Настройка Google Chrome групповыми политиками | Windows для системных администраторов

Настройка Google Chrome групповыми политиками

Одним из основных преимуществ браузера Internet Explorer для корпоративных сред является его отличная управляемость в домене с помощью групповых политик. Но далеко не всех Internet Explorer устраивает с точки зрения безопасности, удобства, производительности, совместимости (нужное подчеркнуть). Безусловно, Microsoft делает довольно много для популяризации своего браузера – добавляет новые функции, улучшает безопасность, старается решить проблемы совместимости (вспомним хотя бы довольно полезный режим Enterprise Mode), однако можно констатировать факт – сейчас IE не является лидером на рынке веб-браузеров.

Согласно статистике, на данный момент самым популярным среди браузеров является Google Chrome, но его позиции в корпоративных сетях не слишком крепкие. От широкого внедрения и использования этого браузера  многих администраторов удерживает сложность его централизованного управления и обновления. В этой статье мы познакомимся с административными шаблонами групповых политик, предоставляемых компанией Google,  которые позволяют централизованно управлять настройками браузера Chrome, что существенно упрощает разворачивание и использование этого браузера в корпоративных сетях.

Процесс разворачивания административных шаблонов GPO для Google Chrome выглядит так:

  1. Скачайте и распакуйте архив с ADM/ADMX шаблонами групповых политик для Google Chrome( http://dl.google.com/dl/edgedl/chrome/policy/policy_templates.zip ).
  2. Для ОС Windows в архиве имеются два типа шаблонов политик: формата ADM и ADMX (последний поддерживается ОС начиная с Windows Vista / 2008 и выше).
  3. Скопируйте файлы административных шаблона в каталог, в котором они будут храниться. Не забудьте, что для того, чтобы шаблоны групповой политики были локализованы (русифицированы) нужно скопировать советующий файл шаблона. Для русского языка в случае использования ADM шаблона это будет файл \policy_templates\windows\adm\ru\chrome.adm , если используется ADMX формат шаблона, нужно скопироватьсам  файл шаблона \policy_templates\windows\admx\chrome.admx и файлы локализации \policy_templates\windows\admx\ru\chrome.adml.
    Примечание. Локальные административные шаблоны GPO хранятся в каталоге C:\Windows\PolicyDefinitions, если же вы планируете задействовать шаблоны политик для Chrome в доменной среде, можно поместить их в каталог с определенной политикой или каталог PolicyDefinitions  на SYSVOL ( в случае использовании централизованного хранилища GPO).
  4. Предположим мы планируем использовать ADMX-формат шаблона GPO и централизованное доменное хранилище политик. Скопируем файл chrome.admx и каталоги локализации в папку \\winitpro.loc\SYSVOL\winitpro.loc\Policies\PolicyDefinitions Копируем файл chrom.admx в хранилище политик
  5. Откройте консоль управления групповыми политиками (gpmc.msc) и перейдите в режим редактирования любой существующей политики (или создать новую). Убедитесь, что и в пользовательском и системном разделах Policies->Administrative Templates появился новый каталог Google, содержащий два подраздела Google Chrome и Google Chrome – Default Settings (users can override). Раздел политик GPO: Google Chrome
    Совет. Если вы не используете централизованное хранилище GPO, шаблон групповых политик для Google Chrome можно добавить в редактор политики вручную, для этого щелкните ПКМ по разделу Administrative Templates и выберите пункт Add/Remove Templates. В открывшемся окне укажите путь файлу chrome.adm . Путь желательно указывать в UNC формате, например так: \\winitpro.loc\SYSVOL\winitpro.loc\Policies\{60556A6F-2549-4C8E-A522-D3CF668E56B4}\Adm\chrome.adm Добавляем административный шаблон групповых политик google chrome

Итак, мы установили шаблоны групповых политик для браузера Google Chrome. Как мы уже говорили, новый раздел GPO содержит два подраздела: Google Chrome и Google Chrome – Default Settings (users can override). Их отличия в том, что настройки задаваемые политиками второго раздела могут быть переопределены пользователями в настройках браузера на своих компьютерах. Параметры первого раздела задаются жестко и изменить эти настройки в браузере не сможет даже локальный администратор (хотя можно выкрутится и совсем заблокировать применение групповых политик на компьютере).

Данные административные шаблоны содержат порядка 260 различных настроек Google Chrome которыми можно управлять.

Групповые политики google chrome

Все их рассматривать нецелесообразно, мы лишь продемонстрируем лишь базовые настройки Chrome которые часто требуется задавать централизованно в корпоративной среде.

Настроим прокси-сервер: нас интересует раздел политик Google Chrome -> Proxy Server

  • адрес прокси сервера: ProxyServer — 192.168.1.123:8080
  • список исключений для прокси: ProxyBypassList — http://www.corp.ru,192.168.*, *.corp.ru

Установим домашнюю страницу: Home page -> HomepageLocationhttp://winitpro.ru/

Настройка домашней страницы в chrome через gpo

Изменим местоположение папки для загрузки: Set download directory: c:\temp\downloads

Применим групповую политику к клиенту, выполнив на нем команду gpupdate /force, вызвав удаленное обновление политики или перезагрузив компьютер.

Запустим на клиенте браузер и убедимся, что в его настройках применились параметры заданные нами в групповой политике (в примере на скриншоте пользователь не может изменить назначенные администратором значения).

Окно с настройками chrome

Чтобы отобразить все настройки, которые задаются групповыми политиками непосредственно в браузере Google Chrome, перейдите по адресу Chrome://policy . Окно с параметрами, задаваемыми в Google Chrome через групповые политики

Еще записи по теме: Group Policy
Понравилась статья? Скажи спасибо и расскажи друзьям!
Назад:
Вперед:

Комментариев: 24

Оставить комментарий
  1. kaig | 01.09.2014

    сервер — Windows Server 2012, клиент — Windows 7×64. Настроил по статье, групповые политики не применяются,  думал, что мб не совместимость ос, тогда попробовал на windows 8, тут тоже самое.
     

    Ответить
    • itpro | 02.09.2014

      Сначала проверьте, действует ли созданная вами политика на компьютер. Стандартная процедура —  rsop.msc, Gpresult /r (у нас как раз недавно была статья про диагностику применения GPO)

      Ответить
  2. kaig | 02.09.2014

    gpresult /r
    Программа формирования отчета групповой политики операционной системы
    Microsoft (R) Windows (R) версии 2.0
    (С) Корпорация Майкрософт, 1981-2001
     
    Создано на 02.09.2014 в 11:49:49

     
    Данные RSOP для DOMAIN\test на NYC-PC1 : Режим ведения журнала
    ---------------------------------------------------------------
     
    Конфигурация ОС:            Рядовая рабочая станция
    Версия ОС:                  6.1.7601
    Имя сайта:                  Н/Д
    Перемещаемый профиль:                     Н/Д
    Локальный профиль:          C:\Users\test
    Подключение по медленному каналу: Нет
     
     
    Конфигурация пользователя
    --------------------------
    CN=test,OU=пользователи,DC=domain,DC=local
    Последнее применение групповой политики:  02.09.2014 в 10:20:37
    Групповая политика была применена с:      nyc-dl1.domain.local
    Порог медленного канала для групповой политики: 500 kbps
    Имя домена:                        DOMAIN
    Тип домена:                        Windows 2000
     
    Примененные объекты групповой политики
    ---------------------------------------
    Google Chrome
     
    Следующие политики GPO не были приняты, поскольку они отфильтрованы
    --------------------------------------------------------------------
    Default Domain Policy
    Фильтрация:  Не применяется (пусто)
     
    Local Group Policy
    Фильтрация:  Не применяется (пусто)
     
    Пользователь является членом следующих групп безопасности
    ---------------------------------------------------------
    Пользователи домена
    Все
    Пользователи
    ИНТЕРАКТИВНЫЕ
    КОНСОЛЬНЫЙ ВХОД
    Прошедшие проверку
    Данная организация
    ЛОКАЛЬНЫЕ
    Средний обязательный уровень

    eventvwr.msc
    Политика безопасности успешно применена
    Отчет результата групповой политики, действующий на клиента http://rghost.ru/57811755

    Ответить
    • itpro | 02.09.2014

      Политика к компьютеру применяется… А где вы храните административные шаблоны политик для Google Chrome ? Возможно у клиента нет доступа к файлам политики…
      Как вариант — попробуйте для начала протестировать применение локальной групповой политики, в которую нужно подключить административные шаблоны для Хрома (скопируйте admx файлы локально).

      Ответить
  3. kaig | 02.09.2014

    Политика хранится в \\domain.local\sysvol\polices\{xxx-xxx-xxx}\adm\chrome.adm. Разрешение на политику «Прошедшие проверку». Прилинковал к дефолтной групповой политике и она заработала, а вот при создании новой групповой политики ничего не применяется. В параметрах безопонсти стоит разрешение «прошедшие проверку», у новой политики, к примеру закидываю msi версию в программы и обновлении групповых политик, пользователь видит msi, значит групповые политики работают, но почему-то политики Google Chrome не применяются

    Ответить
    • itpro | 09.09.2014

      Почему-то мне кажется, что клиенты не могут прочитать каталог, в котором хранятся adm файлы. Попробуйте дать права на папку с шаблоном группе Domain Computers.
      Ну и посмотрите на клиенте ошибки применения групповой политики — обычно информация в них довольно содержательна.

      Ответить
  4. kaig | 10.09.2014

    Разобрался, так как политики действуют на компьютеры, а в OU их не было, был только пользователь, то соответственно политики не применялись, переместил учетную запись компьютера в соответствующее подразделение и все заработала (глупая ошибка), единственное, что не очень хорошо, некоторых приходилось выводить и заново заводить в домен. Жду статьи по firefox и gpo. Прикрутить удалось, но добавление сертификата в  доверенные ЦС получилось извращенным.

    Ответить
  5. Alex | 28.01.2015

    день добрый. как он дружит с перемещаемыми профилями?

    Помнится предыдущие версии много хлама хранили в папках %appdata% roaming.

    Ответить
    • itpro | 28.01.2015

      Насколько я знаю проблема с перемещаемыми профилями с Google Chrome все еще актуальна.
      По-умолчанию профиль пользователя хранится в C:\Users\user_name\AppData\Local\Google\Chrome\User Data и даже если через политики/реестр переопределить этот путь, не гаратировано, что Chrome с этими настройками запустится на другом компьютере.

      Ответить
      • Сергей | 19.06.2015

        Так ведь «AppData\Local» как раз не перемещается. А в «AppData\Roaming» Хром вообще ничего не хранит.
        Только нужно Хром ставить «автономным» установщиком. Который саму программу положит в Program Files, как это должно вообще-то быть по всем канонам программирования под Windows.
        Стандартный установщик положит и данные и саму программу в AppData\Roaming, что само собой не совместимо с перемещаемыми профилями вообще. На мой взгляд за такой инсталятор надо в голову гвоздь забивать сразу! Впрочем всем нам понятно что Хром завоёвывал рынок по сути вирусными технологиями, поэтому возможность устанавливаться на комп без администраторских прав была критична.
        Автономный установщик скачивается тут:
        https://support.google.com/chrome/answer/126299?hl=ru

        PS Мне в ремонт приносят много домашних компов. На 99% из них всегда установлен Хром. Я для интереса спрашивал зачем вы его ставили? Так вот 90% людей отвечало, что не ставили его и не знают от куда он взялся на их компе :)

        Ответить
  6. Fancier | 28.01.2015

    Настроил Локальные GPO, но хром упорно не хочет их отрабатывать ((
    http://clip2net.com/s/3bjSKh7

    Ответить
    • itpro | 28.01.2015

      Административные шаблоны с политиками для Chrome подключались вручную из консоли gpedit? Или скопировали admx файлы в
      C:\Windows\PolicyDefinitions?
      Такое ощущение что не все файлы скопированы…Не забыли скопировать каталог ru с русифицированной версией политики?

      Ответить
  7. Сергей | 09.06.2015

    Нужно включить запрос папки для сохранения при каждой загрузке. Но вот именно этого параметра я в политиках не нашел почему-то… Плохо смотрел?

    Ответить
    • itpro | 18.06.2015

      Тоже его не нашел, видимо разработчикам показался этот параметр неважным

      Ответить
      • Сергей | 18.06.2015

        Ну да, у них наверное пользовательские папки Download файловые сервера не переполняют…

        Ответить
        • itpro | 19.06.2015

          Если у вас стоит Chrome на сервере (я так понимаю в пользователи работают терминальном режиме) аппетиты пользователей можно обуздать так:
          1) С помощью политики перенаправляете папку Downlods на отдельный раздел (если отдельный раздел создать не получается, можно создать vhd диск)
          2) Назначить на новый диск дисковую квоты: к примеру, с правилом, по которому суммарный размер файлов любого пользователя не превышал 300 мб.

          Ответить
          • Сергей | 19.06.2015

            Не совсем так (хотя терминал тоже есть). У всех пользователей все личные папки политикой перенаправлены на файловый сервер. Квота и всяческие запреты на хранение не нужных типов файлов конечно настроены.
            Но живем мы в реальном мире и работаем с реальными людьми. Большинство из которых с компами «не очень». Да если даже и «очень», то кто из них задумывается, что место на файловом сервере (и на хранилище бэкапов кстати) не резиновое?
            Короче. В реальной жизни что происходит? По моему все современные браузеры кроме IE по умолчанию настроены так что файл без вопросов скачивается в папку Download. В итоге юзер нажал на скачку файла. Файл тихо скачался. Дальше либо юзер сразу нажал «открыть», файл открылся, он его посмотрел, закрыл, файл остался в даунлоаде лежать на веки вечные. Или еще смешнее — файл тихо скачался. Его сразу не окрыл. Потом у него возникает вопрос «А куда же он скачался, ёпт?». Вроде и смешно, а реально наверно 70% людей не могут понять куда браузер скачал файл. В итоге он жмет на скачку еще раз, файл скачивается еще, он юзер опять не понимает куда, жмет еще раз и тд. Потом открываешь даунлоад, а там один и тоже файл (2), (3), (4) и тд. По факту папка с загрузками часто самая большая во всем профиле. При этом сам пользователь и знать не знает что там лежит, т.е. файлы не актуальны.
            И с другой стороны — замечено, что если браузер будет спрашивать при загрузке куда сохранять файл, то почти все выберут Рабочий стол. Рабочий стол всегда на виду и имеет тенденцию хотя бы иногда чиститься, даже пользователями которые «с компами не очень».
            Вот такой ход моих мыслей.

            Ответить
            • Евгений | 02.10.2016

              Именно поэтому всегда меняю пользователям дефолтную паку скачивания на «Рабочий стол» и запрещаю менять.
              Пользователь НИКОГДА не станет разбирать завалы в Downloads, а большинство вообще про эту папку ничего не знают и знать не желают. Если поставить квоты — результатом будет крик «Караул, компьютер не работает» — и вызов. То есть, чистить придётся мне же. А на «рабочем столе» пользователь вынужден будет чистить. И у него никогда не возникнет вопрос: «Куда оно скачалось?» И нефиг его каждый раз спрашивать. На «рабочий стол». Понадобится — он сам потом переместит файл куда ему удобней.

            • Сергей | 02.10.2016

              Тоже вариант, согласен.

  8. Михаил | 26.08.2015

    Можно ли сделать браузером по умолчанию в домене этим методом ? Или возможно поменять лишь внутренние настройки браузера?

    Ответить
    • itpro | 27.08.2015

      В рассмотренных административных шаблонах есть политика Set Chrome As Default Browser, видимо вам нужна именно она. Судя по описанию, политика при первом запуске Chrome проверяет является ли он браузером по-умолчанию и автоматически делает его таковым.

      Ответить
      • Михаил | 27.08.2015

        Я пробовал эту политику, но она лишь проверяет является ли хром браузером по умолчанию, а не назначает его . То есть пользователь щелкнув по URL ссылке, откроет его в старом браузере. А принудительно выставлять браузер по умолчанию придется через правки ключей реестра.

        Ответить
  9. Александр | 23.05.2016

    Добрый день.
    Настройки GPO действительно хорошие, но как заставить chrome не отсылать в корпоративной среде запросы на адреса типа:clients1.google.com,clients2.google.com,safebrowsing.google.com и т.д.

    Ответить
Полные правила комментирования на сайте winitpro.ru. Вопросы, не связанные с содержимым статьи или ее обсуждением удаляются.

Сказать Спасибо! можно на этой странице или (еще лучше) поделиться с друзями ссылкой на понравившуюся статью в любимой социальной сети(специально для этого на сайте присуствуют кнопки популярных соц. сетей).

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Я не робот( Обязательно отметьте)



MAXCACHE: 0.29MB/0.00157 sec