Используйте для работы современный и безопасный браузер.
О том, как в среде Windows использовать групповые политики для веб браузера Google Chrome, читайте дальше.



На странице Настройка Chrome for Work, google разместил руководство по настройке, я выделил для себя следующие пункты:

Установка Chrome

Если вы планируете устанавливать хром групповыми политиками или иными средствами вам понадобится msi пакет, msi пакет необходимо скачать тут.

Если у вас нет внедренной политики контроля запуска приложений, как показывает практика, пользователи устанавливают браузер хром самостоятельно, и в этом случаи дистрибутив браузера будет установлен в профиль пользователя.

Установка шаблонов

Скачайте ZIP-файл шаблонов и документации Google Chrome.
В архиве находятся ADM/ADMX шаблоны и примеры в виде reg файла.
Более подробно про шаблоны групповых политик можно прочитать тут.

ADMX шаблоны необходимо скопировать в центральный репозиторий вашего домена.
Это DFS шара которая находится на домен контроллерах в папке C:\Windows\SYSVOL\sysvol\«FQDN вашего домена»\Policies\PolicyDefinitions\
По сети репозиторий доступен по ссылке \\«FQDN вашего домена»\policies\PolicyDefinitions\

Если папка PolicyDefinitions отсутствует, создайте папку самостоятельно.

Если вы все сделали правильно, при создании новой политику у вас появится новый раздел Google.



Автоматическое обновление

Скачать административный шаблон можно тут, доступен только ADM шаблон.

После добавления шаблона в вашу политику у вас появится новый раздел, где вы сможете выбрать период обновления или отключить авто обновления.



Политики

Нашел на просторах google замечательное руководство Deploying and Securing Google Chrome in a Windows Enterprise, очень полезный документ от National Security Agency of USA.

Политик много, как пишет сам google Более 100 правил для настройки.
В первую очередь я рекомендую настроить размер локального кеша и его место расположение.

1 — Set disk cache directory: установить значение "${local_app_data}\Google\Chrome\User Data"
2 — Set disk cache size in bytes: установите значение кеша в байтах
3 — Set Google Chrome Frame user data directory: установить значение "${local_app_data}\Google\Chrome\User Data"
4 — Set media disk cache size in bytes: установите значение кеша в байтах
5 — Set user data directory: установить значение "${roaming_app_data}\Google\Chrome\User Data"

Обратите внимание на переменные {local_app_data} и {roaming_app_data}, это папки "\%username%\AppData\Local" и "\%username%\AppData\Roaming" в профиле пользователя.

6 — Managed Bookmarks: этим параметром вы можете создать свою коллекцию закладок

пример:
[{«name»: «Google», «url»: «google.com»}, {«name»: «Yandex», «url»: «Yandex.com»}, {«name»: «Bing», «url»: «bing.com»}]

результат:


Для получения списка политик откройте в браузере страницу chrome://policy/.

Политики для плагинов

Я предпочитаю пользоваться политикой где запрещено все что не разрешено.

7 — Specify a list of disabled plugins: устанавливаем значение * для отключения всех плагинов
8 — Specify a list of enabled plugins: разрешаем избранные плагины
*Java*
*Flash*
*Adobe Acrobat*
*Microsoft Office*
*Silverlight*
*VMware*
*Chrome PDF Viewer*
*RealPlayer*
*QuickTime*

Для получения списка плагинов откройте в браузере страницу chrome://plugins/.

Политики для расширений и приложений

Как и в случаи с плагинами отключаю все что не разрешено.

9 — Configure extension installation blacklist: устанавливаем значение * для отключения всех расширений

При попытке установить расширение или приложение chrome покажет следующее окно с ошибкой:



Параметры Configure extension installation white list и Configure the list of force-instaled extensions, позволят вам разрешить для установки или установить необходимые расширения.

Для получения списка установленных расширений откройте в браузере страницу chrome://extensions/ и chrome://apps/ для списка приложений.

Экспериментальные опции

Для получения доступа к экспериментальным опциям необходимо открыть страницу chrome://flags/.
Внимание! Эти экспериментальные функции в любой момент могут измениться, прекратить работу или исчезнуть. Мы не предоставляем никаких гарантий относительно возможных последствий их активации, кроме того, они могут привести к сбою браузера. Браузер может удалить все ваши данные, безопасность и конфиденциальность данных могут быть нарушены неожиданных образом. Экспериментальные функции, выбранные одним пользователем, включаются для всех пользователей браузера на компьютере. Соблюдайте осторожность.

Я использую только одну опцию «Сохранить страницу в формате MHTML», для сохранения страниц в формате веб архива.

Практика внедрения Google Chrome

Я использовал много рекомендаций из руководства NSA.
После отключение расширений и доступа к «webstore», несколько пользователей жаловались на отсутствие любимых скинов.
На терминальных серверах ws2008R2 тормозит звук на сайте youtube, в случаи ws2012 такой проблемы нету.
Автоматическое обновление не настраивал.

Рекомендации

После написания статьи, наткнулся на ролики по данной тематике, рекомендую к просмотру:
How to deploy Chrome in a Windows domain
Managing Chrome with group policy
Configuring legacy browser support for Chrome

Комментарии (16)


  1. karabanov
    10.06.2015 15:42

    А функция «При запуске открывать Ранее открытые вкладки» доступна?


    1. dklm Автор
      10.06.2015 16:07

      За это отвечает параметр «Action on Startup».

      If you choose 'Restore the last session', the URLs that were open last time Google Chrome was closed will be reopened and the browsing session will be restored as it was left.


  1. SyavaSyava
    10.06.2015 15:43

    Спасибо за статью и ссылки, поглядим, что может предложить Хром в AD.
    А так — родной Internet Explorer работает в 2012r2 превосходно и управляется политиками «из коробки», так что место пока занято.
    Но вдруг особо привередливым приспичит…


    1. dklm Автор
      10.06.2015 16:22
      -7

      на ws2012 и w8 я не мигрировал, а обновление до ie10 и ie11 я заблокировал:

      1 — не работает «старый» механизм управления закладками.
      2 — у меня на ноуте с w7, ie11 страшно глючит.
      3 — некоторые сервисы/службы от микрософта не поддерживаются в новых версиях ie, например RD WEB Access на сервере ws2008r2.
      4 — ie10 и ie11 не доступны пользователям с windows xp.
      5 — микрософт поставил крест на ie.


    1. Acidmind
      11.06.2015 09:55

      Ну вот кстати с 11-м ишаком и групповыми политиками не всё гладко. Надо юзать какой-то Internet Explorer Administration Kit. Мне кажется, что это страшно не удобное нововведение.


  1. claymore
    10.06.2015 15:49
    -2

    Да, у меня недавно внедрили такие политики. Все плагины запрещены. В итоге, чтобы поставить rest client который мне нужен, пришлось переползти на Chromium.


    1. aim
      10.06.2015 23:19
      +1

      всегда можно локально поставить google chrome. а плагины правильно запрещены. вы бы лучше обратились к админам и попросили их запаковать плагин для вас.


    1. Busla
      11.06.2015 14:35
      +2

      Странно запрещать плагины, но позволять пользователю запуск (установку?) произвольного ПО.


  1. paran01k
    10.06.2015 16:13

    Обратите внимание на переменные {local_app_data} и {roaming_app_data}

    Зачем изобретать велосипед? Почему бы не сделать поддержку «переменных среды»? Есть же "%appdata%".


    1. dklm Автор
      10.06.2015 16:30
      +1

      это вопрос к google, когда я внедрял эти политики, стандартные переменные среды виндовс chrome не понимал.
      я начал заниматься этой проблематикой когда chrome был версии 38.
      подозреваю виновата кроссплатформенность.


  1. hardex
    10.06.2015 19:13
    -1

    yutub
    Вы это вообще серьезно?


  1. shumski
    10.06.2015 23:25

    Я использовал много рекомендаций из руководства NSA.

    Подскажите, о котором руководстве речь?


    1. shumski
      10.06.2015 23:39
      -1

      Прошу прощения. Уже разобрался


  1. SantaClaus16
    11.06.2015 15:36
    -1

    Все же бедноватые политики… Мне например поисковых систем не хватает, возможности подключать сразу нужные плагины.


    1. dklm Автор
      11.06.2015 16:23

      я это не настраивал и писал только про базовые настройки.
      правил много, как пишет сам google Более 100 правил для настройки.


      1. dklm Автор
        11.06.2015 17:47

        Добавил в статью пару строк про «расширения».