Самопроизвольный проброс Rutoken S на VDI через Horizon Client 3.5

У нас настроено через Административные шаблоны VMWare полная блокировка всех USB устройств по умолчанию. А затем отдельными GPO настроено исключение из первого правила. Таким образом мы (добавляя компьютеры в нужные группы безопасности AD) можем контролировать кому какое устройство (флешки, USB принтеры, гарнитуры и т.п.) можно пробрасывать. Т.е. все давно настроено и работает как надо и не первый месяц.

Но вот с Rutolen S совсем странная картина: При подключении ключа на клиенте, он автоматически пробрасывается на VDI и отображается в Панели управления Рутокен (это при том что ПК не был добавлен ни в какую группу доступа)! На панели Horizon не отображается доступных к пробросу устройств (No Suitable USB devices available). Т.е. как будто нет никакого блокирующего правила...

Т.к. сам Horizon не смог отнести ключ к какому либо семейству USB устройств, пришлось создавать еще одно отдельное GPO пробрасывающее по VID_**** PID_****

После добавления ПК в группу доступа разрешающую проброс этого устройства, оно корректно отображается в списке доступных устройств на панели Horizon и видится в Панели управления Рутокен ( т.е. галочка пробрасывать не включена), НО когда его подключаешь, ключ перестает видится в Панели управления Рутокен, при этом корректно появляется и видится в диспетчере устройств Windows!

Т.е. если коротко, то все работает с точностью до наоборот..

Почему происходит такой поведение я понять не могу, борюсь с этой проблемой уже месяц, перечитал кучу всего, нигде такого не было, обычно у всех проблема с включением проброса..