Настройка Google Chrome с помощью ADMX шаблонов групповых политик

В этой статье мы познакомимся с административными шаблонами групповых политик, предоставляемых компанией Google, которые позволяют централизованно управлять настройками браузера Chrome в домене Active Directory. Использование ADMX шаблонов GPO для Chrome существенно упрощает развертывание и использование этого браузера в корпоративной сети. Также рассмотрим несколько типовых задач настройки параметров браузера Google Chrome на компьютерах пользователей с помощью GPO .

Установка административных (ADMX) шаблонов административных политик для Chrome

Чтобы вы могли управлять параметрами Chrome через групповые политики, вы должны скачать и установить специальный набор административных шаблонов GPO для Google Chrome.

1. Скачайте и распакуйте архив с ADM/ADMX шаблонами групповых политик для Google Chrome( http://dl.google.com/dl/edgedl/chrome/policy/policy_templates.zip — размер архива около 7 Мб);
2. В архиве находятся 3 каталога:
   • chromeos (административные шаблоны для Chromium);
   • common (содержит html файлы с полным описанием всех настраиваемых параметров политик Chrome – см. файл chrome_policy_list.html);
   • каталог windows — содержит шаблоны политик Chrome в двух форматах: ADM и ADMX (admx это более новый формат административных политики, поддерживается начиная с Windows Vista / Windows Server 2008 и выше).
     В этом же каталоге есть файл chrome.reg, в нем содержится пример настроек реестра, которые задаются для Chrome из GPO). Вы можете использовать примеры из этого reg файла для прямого импорта настроек Chrome в реестр через GPO);
3. Скопируйте файлы административных шаблонов Chrome в каталог C:\Windows\PolicyDefinitions (в этом каталоге хранятся локальные административные шаблоны GPO). Чтобы настройки групповых политик Chrome были локализованы (русифицированы) нужно скопировать советующий файл шаблона. Для русского языка в случае использования ADMX формата шаблона, нужно скопировать сам файл шаблона \policy_templates\windows\admx\admx и файлы локализации \policy_templates\windows\admx\ru\chrome.adml;
   Примечание. Если вы планируете использовать политик Chrome в домене Active Directory, нужно скопировать ADMX и ADML файлы в каталог определенной GPO (не лучший вариант) или в каталог PolicyDefinitions, расположенный в паке SYSVOL на котроллере домена (в случае использовании централизованного хранилища GPO).
4. Предположим вы планируете использовать ADMX-формат шаблона GPO и централизованное доменное хранилище политик. Скопируйте файл chrome.admx и каталоги локализации в папку \\winitpro.loc\SYSVOL\winitpro.loc\Policies\PolicyDefinitions на контроллере домена;
5. Откройте консоль управления доменными групповыми политиками (gpmc.msc) и перейдите в режим редактирования любой существующей политики (или создайте новую). Убедитесь, что и в пользовательском и системном разделах Policies -> Administrative Templates появилась новая секция Google, в которой содержаться два подраздела Google Chrome и Google Chrome – Default Settings (users can override);
   Совет. Если вы не используете централизованное хранилище GPO, шаблон групповых политик для Google Chrome можно добавить в редактор политики вручную, для этого щелкните ПКМ по разделу Administrative Templates и выберите пункт Add/Remove Templates. В открывшемся окне укажите путь файлу chrome.adm . Путь желательно указывать в UNC формате, например так: \\winitpro.loc\SYSVOL\winitpro.loc\Policies\{60556A6F-2549-4C8E-A522-D3CF668E56B4}\Adm\chrome.adm

После того, как вы установили административные шаблоны групповых политик для браузера Google Chrome, вы можете перейти к настройке параметров Chrome на компьютерах пользователей.

Данные административные шаблоны содержат порядка 300+ различных настроек Google Chrome, которыми можно управлять. Вы можете исследовать их самостоятельно и настроить параметры браузера, которые нужны в вашей среде.

Настройка параметров Chrome через GPO

Обратите внимание, что настройки Google Chrome хранятся в двух разделах групповой политики (как в Computer, так и User Configuration) :

• Google Chrome – пользователи (и даже локальный администратор) не могут изменить настройки Chrome на своем компьютере, заданные в этой секции GPO (хотя можно выкрутится и совсем заблокировать применение групповых политик на компьютере);
• Google Chrome — Настройки по умолчанию (пользователи могут менять) (Default Settings (users can override)) – рекомендуемые настройки браузера, которые пользователи могут изменить.

Рассмотрим базовые настройки Chrome которые часто настраиваются в корпоративной среде централизованно:

• Сделать Chrome браузером по умолчанию – Set Goggle Chrome as Default Browser;
• Set disk cache directory — путь к диковому кэшу Chrome (как правило это “${local_app_data}\Google\Chrome\User Data”);
• Set disk cache size – размер кэша Chrome на диске (в байтах);
• Set Google Chrome Frame user data directory – указать путь к каталогу Chrome с настройками пользователя “${local_app_data}\Google\Chrome\User Data”;
• Managed Bookmarks – управление закладками браузера;
• Отключение авто обновления Chrome: Allow Installation: Disable и Update Policy Override: Enable, в поле Policy указать Updates Disable;
• Добавить сайты в список доверенных — Policies HTTP Authentication -> Authentication server whitelist;
• Разрешить Kerberos аутентификацию в Chrome для сайтов. Добавьте список адресов серверов, сайтов в настройки политик – Http Authentication -> Kerberos Delegation Server Whitelist и Authentication Server Whitelist;
• Запретить отправку анонимной статистики Chrome в Google: Send anonymous usage statistics and crash information -> False;
• Использовать временный профиль Chrome (данные удаляются после завершения сессии пользователя) Ephemeral profile: Enabled;
• Список запрещенных сайтов: Block access to a list of URLs (можно заблокировать сайты из PowerShell на уровне Windows);
• Изменим местоположение папки для загрузки: Set download directory: c:\temp\downloads.

(Обратите внимание, что каталог ${local_app_data} соответствует папке в профиле пользователя %username%\AppData\Local, а ${roaming_app_data} — \%username%\AppData\Roaming).

Настройка прокси сервера и домашней страницы в Google Chrome из GPO

Настроим прокси-сервер: нас интересует раздел политик Google Chrome -> Proxy Server:

• адрес прокси сервера: ProxyServer — 192.168.1.123:8080
• список исключений для прокси: ProxyBypassList — http://www.corp.ru,192.168.*, *.corp.ru

Установим домашнюю страницу: Google Chrome -> Startup, Home page and New Tab page-> Configure the home page URL– https://winitpro.ru/

Осталось назначить политику браузера Chrome на нужный контейнер (OU) Active Directory. Примените групповую политику к клиенту, выполнив на нем команду gpupdate
/force, вызвав удаленное обновление политики или перезагрузив компьютер.

Запустите Chrome на клиенте и убедитесь, что в его настройках применились параметры, заданные в GPO (в примере на скриншоте пользователь не может изменить назначенные администратором значения).

Если вы запретили пользователям менять определенные параметры Chrome, в окне настроек браузера появится сообщение “This settings is enforced by your administrator” (Некоторые параметры отключены администратором).

А на странице настроек отображается “Your browser is managed by your organization”.

Чтобы отобразить все настройки Google Chrome, которые заданы через GPO, перейдите в браузере по адресу Chrome://policy (здесь отображаются параметры, заданные через реестра или admx файлы шаблонов GPO).

Установка расширений Chrome через GPO

С помощью ADMX шаблонов вы можете установить определенные расширения (Extensions) Google Chrome у всех пользователей домена. Например, вы хотите автоматически установить расширение AdBlock всем пользователям. Откройте страницу настроек расширений chrome://extensions и установите нужно расширение.

Теперь нужно получить идентификатор расширения (ID) и URL, с которого производится обновление.

Идентификатор расширения Google Chrome можно найти в параметрах самого расширения в (должен быть включен режим разработчика – Developer mode).

По идентификатору нужно найти папку расширения в профиле пользователя C:\Users\%Username%\AppData\Local\ Google\Chrome\User Data\Default\Extensions\{тут_id}.

В появившемся каталоге найдите и откройте файл manifest.json и скопируйте содержимое строки update_url. Скорее всего там будет https://clients2.google.com/service/update2/crx.

Теперь в консоли редактора GPO перейдите в раздел Computer Configuration -> Policies -> Administrative Templates -> Google -> Google Chrome -> Extensions. Включите политику Configure the list of force-installed extensions.

Нажмите на кнопку Show и добавьте по строчке для каждого расширения, которое вы хотите установить в следующем формате.

{id_расширения_тут};https://clients2.google.com/service/update2/crx

После применения политики на компьютерах пользователя все указанные расширения Chrome будут установлены в «тихом» режиме без взаимодействия с пользователем.