Настройка Google Chrome с помощью ADMX шаблонов групповых политик

В этой статье мы познакомимся с административными шаблонами групповых политик, предоставляемых компанией Google, которые позволяют централизованно управлять настройками браузера Chrome в домене Active Directory. Использование ADMX шаблонов GPO для Chrome существенно упрощает развертывание и использование этого браузера в корпоративной сети. Также рассмотрим несколько типовых задач настройки параметров браузера Google Chrome на компьютерах пользователей с помощью GPO .

Установка административных (ADMX) шаблонов административных политик для Chrome

Чтобы вы могли управлять параметрами Chrome через групповые политики, вы должны скачать и установить специальный набор административных шаблонов GPO для Google Chrome.

  1. Скачайте и распакуйте архив с ADM/ADMX шаблонами групповых политик для Google Chrome( http://dl.google.com/dl/edgedl/chrome/policy/policy_templates.zip — размер архива около 7 Мб);
  2. В архиве находятся 3 каталога: шаблоны admx политик для google chrome
    • chromeos (административные шаблоны для Chromium);
    • common (содержит html файлы с полным описанием всех настраиваемых параметров политик Chrome – см. файл chrome_policy_list.html);chrome_policy_list.html файл справки по политикам chrome
    • каталог windows — содержит шаблоны политик Chrome в двух форматах: ADM и ADMX (admx это более новый формат административных политики, поддерживается начиная с Windows Vista / Windows Server 2008 и выше).
      В этом же каталоге есть файл chrome.reg, в нем содержится пример настроек реестра, которые задаются для Chrome из GPO). Вы можете использовать примеры из этого reg файла для прямого импорта настроек Chrome в реестр через GPO);
  3. Скопируйте файлы административных шаблонов Chrome в каталог C:\Windows\PolicyDefinitions (в этом каталоге хранятся локальные административные шаблоны GPO). Чтобы настройки групповых политик Chrome были локализованы (русифицированы) нужно скопировать советующий файл шаблона. Для русского языка в случае использования ADMX формата шаблона, нужно скопировать сам файл шаблона \policy_templates\windows\admx\admx и файлы локализации \policy_templates\windows\admx\ru\chrome.adml;
    Примечание. Если вы планируете использовать политик Chrome в домене Active Directory, нужно скопировать ADMX и ADML файлы в каталог определенной GPO (не лучший вариант) или в каталог PolicyDefinitions, расположенный в паке SYSVOL на котроллере домена (в случае использовании централизованного хранилища GPO).
  4. Предположим вы планируете использовать ADMX-формат шаблона GPO и централизованное доменное хранилище политик. Скопируйте файл chrome.admx и каталоги локализации в папку \\winitpro.loc\SYSVOL\winitpro.loc\Policies\PolicyDefinitions на контроллере домена;Копируем файл chrom.admx в хранилище политик
  5. Откройте консоль управления доменными групповыми политиками (gpmc.msc) и перейдите в режим редактирования любой существующей политики (или создайте новую). Убедитесь, что и в пользовательском и системном разделах Policies -> Administrative Templates появилась новая секция Google, в которой содержаться два подраздела Google Chrome и Google Chrome – Default Settings (users can override);политики chrome для пользователя и компьютера
    Совет. Если вы не используете централизованное хранилище GPO, шаблон групповых политик для Google Chrome можно добавить в редактор политики вручную, для этого щелкните ПКМ по разделу Administrative Templates и выберите пункт Add/Remove Templates. В открывшемся окне укажите путь файлу chrome.adm . Путь желательно указывать в UNC формате, например так: \\winitpro.loc\SYSVOL\winitpro.loc\Policies\{60556A6F-2549-4C8E-A522-D3CF668E56B4}\Adm\chrome.adm Добавляем административный шаблон групповых политик google chrome

После того, как вы установили административные шаблоны групповых политик для браузера Google Chrome, вы можете перейти к настройке параметров Chrome на компьютерах пользователей.

Данные административные шаблоны содержат порядка 300+ различных настроек Google Chrome, которыми можно управлять. Вы можете исследовать их самостоятельно и настроить параметры браузера, которые нужны в вашей среде.

google chrome управление доменными политиками GPO

Настройка параметров Chrome через GPO

 

Обратите внимание, что настройки Google Chrome хранятся в двух разделах групповой политики (как в Computer, так и User Configuration) :

  • Google Chrome – пользователи (и даже локальный администратор) не могут изменить настройки Chrome на своем компьютере, заданные в этой секции GPO (хотя можно выкрутится и совсем заблокировать применение групповых политик на компьютере);
  • Google Chrome — Настройки по умолчанию (пользователи могут менять) (Default Settings (users can override)) – рекомендуемые настройки браузера, которые пользователи могут изменить.

Рассмотрим базовые настройки Chrome которые часто настраиваются в корпоративной среде централизованно:

  • Сделать Chrome браузером по умолчанию Set Goggle Chrome as Default Browser;
  • Set disk cache directory — путь к диковому кэшу Chrome (как правило это “${local_app_data}\Google\Chrome\User Data”);
  • Set disk cache size – размер кэша Chrome на диске (в байтах);
  • Set Google Chrome Frame user data directory – указать путь к каталогу Chrome с настройками пользователя “${local_app_data}\Google\Chrome\User Data”;
  • Managed Bookmarks – управление закладками браузера;
  • Отключение авто обновления Chrome: Allow Installation: Disable и Update Policy Override: Enable, в поле Policy указать Updates Disable;
  • Добавить сайты в список доверенных — Policies HTTP Authentication -> Authentication server whitelist;
  • Разрешить Kerberos аутентификацию в Chrome для сайтов. Добавьте список адресов серверов, сайтов в настройки политик – Http Authentication -> Kerberos Delegation Server Whitelist и Authentication Server Whitelist; gpo chrome Delegation Server белый список
  • Запретить отправку анонимной статистики Chrome в Google: Send anonymous usage statistics and crash information -> False;
  • Использовать временный профиль Chrome (данные удаляются после завершения сессии пользователя) Ephemeral profile: Enabled;
  • Список запрещенных сайтов: Block access to a list of URLs (можно заблокировать сайты из PowerShell на уровне Windows);
  • Изменим местоположение папки для загрузки: Set download directory: c:\temp\downloads.gpo chrome: измеить папку загрузки downloads

(Обратите внимание, что каталог ${local_app_data} соответствует папке в профиле пользователя %username%\AppData\Local, а ${roaming_app_data}\%username%\AppData\Roaming).

Полный список политик Chrome с подробными объяснениями: https://cloud.google.com/docs/chrome-enterprise/policies/.

Настройка прокси сервера и домашней страницы в Google Chrome из GPO

Настроим прокси-сервер: нас интересует раздел политик Google Chrome -> Proxy Server:

  • адрес прокси сервера: ProxyServer192.168.1.123:8080
  • список исключений для прокси: ProxyBypassListhttp://www.corp.ru,192.168.*, *.corp.ruchrome задать прокси через политику

Установим домашнюю страницу: Google Chrome -> Startup, Home page and New Tab page-> Configure the home page URLhttp://winitpro.ru/

задать домашнюю страницу chrome через групповые политики

Осталось назначить политику браузера Chrome на нужный контейнер (OU) Active Directory. Примените групповую политику к клиенту, выполнив на нем команду gpupdate
/force
, вызвав удаленное обновление политики или перезагрузив компьютер.

Запустите Chrome на клиенте и убедитесь, что в его настройках применились параметры, заданные в GPO (в примере на скриншоте пользователь не может изменить назначенные администратором значения).

Вы можете выполнить диагностику назначения политики Chrome с помощью gpresult.

Если вы запретили пользователям менять определенные параметры Chrome, в окне настроек браузера появится сообщение “This settings is enforced by your administrator” (Некоторые параметры отключены администратором).

chrome настройки заблокированы через политику

А на странице настроек отображается “Your browser is managed by your organization”.

chrome настройка через групповые политики

Чтобы отобразить все настройки Google Chrome, которые заданы через GPO, перейдите в браузере по адресу Chrome://policy (здесь отображаются параметры, заданные через реестра или admx файлы шаблонов GPO).

Список параметров Chrome которые настроены администратором через gpo

Установка расширений Chrome через GPO

С помощью ADMX шаблонов вы можете установить определенные расширения (Extensions) Google Chrome у всех пользователей домена. Например, вы хотите автоматически установить расширение AdBlock всем пользователям. Откройте страницу настроек расширений chrome://extensions и установите нужно расширение.

Теперь нужно получить идентификатор расширения (ID) и URL, с которого производится обновление.

Идентификатор расширения Google Chrome можно найти в параметрах самого расширения в (должен быть включен режим разработчика – Developer mode).

получить id extension в chrome

По идентификатору нужно найти папку расширения в профиле пользователя C:\Users\%Username%\AppData\Local\ Google\Chrome\User Data\Default\Extensions\{тут_id}.

В появившемся каталоге найдите и откройте файл manifest.json и скопируйте содержимое строки update_url. Скорее всего там будет https://clients2.google.com/service/update2/crx.

update_url у расширения Chrome

Теперь в консоли редактора GPO перейдите в раздел Computer Configuration -> Policies -> Administrative Templates -> Google -> Google Chrome -> Extensions. Включите политику Configure the list of force-installed extensions.

Configure the list of force-installed extensions

Нажмите на кнопку Show и добавьте по строчке для каждого расширения, которое вы хотите установить в следующем формате.

{id_расширения_тут};https://clients2.google.com/service/update2/crx

автоматическая установка расширения chrome через GPO по id

После применения политики на компьютерах пользователя все указанные расширения Chrome будут установлены в «тихом» режиме без взаимодействия с пользователем.


Предыдущая статья Следующая статья


Комментариев: 56 Оставить комментарий

Оставить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Я не робот( Обязательно отметьте)