Вы можете использовать официальные шаблоны групповой политики (файлы ADMX) для централизованного управления параметрами браузера Google Chrome на компьютерах в домене Active Directory. В этой статье мы покажем вам, как устанавливать и настраивать параметры браузера Google Chrome на компьютерах пользователей с помощью GPO.
Развертывание Google Chrome на компьютерах домена с помощью GPO
Вы можете использовать групповые политики для развертывания программ на компьютерах пользователей.
- Загрузите программу установки Google Chrome в формате MSI https://chromeenterprise.google/browser/download/#windows-tab
- Извлеките GoogleChromeEnterpriseBundle64.zip скопируйте архив
GoogleChromeStandaloneEnterprise64.msiфайл в каталог SYSVOL на контроллере домена (\\woshub.com\SysVol\woshub.com\scripts);
- Откройте консоль управления групповой политикой (
gpmc.msc); - Создайте новый GPO (gpoInstallChrome) и свяжите его с контейнером (Organizational Unit) с пользовательскими компьютерами (Создайте GPO в этом домене и свяжите его здесь);
- Откройте новый GPO и перейдите в раздел Конфигурация компьютера -> Политики -> Параметры программного обеспечения -> Установка программного обеспечения;
- Выберите Новый -> Пакет и укажите UNC-путь к файлу GoogleChromeStandaloneEnterprise64.msi на SYSVOL;
- Выберите «Дополнительно» и нажмите OK;
- Перейдите на вкладку «Развертывание -> Дополнительно» и включите параметр Игнорировать язык при развертывании этого пакета (это позволит игнорировать язык Windows на клиентских компьютерах);
- Перезагрузите компьютер пользователя, чтобы обновить параметры групповой политики. Установка Google Chrome начнется при загрузке Windows. Убедитесь, что он появился в списке установленных программ в Windows.
winget install --id=Google.Chrome -e
Установка файлов административных шаблонов групповой политики (ADMX) для Google Chrome
Чтобы централизованно управлять параметрами Google Chrome на компьютерах пользователей, необходимо загрузить и установить административные шаблоны GPO (файлы ADMX).
- Скачайте и распакуйте архив с файлами шаблонов групповой политики ADMX для Google Chrome ( http://dl.google.com/dl/edgedl/chrome/policy/policy_templates.zip — размер архива около 100 МБ);
- В policy_templates есть 3 директории:
* chromeos — административные шаблоны для Chromium;
* общий — содержит HTML-файлы с описанием всех настроек политики Chrome — см. chrome_policy_list.html файл;
* windows — содержит шаблоны политик Chrome в двух форматах: ADM и ADMX (admx — это более новый формат шаблонов GPO, который следует использовать для текущих версий Windows 11/10/8.1 и Windows Server 2022/2019/2016/2012R2);В этой папке находится файл chrome.reg. Он содержит пример параметров реестра Chrome, которые можно установить с помощью GPO. Вы можете использовать примеры из этого REG-файла для прямой установки параметров Chrome в реестре с помощью привилегий групповой политики. - Скопируйте файл шаблона ADMX GPO в папку ..SYSVOL\PolicyDefinitions (центральное хранилище групповой политики на контроллерах домена Active Directory)
\\woshub.com\SYSVOL\woshub.com\Policies\PolicyDefinitions. Вам нужно скопировать все файлы *.admx и каталоги с ADML-файлами локализации (в нашем примере это en-US и de-DE);
Мы всегда рекомендуем создавать резервные копии PolicyDefensions каталог перед установкой/обновлением файлов политики ADMX. - Откройте консоль управления групповой политикой домена (
gpmc.msc) и отредактируйте любой существующий GPO (или создайте новый). Убедитесь, что новый Google папка, содержащая несколько новых подразделов (Google Chrome, Google Chrome — Настройки по умолчанию (пользователи могут переопределить), Google Update, Поддержка устаревших браузеров, Переключатель пользовательского агента для Chrome) появились как в разделе «Пользователь», так и в разделе «Компьютер» раздела «Политики -> Административные шаблоны».
В административных шаблонах GPO для Google Chrome доступно 400+ различных вариантов браузеров.
Настройка параметров Google Chrome с помощью групповой политики
Обратите внимание, что параметры Google Chrome находятся в двух разных разделах групповой политики (как в Конфигурации компьютера, так и в Конфигурации пользователя):
- Google Chrome — пользователи (и даже локальный администратор) не могут изменить параметры Chrome на своем компьютере, указанные в этом разделе GPO;
- Google Chrome — Настройки по умолчанию (пользователи могут изменить) — рекомендуемые настройки браузера, которые пользователи могут изменить.
Рассмотрим основные параметры Chrome, которые часто централизованно настраиваются в корпоративной среде:
- Установить Google Chrome в качестве браузера по умолчанию: Включено;
- Установка каталога дискового кэша — путь к дисковому кэшу Chrome (обычно это
“${local_app_data}\Google\Chrome\User Data”); - Установка размера дискового кэша — размер дискового кэша (в байтах);
- Установка каталога пользовательских данных Google Chrome Frame — Каталог Chrome с настройками пользователя;
“${local_app_data}\Google\Chrome\User Data”; - Управляемые закладки;
- Отключите автообновление Chrome: Chrome -> Google Update -> Приложения -> Google Chrome: Переопределение политики обновлений: Обновления отключены;
- Добавьте определенные сайты в список доверенных сайтов — Политики HTTP-аутентификации -> Белый список серверов аутентификации;
- Разрешите аутентификацию Kerberos в Chrome для определенных сайтов. Добавьте список серверов и адресов сайтов в настройки политики в разделе Аутентификация HTTP -> Белый список серверов делегирования Kerberos и Белый список серверов аутентификации;
- Отправка анонимной статистики использования и информации о сбоях: Ложь;
- Блокирование доступа к списку URL-адресов: добавьте список сайтов для блокировки (также можно блокировать сайты в Windows с помощью сценариев PowerShell);
- Измените расположение папки загрузки: Установить каталог загрузки: c:\temp\downloads;
- Блокировка уведомлений веб-сайтов в Chrome (Конфигурация компьютера -> Административные шаблоны -> Google -> Google Chrome -> Настройки содержимого -> Настройки уведомлений по умолчанию: Не разрешайте ни одному сайту показывать уведомления на рабочем столе);
- Запретите пользователям сохранять пароли веб-сайтов в браузере: Google Chrome -> Менеджер паролей -> Включите сохранение паролей в менеджере паролей: Отключено;
- Вы можете очистить папки данных просмотра Chrome в профиле пользователя с помощью команды Очистить данные просмотра при выходе ; Включите политику, нажмите Показать, и укажите, какие каталоги Chrome должны автоматически очищаться. Доступные значения:
browsing_history download_history cookies_and_other_site_data cached_images_and_files autofill password_signin site_settings hosted_app_data
- Используйте временный профиль Chrome (данные удаляются после завершения сеанса пользователя). Эфемерный профиль -> Включено.
Последние два варианта полезны для ферм Remote Desktop Services (RDS) с локальными или перемещаемыми профилями (в формате User Profile Disk или FSLogix), когда необходимо уменьшить размер пользовательского профиля.
Обратите внимание, что ${local_app_data} каталог соответствует папке %username%\AppData\Local, и ${roaming_app_data} — до \%username%\AppData\Roaming.
Чтобы задать настройки прокси-сервера для Chrome (могут отличаться от настроек прокси в Windows), перейдите в Google Chrome -> Настройки прокси — включите политику и укажите адрес и порт прокси-сервера в следующем формате -. 192.168.1.123:8080
Установите домашнюю страницу: Google Chrome -> Пуск, Домашняя страница и Страница новой вкладки-> Настройте URL-адрес домашней страницы: https://woshub.com/
Осталось связать GPO с настройками браузера Chrome с нужным контейнером (OU) в Active Directory.
Обновите параметры GPO на клиенте, запустите Chrome и проверьте, были ли применены новые настройки к браузеру.
Обратите внимание, что на странице настроек Chrome теперь отображается «Ваш браузер управляется вашей организацией«.
Если вы запретили пользователям изменять определенные настройки Chrome, в окне настроек браузера появится сообщение «Этот параметр установлен вашим администратором«.
Вы можете отобразить все параметры Google Chrome, настроенные с помощью GPO. Откройте Chrome://policy адрес в браузере. Здесь отображаются параметры Chrome, заданные через реестр или шаблоны ADMX GPO.
Установка расширений Google Chrome с помощью групповой политики
С помощью GPO можно установить определенные расширения Google Chrome для всех пользователей домена. Например, вы хотите автоматически установить расширение AdBlock на все компьютеры. Откройте окно chrome://extensions страницу настроек и установите нужное расширение на эталонный компьютер.
Теперь необходимо получить идентификатор расширения и URL, с которого оно обновляется. Идентификатор расширения Google Chrome можно найти в свойствах расширения (должен быть включен режим разработчика).
Chrome устанавливает расширение в профиль пользователя C:\Users\%Username%\AppData\Local\Google\Chrome\User Data\Default\Extensions\{extension_id_here}.
Найдите и откройте файл manifest.json файл в папке расширения и скопируйте значение параметра update_url. Скорее всего, вы увидите следующий URL: https://clients2.google.com/service/update2/crx.
Теперь в консоли редактора GPO перейдите по адресу Конфигурация компьютера -> Политики -> Административные шаблоны -> Google -> Google Chrome -> Расширения. Включите политику Настройка списка принудительно устанавливаемых расширений.
Нажмите на кнопку Показать и добавьте строку для каждого расширения, которое вы хотите установить. Используйте следующий формат:
{extension_id_here};https://clients2.google.com/service/update2/crx
Обновите параметры групповой политики на компьютере пользователя:
gpupdate /force
Закройте и перезапустите браузер. Теперь указанное расширение будет автоматически устанавливаться в Chrome в тихом режиме без участия пользователя.
Вы можете запретить пользователям устанавливать расширения Chrome с помощью параметра GPO Настройка блок-листа установки расширений: * и разрешите пользователям устанавливать только одобренные расширения (Настройка списка разрешений на установку расширений).