Настройка параметров браузера Google Chrome с помощью групповых политик

Для централизованного управления настройками браузера Google Chrome на компьютерах пользователей домена можно использовать официальные ADMX шаблоны групповых политик. В этой статье мы покажем, как установить и настроить параметры браузера Google Chrome на компьютерах пользователей с помощью GPO.

Установка Google Chrome на компьютеры пользователей через групповые политики

Вы можете использовать групповые политики для установки программ на компьютерах пользователей.

1. Скачайте установочный Google Chrome в формате MSI здесь https://chromeenterprise.google/browser/download/#windows-tab
2. Распакуйте архив GoogleChromeEnterpriseBundle64.zip и скопируйте файл GoogleChromeStandaloneEnterprise64.msi в каталог SYSVOL на контроллере домена ( \\winitpro.ru\SysVol\winitpro.ru\scripts );
3. Откройте консоль управления доменными GPO – Group Policy Management Console (msc);
4. Создайте новую GPO (gpoInstallChrome) и назначьте ее на контейнер (Organizational Unit) с компьютерами пользователей (Create a GPO in this domain, and link it here);
5. Откройте политики и перейдите в раздел Computer Configuration -> Policies -> Software Settings -> Software installation;
6. Выберите New -> Package и укажите UNC путь к файлу GoogleChromeStandaloneEnterprise64.msi на SYSVOL;
7. Выберите опцию “Advanced” и нажмите OK;
8. Перейдите на вкладку Deployment -> Advanced и отключите опцию Ignore language when deploying this package (это позволит игнорировать язык Windows на компьютерах клиентов);
9. Перезагрузите компьютер пользователя чтобы обновить настройки групповых политик. Установка Google Chrome будет запущена во время загрузки компьютера. Проверьте, что он появится в списке установленных программ на клиенте.

Установка административных (ADMX) шаблонов групповых политик Chrome

Для централизованного управления параметрами Google Chrome на компьютерах пользователей, нужно скачать и установить административных ADMX шаблонов GPO.

1. Скачайте и распакуйте архив с ADMX шаблонами групповых политик для Google Chrome ( http://dl.google.com/dl/edgedl/chrome/policy/policy_templates.zip — размер архива около 100 Мб);
2. В архиве находятся 3 каталога:
   • chromeos (административные шаблоны для Chromium);
   • common (содержит html файлы с полным описанием всех настраиваемых параметров политик Chrome – см. файл chrome_policy_list.html);
   • каталог windows — содержит шаблоны политик Chrome в двух форматах: ADM и ADMX (admx это более новый формат административных, который нужно использовать для современных версий WIndows 10/11, Windows Server 2022/2019/2016).
     В этом же каталоге есть файл chrome.reg. В нем содержится пример настроек реестра, которые задаются для Chrome с помощью административных шаблонов. Вы можете использовать примеры из этого reg файла, чтобы напрямую задать настроек Chrome в реестре через GPO);
3. Скопируйте ADMX шаблоны GPO в каталог ..SYSVOL\PolicyDefinitions ( централизованное хранилище политик на контроллере домена) \\winitpro.loc\SYSVOL\winitpro.loc\Policies\PolicyDefinitions . Нужно скопировать все admx файлы и каталоги с локализациями для нужных ваших языков (в нашем примере это en-US и ru-RU);
   Перед установкой/обновлением ADMX файлов политик всегда рекомендуем создавать резевную копию каталога PolicyDefensions.
4. Откройте консоль управления доменными групповыми политиками (gpmc.msc) и перейдите в режим редактирования любой существующей политики (или создайте новую). Убедитесь, что и в пользовательском и системном разделах Policies -> Administrative Templates появилась новая секция Google с настройками Chrome.

В административных шаблонах GPO для Google Chrome доступно 400+ различных параметров браузера.

Настройка браузера Google Chrome через GPO

Обратите внимание, что настройки Google Chrome хранятся в двух разделах групповой политики (как в Computer, так и User Configuration):

• Google Chrome –пользователи не могут изменить настройки браузера, заданные в этом разделе;
• Google Chrome — Настройки по умолчанию (пользователи могут менять) (Default Settings (users can override)) – рекомендуемые настройки браузера, которые пользователи могут изменить.

Рассмотрим базовые настройки Chrome которые часто настраиваются в корпоративной среде централизованно:

• Сделать Chrome браузером по умолчанию – Set Goggle Chrome as Default Browser;
• Set disk cache directory — путь к диковому кэшу Chrome (как правило это “ ${local_app_data}\Google\Chrome\User Data ”);
• Set disk cache size – размер кэша Chrome на диске (в байтах);
• Set Google Chrome Frame user data directory – указать путь к каталогу Chrome с настройками пользователя “ ${local_app_data}\Google\Chrome\User Data ”;
• Managed Bookmarks – управление закладками браузера;
• Отключение авто обновления Chrome: Раздел Chrome -> Google Update -> Applications -> Google Chrome: Update Policy Override: Updates disabled ;
• Добавить сайты в список доверенных — Policies HTTP Authentication -> Authentication server whitelist;
• Разрешить Kerberos аутентификацию в Chrome для сайтов. Добавьте список адресов серверов, сайтов в настройки политик – Http Authentication -> Kerberos Delegation Server Whitelist и Authentication Server Whitelist;
• Запретить отправку анонимной статистики Chrome в Google: Send anonymous usage statistics and crash information -> False;
• Использовать временный профиль Chrome (данные удаляются после завершения сессии пользователя) Ephemeral profile: Enabled;
• Список запрещенных сайтов: Block access to a list of URLs (можно заблокировать сайты из PowerShell на уровне Windows);
• Изменим местоположение папки для загрузки: Set download directory: c:\temp\downloads .
• Запретить сайтам отправлять уведомления в браузер (Computer Configuration -> Administrative Templates -> Google -> Google Chrome -> Content Settings -> Default notification settings: Do not allow any site to show desktop notifications);
• Запретить пользователям сохранять пароли для сайтов в браузере: Google Chrome -> Password manager -> Enable saving passwords to the password manager: Disabled;
• Вы можете очищать папки Chrome в профиле пользователя при выходе с помощью параметра Clear Browsing Data on Exit. Включите политику, нажмите Show и укажите, какие каталоги Chrome нужно автоматически очищать. Допустимые значения:

  browsing_history
  download_history
  cookies_and_other_site_data
  cached_images_and_files
  autofill
  password_signin
  site_settings
  hosted_app_data
  

  

  Эта опция актуальная для Remote Desktop Services (RDS) ферм при использовании локальных, сетевых профилей (в формате User Profile Disk иди Fslogix), когда вы хотите уменьшить хранимый размер профиля пользователя.

(Обратите внимание, что каталог ${local_app_data} соответствует папке в профиле пользователя % username%\AppData\Local , а ${roaming_app_data} — \%username%\AppData\Roaming ).

Чтобы задать настройки прокси-сервера для Chrome (могут отличаться от параметров прокси в Windows), перейдите в Google Chrome -> Proxy settings — включите политику и укажите адрес прокси сервера в формате — 192.168.1.123:8080

Установим домашнюю страницу: Google Chrome -> Startup, Home page and New Tab page-> Configure the home page URL– https://winitpro.ru/

Осталось назначить GPO с настройками браузера Chrome на нужный OU в Active Directory.

Обновите настройки GPO на клиенте, запустите Chrome и проверьте, что в браузере были применены новые настройки.

Обратите внимание, что теперь на странице настроек Chrome отображается надпись “Your browser is managed by your organization”.

Если вы запретили пользователям менять определенные параметры Chrome, в окне настроек браузера появится сообщение “This settings is enforced by your administrator” (Некоторые параметры отключены администратором).

Чтобы отобразить все настройки Google Chrome, которые заданы через GPO, перейдите в браузере по адресу Chrome://policy (здесь отображаются параметры, заданные через реестр или admx файлы шаблонов GPO).

Установка расширений Google Chrome с помощью групповых политик

Вы можете установить определенные расширения (Extensions) Google Chrome у всех пользователей домена с помощью GPO. Например, вы хотите автоматически установить расширение AdBlock всем пользователям. Откройте страницу настроек расширений chrome://extensions и установите нужно расширение.

Теперь нужно получить идентификатор расширения (ID) и URL, с которого производится обновление.
Идентификатор расширения Google Chrome можно найти в параметрах самого расширения в (должен быть включен режим разработчика – Developer mode).

Chrome устанавливает расширение в профиль пользователя C:\Users\%Username%\AppData\Local\ Google\Chrome\User Data\Default\Extensions\{тут_id} .

Откройте в этом каталоге файл manifest.json и скопируйте содержимое строки update_url. Скорее всего там будет https://clients2.google.com/service/update2/crx .

Теперь в консоли редактора GPO перейдите в раздел Computer Configuration -> Policies -> Administrative Templates -> Google -> Google Chrome -> Extensions. Включите политику Configure the list of force-installed apps and extensions.

Нажмите на кнопку Show и добавьте по строчке для каждого расширения, которое вы хотите установить в следующем формате.

{id_расширения_тут};https://clients2.google.com/service/update2/crx

Обновите политики на клиенте:

gpupdate /force

Закройте и перезапустите Google Chrome. Теперь указанное расширение будет автоматически установлено в Chrome в «тихом» режиме без взаимодействия с пользователем.

В этом же разделе вы можете полностью запретить установку расширения для Chrome (CConfigure extension installation blocklist: * ) и разрешить пользователям установку только определенных расширений (Configure extension installation allow list).