Одним из основных преимуществ браузера Internet Explorer для корпоративных сред является его отличная управляемость в домене с помощью групповых политик. Но далеко не всех Internet Explorer устраивает с точки зрения безопасности, удобства, производительности, совместимости (нужное подчеркнуть). Безусловно, Microsoft делает довольно много для популяризации своего браузера – добавляет новые функции, улучшает безопасность, старается решить проблемы совместимости (вспомним хотя бы довольно полезный режим Enterprise Mode), однако можно констатировать факт – сейчас IE не является лидером на рынке веб-браузеров.
Согласно статистике, на данный момент самым популярным среди браузеров является Google Chrome, но его позиции в корпоративных сетях не слишком крепкие. От широкого внедрения и использования этого браузера многих администраторов удерживает сложность его централизованного управления и обновления. В этой статье мы познакомимся с административными шаблонами групповых политик, предоставляемых компанией Google, которые позволяют централизованно управлять настройками браузера Chrome, что существенно упрощает разворачивание и использование этого браузера в корпоративных сетях. Также рассмотрим несколько типовых задач централизованной настройки параметров браузера Google Chrome с помощью GPO.
Импорт административных политик Chrome в GPO
Процесс разворачивания административных шаблонов GPO для Google Chrome выглядит так:
Скачайте и распакуйте архив с ADM/ADMX шаблонами групповых политик для Google Chrome( http://dl.google.com/dl/edgedl/chrome/policy/polic... — размер архива около 13 Мб).
Для ОС Windows в архиве имеются два типа шаблонов политик: формата ADM и ADMX (последний поддерживается ОС начиная с Windows Vista / 2008 и выше).
Скопируйте файлы административных шаблона в каталог, в котором они будут храниться. Не забудьте, что для того, чтобы шаблоны групповой политики были локализованы (русифицированы) нужно скопировать советующий файл шаблона. Для русского языка в случае использования ADM шаблона это будет файл \policy_templates\windows\adm\ru\chrome.adm , если используется ADMX формат шаблона, нужно скопировать сам файл шаблона \policy_templates\windows\admx\chrome.admx и файлы локализации \policy_templates\windows\admx\ru\chrome.adml.
Примечание. Локальные административные шаблоны GPO хранятся в каталоге C:\Windows\PolicyDefinitions. Если вы планируете задействовать шаблоны политик для Chrome в среде домена Active Directory, можно поместить их в каталог с определенной политикой (не лучший вариант) или в каталог PolicyDefinitions, расположенный в паке SYSVOL на котроллере домена(в случае использовании централизованного хранилища GPO).
Предположим мы планируем использовать ADMX-формат шаблона GPO и централизованное доменное хранилище политик. Скопируем файл chrome.admx и каталоги локализации в папку \\winitpro.loc\SYSVOL\winitpro.loc\Policies\PolicyDefinitions
Откройте консоль управления групповыми политиками (gpmc.msc) и перейдите в режим редактирования любой существующей политики (или создать новую). Убедитесь, что и в пользовательском и системном разделах Policies->Administrative Templates появился новый каталог Google, содержащий два подраздела Google Chrome и Google Chrome – Default Settings (users can override).
Совет. Если вы не используете централизованное хранилище GPO, шаблон групповых политик для Google Chrome можно добавить в редактор политики вручную, для этого щелкните ПКМ по разделу Administrative Templates и выберите пункт Add/Remove Templates. В открывшемся окне укажите путь файлу chrome.adm . Путь желательно указывать в UNC формате, например так: \\winitpro.loc\SYSVOL\winitpro.loc\Policies\{60556A6F-2549-4C8E-A522-D3CF668E56B4}\Adm\chrome.adm
Итак, мы скопировали административные шаблоны групповых политик для браузера Google Chrome. Как мы уже говорили, новый раздел GPO содержит два подраздела: Google Chrome и Google Chrome – Default Settings (users can override). Их отличия в том, что настройки, задаваемые политиками раздела Default Settings, могут быть переопределены пользователями в настройках браузера на своих компьютерах. Параметры первого раздела задаются жестко и изменить эти настройки в браузере не сможет даже локальный администратор (хотя можно выкрутится и совсем заблокировать применение групповых политик на компьютере).
Данные административные шаблоны содержат порядка 260 различных настроек Google Chrome, которыми можно управлять. Вы можете исследовать их самостоятельно и настроить параметры браузера, которые нужны в вашей среде.
Все их рассматривать нецелесообразно, мы лишь продемонстрируем лишь базовые настройки Chrome которые часто требуется задавать централизованно в корпоративной среде.
Типовые настройки Chrome, которые следует настроить через GPO
Из полезных настроек Chrome, которые следует сконфигурировать в первую очередь можно выделить следующие политики (обратите внимание, что каталог ${local_app_data} соответствует папке в профиле пользователя %username%\AppData\Local, а «${roaming_app_data} — «\%username%\AppData\Roaming).
Set disk cache directory — путь к диковому кэшу Chrome (как правило это “${local_app_data}\Google\Chrome\User Data»
Set disk cache size – размер дискового кэша (в байтах)
Set Google Chrome Frame user data directory – каталог Chrome с настройками пользователя «${local_app_data}\Google\Chrome\User Data»
Managed Bookmarks – управление закладками
Отключение авто обновления Chrome: Allow Installation: Disable и Update Policy Override: Enable в поле Policy указать Updates Disable
Добавить определенные сайты в доверенные — Policies HTTP Authentication -> Authentication server whitelist
Настройка прокси сервера и домашней страницы в Google Chrome групповой политикой
Настроим прокси-сервер: нас интересует раздел политик Google Chrome -> Proxy Server
адрес прокси сервера: ProxyServer — 192.168.1.123:8080
список исключений для прокси: ProxyBypassList — http://www.corp.ru,192.168.*, *.corp.ru
Установим домашнюю страницу: Home page -> HomepageLocation – http://vk.com
Изменим местоположение папки для загрузки: Set download directory: c:\temp\downloads. Осталось назначить политику на нужный контейнер (OU) Active Directory. Применим групповую политику к клиенту, выполнив на нем команду gpupdate /force, вызвав удаленное обновление политики или перезагрузив компьютер.
Запустим на клиенте браузер и убедимся, что в его настройках применились параметры заданные нами в групповой политике (в примере на скриншоте пользователь не может изменить назначенные администратором значения).
В том случае, если вы запретили пользователям менять данные параметры Chrome, в окне браузера появится сообщение: Некоторые параметры отключены администратором / This setting is enforced by your administrator
Чтобы отобразить все настройки, которые задаются групповыми политиками непосредственно в браузере Google Chrome, перейдите по адресу Chrome://policy .
Автоматическая установка расширений Chrome через GPO
С помощью данных административных шаблонов можно установить определенные расширения (Extensions) Google Chrome у всех пользователей домена.
Для этого нужно знать идентификатор расщирения (ID) и URL, с которого производится обновление.
Идентификатор расширения Google Chrome можно в параметрах самого расширения в chrome://extensions (должен быть включен режим разработчика).
По идентификатору нужно найти папку расширения в профиле пользователя C:\Users\%Username%\AppData\Local\ Google\Chrome\User Data\Default\Extensions\{тут_id}.
В появившемся каталоге найдите и откройте файл manifest.json и скопируйте содержимое строки update_url. Скорее всего там будет https://clients2.google.com/service/u....
Теперь в консоли редактора GPO перейдите в раздел
Computer Configuration -> Policies -> Administrative Templates- > Google -> Google Chrome -> Extensions. Включите политику Configure the list of force-installed extensions.
Нажмите на кнопку Show и добавьте по строчке для каждого расширения, которое вы хотите установить в следующем формате.
{id_расширения_тут};https://clients2.google.com/service/u...
После применения политики на компьютерах пользователя все указанные расширения будут установлены в «тихом» режиме без взаимодействия с пользователем.