У цій статті ми познайомимося з адміністративними шаблонами групових політик, що надаються компанією Google, які дозволяють централізовано керувати настройками браузера Chrome в домені Active Directory. Використання ADMX шаблонів GPO для Chrome істотно спрощує розгортання і використання цього браузера в корпоративній мережі. Також розглянемо кілька типових задач настройки параметрів браузера Google Chrome на комп'ютерах користувачів за допомогою GPO .
зміст:
- Установка адміністративних (ADMX) шаблонів адміністративних політик для Chrome
- Налаштування параметрів Chrome через GPO
- Налаштування проксі сервера і домашньої сторінки в Google Chrome з GPO
- Установка розширень Chrome через GPO
Установка адміністративних (ADMX) шаблонів адміністративних політик для Chrome
Щоб ви могли управляти параметрами Chrome через групові політики, ви повинні завантажити та встановити спеціальний набір адміністративних шаблонів GPO для Google Chrome.
- Скачайте і розпакуйте архів з ADM / ADMX шаблонами групових політик для Google Chrome (http://dl.google.com/dl/edgedl/chrome/policy/policy_templates.zip - розмір архіву близько 7 Мб);
- В архіві знаходяться 3 каталогу:
- chromeos (Адміністративні шаблони для Chromium);
- common (Містить html файли з повним описом всіх параметрів, що настроюються політик Chrome - см. Файл chrome_policy_list.html);
- каталог windows - містить шаблони політик Chrome в двох форматах: ADM і ADMX (Admx це новіший формат адміністративних політики, підтримується починаючи з Windows Vista / Windows Server 2008 і вище) .В цьому ж каталозі є файл chrome.reg, в ньому міститься приклад налаштувань реєстру, які задаються для Chrome з GPO). Ви можете використовувати приклади з цього reg файлу для прямого імпорту налаштувань Chrome до реєстру через GPO);
- Передайте файли адміністративних шаблонів Chrome в каталог
C: \ Windows \ PolicyDefinitions(В цьому каталозі зберігаються локальні адміністративні шаблони GPO). Щоб налаштування групових політик Chrome були локалізовані (русифіковані) потрібно скопіювати радить файл шаблону. Для російської мови в разі використання ADMX формату шаблону, потрібно скопіювати сам файл шаблону \ policy_templates \ windows \ admx \admx і файли локалізації \ policy_templates \ windows \ admx \ru\chrome.adml;Примітка. Якщо ви плануєте використовувати політик Chrome в домені Active Directory, потрібно скопіювати ADMX і ADML файли в каталог певної GPO (не кращий варіант) або в каталог PolicyDefinitions, розташований в паку SYSVOL на котролері домену (в разі використання централізованого сховища GPO). - Припустимо ви плануєте використовувати ADMX-формат шаблону GPO і централізоване доменне сховище політик. Скопіюйте файл chrome.admx і каталоги локалізації в папку
\\ winitpro.loc \ SYSVOL \ winitpro.loc \ Policies \ PolicyDefinitionsна контролері домену;
- Відкрийте консоль управління доменними груповими політиками (gpmc.msc) І перейдіть в режим редагування будь-якої існуючої політики (або створіть нову). Переконайтеся, що і в призначеному для користувача і системному розділах Policies -> Administrative Templates з'явилася нова секція Google, в якій міститися два підрозділи Google Chrome і Google Chrome - Default Settings (users can override);
Порада. Якщо ви не використовуєте централізоване сховище GPO, шаблон групових політик для Google Chrome можна додати в редактор політики вручну, для цього клацніть ПКМ по розділу Administrative Templates і виберіть пункт Add / Remove Templates. У вікні, вкажіть шлях файлу chrome.adm. Шлях бажано вказувати в UNC форматі, наприклад так: \\ winitpro.loc \ SYSVOL \ winitpro.loc \ Policies \ 60556A6F-2549-4C8E-A522-D3CF668E56B4 \ Adm \ chrome.adm
Порада. Якщо ви не використовуєте централізоване сховище GPO, шаблон групових політик для Google Chrome можна додати в редактор політики вручну, для цього клацніть ПКМ по розділу Administrative Templates і виберіть пункт Add / Remove Templates. У вікні, вкажіть шлях файлу chrome.adm. Шлях бажано вказувати в UNC форматі, наприклад так: 
Після того, як ви встановили адміністративні шаблони групових політик для браузера Google Chrome, ви можете перейти до налаштування параметрів Chrome на комп'ютерах користувачів.
Дані адміністративні шаблони містять близько 300+ різних налаштувань Google Chrome, якими можна управляти. Ви можете досліджувати їх самостійно і налаштувати параметри браузера, які потрібні у вашому середовищі.
Налаштування параметрів Chrome через GPO
Зверніть увагу, що налаштування Google Chrome зберігаються в двох розділах групової політики (як в Computer, так і User Configuration):
- Google Chrome - користувачі (і навіть локальний адміністратор) не можуть змінити налаштування Chrome на своєму комп'ютері, задані в цій секції GPO (хоча можна викрутиться і зовсім заблокувати застосування групових політик на комп'ютері);
- Google Chrome - Налаштування за замовчуванням (користувачі можуть змінювати) (Default Settings (users can override)) - рекомендовані настройки браузера, які користувачі можуть змінити.
Розглянемо базові настройки Chrome які часто настроюються в корпоративному середовищі централізовано:
- Зробити Chrome браузером за замовчуванням - Set Goggle Chrome as Default Browser;
- Set disk cache directory - шлях до Диков кешу Chrome (як правило це "
$ Local_app_data \ Google \ Chrome \ User Data"); - Set disk cache size - розмір кешу Chrome на диску (в байтах);
- Set Google Chrome Frame user data directory - вказати шлях до каталогу Chrome з налаштуваннями користувача "
$ Local_app_data \ Google \ Chrome \ User Data"; - Managed Bookmarks - управління закладками браузера;
- Відключення авто поновлення Chrome: Allow Installation: Disable і Update Policy Override: Enable, в поле Policy вказати Updates Disable;
- Додати сайти в список довірених - Policies HTTP Authentication -> Authentication server whitelist;
- Дозволити Kerberos аутентифікацію в Chrome для сайтів. Додайте список адрес серверів, сайтів в налаштування політик - Http Authentication -> Kerberos Delegation Server Whitelist і Authentication Server Whitelist;
- Заборонити відправку анонімної статистики Chrome в Google: Send anonymous usage statistics and crash information -> False;
- Використовувати тимчасовий профіль Chrome (дані видаляються після завершення сесії користувача) Ephemeral profile: Enabled;
- Список заборонених сайтів: Block access to a list of URLs (Можна заблокувати сайти з PowerShell на рівні Windows);
- Змінимо розташування папки для завантаження: Set download directory: C: \ temp \ downloads.
(Зверніть увагу, що каталог $ Local_app_data відповідає папці в профілі користувача%username% \ AppData \ Local, а $ Roaming_app_data - \% Username% \ AppData \ Roaming).
Налаштування проксі сервера і домашньої сторінки в Google Chrome з GPO
Налаштуємо проксі-сервер: нас цікавить розділ політик Google Chrome -> Proxy Server:
- адреса проксі сервера: ProxyServer -
192.168.1.123:8080 - список винятків для проксі: ProxyBypassList -
http: //www.corp.ru,192.168.*, * .corp.ru
Встановимо домашню сторінку: Google Chrome -> Startup, Home page and New Tab page-> Configure the home page URL- https://winitpro.ru/
Залишилося призначити політику браузера Chrome на потрібний контейнер (OU) Active Directory. Застосуйте групову політику до клієнта, виконавши на ньому команду gpupdate, викликавши віддалене оновлення політики або перезавантаживши комп'ютер.
/ force
Запустіть Chrome на клієнті і переконайтеся, що в його налаштуваннях застосували параметри, задані в GPO (в прикладі на скріншоті користувач не може змінити призначені адміністратором значення). Ви можете виконати діагностику призначення політики Chrome за допомогою gpresult.
Якщо ви заборонили користувачам змінювати певні параметри Chrome, у вікні налаштувань браузера з'явиться повідомлення "This settings is enforced by your administrator" (Деякі параметри вимкнено адміністратором).
А на сторінці налаштувань відображається "Your browser is managed by your organization".
Щоб відобразити всі налаштування Google Chrome, які задані через GPO, перейдіть в браузері за адресою Chrome: // policy (Тут відображаються параметри, задані через реєстру або admx файли шаблонів GPO).
Установка розширень Chrome через GPO
За допомогою ADMX шаблонів ви можете встановити певні розширення (Extensions) Google Chrome у всіх користувачів домену. Наприклад, ви хочете автоматично встановити розширення AdBlock всім користувачам. Відкрийте сторінку налаштувань розширень chrome: // extensions і встановіть потрібно розширення.
Тепер потрібно отримати ідентифікатор розширення (ID) і URL, з якого виробляється оновлення.
Ідентифікатор розширення Google Chrome можна знайти в параметрах самого розширення в (повинен бути включений режим розробника - Developer mode).
За ідентифікатором потрібно знайти папку розширення в профілі користувача C: \ Users \% Username% \ AppData \ Local \ Google \ Chrome \ User Data \ Default \ Extensions \ тут_id.
У який з'явився каталозі знайдіть і відкрийте файл manifest.json і скопіювати вміст рядка update_url. Швидше за все там буде https://clients2.google.com/service/update2/crx.
Тепер в консолі редактора GPO перейдіть в розділ Computer Configuration -> Policies -> Administrative Templates -> Google -> Google Chrome -> Extensions. Увімкніть політику Configure the list of force-installed extensions.
Натисніть на кнопку Show і додайте по рядку для кожного розширення, яке ви хочете встановити в наступному форматі.
Id_расшіренія_тут; https: //clients2.google.com/service/update2/crx
Після застосування політики на комп'ютерах користувача всі зазначені розширення Chrome будуть встановлені в "тихому" режимі без взаємодії з користувачем.
