступа с помощью пользовательского интерфейса удаленного подключения к рабочему столу, строки файлов usbdevicestoredirect:s: RDP или другого метода.

В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. Для дополнительной защиты создайте резервную копию реестра, прежде чем редактировать его. Так вы сможете восстановить реестр, если возникнет проблема. Дополнительные сведения о том, как создать и восстановить реестр, щелкните следующий номер статьи, чтобы просмотреть статью в базе знаний Майкрософт: 322756 Как создать и восстановить реестр в Windows
Чтобы включить тип устройства для перенаправления RemoteFX USB, выполните следующие действия:

Удалите все экземпляры устройств хранения USB из клиента.

Убедитесь, что устройства хранения USB не могут быть установлены на клиенте с помощью групповой политики.

Определите соответствующий GUID класса интерфейса для типа устройства, который необходимо сделать доступным. Примеры:

Тип устройства GUID класса интерфейса
Жесткий диск
CD-ROM

Полный список всех классов интерфейса интерфейса устройств, определенных системой, перейдите на следующий веб-сайт Microsoft Developer Network: System-Defined Device Interface Classes

Для устройства с несколькими GUID-интерфейсами класса, которые должны быть доступны с помощью этого механизма, в реестр должен быть добавлен только один соответствующий GUID класса интерфейса.

Добавление следующих GUID-интерфейсов не поддерживается:

  • GUID_CLASS_USB_DEVICE
  • GUID_CLASS_USB_HOST_CONTROLLER
  • GUID_CLASS_USBHUB
  • GUID_DEVINTERFACE_USB_DEVICE
  • GUID_DEVINTERFACE_USB_HOST_CONTROLLER
  • GUID_DEVINTERFACE_USB_HUB

Найдите следующий ключ в реестре клиентского компьютера (то есть компьютер, использующий приложение удаленного подключения к рабочему столу для подключения к другому компьютеру):

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\Client\UsbSelectDeviceByInterfaces
В этом ключе используйте следующий формат, чтобы добавить значение guID для каждого класса интерфейса устройства, которое необходимо сделать доступным:

Тип: REG_SZ (String) Name: Любые уникальные строковые данные: GUID класса интерфейса в следующем формате: , где каждый x представляет гексадецимальную цифру, случай нечувствительный. Пример, RemoteFX USB-перенаправление дисков CD-ROM, добавьте следующее значение:

Тип: REG_SZ: 100 Data:

Или запустите следующую команду из командной подсказки администратора:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\Client\UsbSelectDeviceByInterfaces" /v 100 /t REG_SZ /d /f

Перезапустите удаленное подключение к рабочему столу, если оно запущено в настоящее время.

Дополнительная информация

Инструкции по настройке развертывания RemoteFX USB для Windows 7 SP1 перейдите на следующий веб-сайт Microsoft Technet:
Настройка перенаправления USB Microsoft RemoteFX с помощью пошагового руководства

Дополнительные сведения о перенаправлении usb RemoteFX, просмотрите следующую статью в блоге служб удаленного рабочего стола:
Введение Microsoft RemoteFX USB-перенаправления: часть 3

USB for Remote Desktop (USB-over-Network)
USB for Remote Desktop позволяет вам работать с USB-устройствами с терминального сервера, в то время как они подключены к вашей локальной рабочей станции. Устройства отображаются так, как если бы они были подключены прямо к серверу.
Программа состоит из двух частей: Server и Workstation. Вы должны установить Workstation на компьютер, к которому физически подключено USB-устройство. Server нужно установить на отдаленный сервер, с которого вы будете получать доступ к устройствам.
Свойства программы:
Возможность работать с отдаленными USB-устройствами как с локальными.
Поддержка протокола RDP.
Переадресация с рабочей станции неограниченного количества USB-устройств.
Подключение к серверу неограниченного количества USB-устройств.
Поддержка широкого выбора USB-устройств.
Автоматическая переадресация USB-устройств.
Автоматическая переадресация списка исключений
Поддержка безопасного перемещения USB-устройств.


Serial to Ethernet Connector
Serial over Ethernet позволяет открывать общий доступ к максимум 255 устройствам с последовательной передачей данных через TCP/IP сеть превращая Ваш компьютер в низко-затратный терминальный сервер. Таким образом, любое устройство с последовательной передачей данных, присоединенное к СОМ порту может быть доступно с любого другого компьютера, вне зависимости его расположения. Когда присоединенное устройство отсылает данные, они будут фактически переданы по TCP/IP сети. Это возможно благодаря использованию технологии виртуальных последовательных портов, которые являются абсолютными копиями реальных СОМ портов. Операционная система Windows воспринимает виртуальные порты абсолютно так же как реальные, что позволяет не ограничиваться двумя портами в системе и создавать соединения через СОМ порт фактически не занимая реальных портов. Serial over Ethernet позволяет создавать четыре различных типа соединений: Port-to-port, Port-to-TCP client, Port-to-TCP server и Port-to-UDP.



Parallels Parallels Remote Application Server (RAS) представляет из себя RDP с человеческим лицом, но некоторые его фишки должны быть настроены на стороне Windows Server (либо в виртуальных машинах, которые вы используете). Под катом рекомендации Матвея Коровина из команды техподдержки Parallels о настройках Windows Server при использовании RAS.

Ниже будут представлены групповые политики, которые смогут сделать ваш Parallels RAS (или просто сервер терминалов) более удобным и безопасным. Для более целевого использования приведенных ниже конфигураций, рекомендуем создать отдельную группу пользователей Parallels RAS и применять групповые политики именно к ней.



Часть первая. «Запрещательная»

Прячем элементы эксплорера (Диски, кнопка «Пуск» и тд)
По умолчанию при подключении к терминальному серверу \ виртуальной машине пользователь, добавленный в группу «Пользователи удаленного рабочего стола» увидит полностью функциональный рабочий стол.

Локальные диски будут ему видны и часто доступны. Согласитесь, это неплохая дыра в безопасности, если пользователь даже со своими лимитированными правами будет иметь возможность доступа к локальным дискам и файлам на удаленном сервере.

Даже если установить правильное разграничение доступа и тем самым обезопасить себя пугливый юзверь все равно будет путать диски терминального сервера со своими локальными дисками и в ужасе звонить в тех поддержку. Наилучшим решением такой ситуации будет спрятать локальные диски терминального сервера от пытливого взора энд юзера.

Расположение групповой политики:

User Configuration\Policies\Administrative Templates\Windows Components\Windows Explorer

И измените значение следующих опций:

• Hide these specified drives in My Computer — изменив значение этой опции, вы можете убрать упоминание конкретных дисков из меню компьютера и всех связанных меню, однако это не запрещает доступ к дискам. Если пользователь задаст абсолютный адрес диска, то он откроется.
• Prevent access to drives from My Computer — запретить доступ к конкретным дискам. При включении этой опции доступ к дискам будет ограничен, но диски будут отображены в file explorer.

Что еще можно спрятать от пользователя, используя эту групповую политику:

• Remove Run menu from Start Menu – при активации убирает кнопку «Пуск» из меню
• Remove Search button from Windows Explorer – здесь все просто: поиск в эксплорере будет недоступен
• Disable Windows Explorer's default context menu – это функция лишает пользователя возможности вызывать менюшку правым кликом мыши (можно купить старых мышек от мака и сэкономить на одной кнопке)

После написания этой части проснулась просто-таки депутатская страсть к запретам. На этом фоне стоит рассказать вам, какими способами можно запретить пользователю все.

Запрещаем использование командной строки (даже если пользователь сможет открыть CMD ему останется просто любоваться черным окошком с уведомлением о запрете доступа)

Расположение групповой политики:

User Configuration → Policies → Administrative Templates → System → Prevent access to the command promt.

Меняем значение на enabled.

Опция Disable the command prompt script processing also запрещает пользователю выполнять скрипты.

Есть один нюанс: если у вас настроены логон скрипты при включении этой опции, они выполняться не будут.

Убираем кнопки выключения \ перезагрузки \ сна (будет обидно, если удаленный пользователь случайно выключит терминальный сервер)

Расположение групповой политики:

User Configuration → Administrative Templates → Start Menu and Taskbar → Remove and prevent access to the Shut Down, Restart, Sleep, and Hibernate Commands

При включении этой опции пользователь сможет только заблокировать сессию или разлогиниться из нее.

Запрещаем Автозапуск «Управление сервером» при логине
Расположение групповой политики:

Computer Configuration → Policies → Administrative Templates → System → Server Manager → Do not display Server Manager automatically at logon

Меняем значение на enabled.

Запрещаем запуск PowerShell
Расположение групповой политики:

User Configuration → Policies → Administrative Templates → System → Don’t run specified Windows applications

Включаем эту политику и добавляем туда следующие приложения
powershell.exe and powershell_ise.exe

Этой политикой можно запретить запуск любых установленных (а также не установленных) приложений.

Прячем элементы панели управления
Расположение групповой политики:

User Configuration → Administrative Templates → Control Panel → Show only specified Control Panel items.

При включении этой политики все элементы панели управления будут скрыты от пользователя. Если пользователю должны быть доступны какие-либо элементы, добавьте их в исключения.

Запрещаем запуск редактора реестра
Расположение групповой политики:

User Configuration → Policies → Administrative Templates → System → Prevent access to registry editing tools

Меняем значение на enabled.

Запрещаем все
Логичным завершением этой части статьи будет рассказ о том, как запретить пользователям все. Есть мнение, что пользователь должен подключиться к удаленному рабочему столу, посмотреть на него и, убедившись в торжестве технического прогресса, отключиться.

Для достижения этой цели нам нужно создать групповую политику добавления дополнительных ключей в реестре Windows:

Расположение групповой политики:

User Configuration\Preferences\ Windows Settings\Registry
Кликаем правой кнопкой мыши по Registry затем New затем Registry item

Добавляем новый REG_DWORD параметр RestrictRun со значением 1 в ключ реестра
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\

Теперь пользователю запрещено запускать любые приложения кроме системных.

Как запретить ему пользоваться CMD и Power Shell описано выше.

Если вы все-таки решите (исключительно по доброте душевной) разрешить пользователям запуск каких-либо приложений, их нужно будет добавить в «разрешительный список» путем создания в ключе

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RestrictRun

Значением типа string, используя порядковый номер разрешаемой программы в качестве имени (нумерация как это не странно начинается с 1), и именем разрешаемой программы в качестве значения.

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RestrictRun]
String Name:«1»=«notepad.exe»
String Name «2»=«calc.exe»

При такой конфигурации пользователь сможет запустить только блокнот и калькулятор.

На этом хочется закончить «Запрещательную» часть. Конечно, можно упомянуть еще некоторое количество «Низя», но все это настраивается через Parallels Client и встроенные политики Parallels RAS.


Часть вторая. «Время и прочая романтика»

Установка временных лимитов для удаленных сессий

Бывает, что пользователь запускает приложение в фоне и может даже не пользоваться им. Если для обычных приложений это не страшно, то запущенное в фоне опубликованное приложение / рабочий стол занимает лицензию, а лицензии, как бы дико это не звучало для России, стоят денег.

Для решения этого вопроса умные люди из Microsoft придумали различные статусы терминальных сессий и временные лимиты для них.

Какие бывают статусы терминальных сессий:

Active – сессия активна и в ней что-то происходит. Пользователь двигает мышкой, нажимает на кнопки и создает имитацию бурной деятельности
IDLE – соединение есть, сессия запущена, приложение работает, но пользователь активности не проявляет
Disconnected – пользователь нажал крестик и отключился. Объяснять конечному пользователю, что за зверь логоф и чем он питается — бесполезно.

Наиболее целесообразно устанавливать временные рамки на IDLE и Disconnected сессий.
В них ничего не происходит, а лицензии занимаются.

Добиться этого мы можем опять-таки, используя групповые политики.

Расположение групповой политики:

User Configuration → Policies → Administrative Templates Administrative Templates → Windows Components → Remote Desktop Services → Remote Desktop Session Host → Session Time Limits

В этой ветке есть несколько опций. Давайте разберем их все:

Set time limit for active but idle Remote Desktop Services sessions

Максимальное время работы для Active сессий.

Set time limit for active Remote Desktop Services sessions

Максимальное время работы для IDLE сессий.

Set time limit for disconnected sessions

Максимальное время работы для disconnected сессий.

End session when time limits are reached

Если установить эту политику в Enabled статус, то по достижению временного лимита сессии будут завершаться, а не отключаться.

Настройка временных лимитов – важный шаг для оптимизации работы сервера и оптимизации затрат на ПО.

Установка времени логина для пользователей или скажем нет переработкам
У каждого из нас есть рабочий день, а также утро, вечер и ночь. Но Британские (или Мальтийские) ученые недавно выяснили, что от работы, оказывается, можно заболеть или даже умереть. Работа — это очень сильный и опасный наркотик, поэтому в ярой заботе о любимых пользователях мы должны ограничить им время, когда они могут логиниться на сервер. А то надумают тоже работать из дома, отпуска и по выходным. И помогут нам в этом не групповые политики. Настройка времени работы находится в свойствах пользователя. Где-то далеко в начале этой статьи я упоминал, что все манипуляции лучше производить со специально созданной группой пользователей Parallels RAS, так вот, на примере этой группы мы и разберем, как установить часы работы.

Идем в левый нижний угол нашего экрана, нажимаем кнопку пуск и печатаем dsa.msc
Откроется всеми любимая оснастка Active Directory Users and Computers.

Найдите созданную вами группу пользователей Parallels RAS кликните по ней правой кнопкой мыши и зайдите в свойства. Во вкладке Account будет опция Logon Hours в которой нужно выбрать разрешенные и запрещенные часы работы для группы.

Итог этого раздела:

1. Вы великолепны
2. Жизни пользователей спасены от переработки


Часть третья. «Интерактивная»

Используя опубликованные ресурсы, часто приходится не только запрещать все подряд на сервере, но и перенаправлять в удаленную сессию локальные ресурсы. И если с принтерами, сканерами, дисками, звуком и COM портами никаких сложностей не возникнет, Parallels RAS прекрасно их перенаправляет без дополнительных настроек со стороны Windows, то с перенаправлением USB устройств и веб камер все не так просто.

Для перенаправления данного типа оборудования нужно, чтобы звезды сошлись в правильном порядке не только на сервере, но и на клиентской машине:

На компьютере пользователя измените следующую групповую политику:

Computer Configuration → Administrative Templates → Windows Components → Remote Desktop Services → Remote Desktop Connection Client → RemoteFX USB Device Redirection
Присвойте ей значение Enabled

Теперь в свойствах Parallels клиента (Connection Properties → Local Resources) вы сможете выбрать, какое именно из подключенных USB устройств должно быть перенаправлено на сервер.

Примечание: USB устройство может быть задействовано либо в опубликованном приложении, либо на локальном компьютере, но не одновременно и там, и там.

На стороне сервера необходимо установить драйверы и все необходимое ПО для работы USB устройства. К сожалению, универсального драйвера для всего подряд человечество еще не придумало.

На этом хотелось бы завершить обзор настроек Windows, которые будут важны для работы Parallels RAS.


З.Ы. Таких длинных текстов писать не доводилось давно, отсюда огромная благодарность всем тем, кто осилил эту статью.

Читайте также: