О том, как в среде Windows использовать групповые политики для веб браузера Google Chrome, читайте дальше.
На странице Настройка Chrome for Work, google разместил руководство по настройке, я выделил для себя следующие пункты:
Установка Chrome
Если вы планируете устанавливать хром групповыми политиками или иными средствами вам понадобится msi пакет, msi пакет необходимо скачать тут.
Если у вас нет внедренной политики контроля запуска приложений, как показывает практика, пользователи устанавливают браузер хром самостоятельно, и в этом случаи дистрибутив браузера будет установлен в профиль пользователя.
Установка шаблонов
Скачайте ZIP-файл шаблонов и документации Google Chrome.
В архиве находятся ADM/ADMX шаблоны и примеры в виде reg файла.
Более подробно про шаблоны групповых политик можно прочитать тут.
ADMX шаблоны необходимо скопировать в центральный репозиторий вашего домена.
Это DFS шара которая находится на домен контроллерах в папке C:\Windows\SYSVOL\sysvol\«FQDN вашего домена»\Policies\PolicyDefinitions\
По сети репозиторий доступен по ссылке \\«FQDN вашего домена»\policies\PolicyDefinitions\
Если папка PolicyDefinitions отсутствует, создайте папку самостоятельно.
Если вы все сделали правильно, при создании новой политику у вас появится новый раздел Google.
Автоматическое обновление
Скачать административный шаблон можно тут, доступен только ADM шаблон.
После добавления шаблона в вашу политику у вас появится новый раздел, где вы сможете выбрать период обновления или отключить авто обновления.
Политики
Нашел на просторах google замечательное руководство Deploying and Securing Google Chrome in a Windows Enterprise, очень полезный документ от National Security Agency of USA.
Политик много, как пишет сам google Более 100 правил для настройки.
В первую очередь я рекомендую настроить размер локального кеша и его место расположение.
1 — Set disk cache directory: установить значение "${local_app_data}\Google\Chrome\User Data"
2 — Set disk cache size in bytes: установите значение кеша в байтах
3 — Set Google Chrome Frame user data directory: установить значение "${local_app_data}\Google\Chrome\User Data"
4 — Set media disk cache size in bytes: установите значение кеша в байтах
5 — Set user data directory: установить значение "${roaming_app_data}\Google\Chrome\User Data"
Обратите внимание на переменные {local_app_data} и {roaming_app_data}, это папки "\%username%\AppData\Local" и "\%username%\AppData\Roaming" в профиле пользователя.
6 — Managed Bookmarks: этим параметром вы можете создать свою коллекцию закладок
пример:
[{«name»: «Google», «url»: «google.com»}, {«name»: «Yandex», «url»: «Yandex.com»}, {«name»: «Bing», «url»: «bing.com»}]
результат:
Для получения списка политик откройте в браузере страницу chrome://policy/.
Политики для плагинов
Я предпочитаю пользоваться политикой где запрещено все что не разрешено.
7 — Specify a list of disabled plugins: устанавливаем значение * для отключения всех плагинов
8 — Specify a list of enabled plugins: разрешаем избранные плагины
*Java*
*Flash*
*Adobe Acrobat*
*Microsoft Office*
*Silverlight*
*VMware*
*Chrome PDF Viewer*
*RealPlayer*
*QuickTime*
Для получения списка плагинов откройте в браузере страницу chrome://plugins/.
Политики для расширений и приложений
Как и в случаи с плагинами отключаю все что не разрешено.
9 — Configure extension installation blacklist: устанавливаем значение * для отключения всех расширений
При попытке установить расширение или приложение chrome покажет следующее окно с ошибкой:
Параметры Configure extension installation white list и Configure the list of force-instaled extensions, позволят вам разрешить для установки или установить необходимые расширения.
Для получения списка установленных расширений откройте в браузере страницу chrome://extensions/ и chrome://apps/ для списка приложений.
Экспериментальные опции
Для получения доступа к экспериментальным опциям необходимо открыть страницу chrome://flags/.
Внимание! Эти экспериментальные функции в любой момент могут измениться, прекратить работу или исчезнуть. Мы не предоставляем никаких гарантий относительно возможных последствий их активации, кроме того, они могут привести к сбою браузера. Браузер может удалить все ваши данные, безопасность и конфиденциальность данных могут быть нарушены неожиданных образом. Экспериментальные функции, выбранные одним пользователем, включаются для всех пользователей браузера на компьютере. Соблюдайте осторожность.
Я использую только одну опцию «Сохранить страницу в формате MHTML», для сохранения страниц в формате веб архива.
Практика внедрения Google Chrome
Я использовал много рекомендаций из руководства NSA.
После отключение расширений и доступа к «webstore», несколько пользователей жаловались на отсутствие любимых скинов.
На терминальных серверах ws2008R2 тормозит звук на сайте youtube, в случаи ws2012 такой проблемы нету.
Автоматическое обновление не настраивал.
Рекомендации
После написания статьи, наткнулся на ролики по данной тематике, рекомендую к просмотру:
How to deploy Chrome in a Windows domain
Managing Chrome with group policy
Configuring legacy browser support for Chrome
Комментарии (16)
SyavaSyava
10.06.2015 15:43Спасибо за статью и ссылки, поглядим, что может предложить Хром в AD.
А так — родной Internet Explorer работает в 2012r2 превосходно и управляется политиками «из коробки», так что место пока занято.
Но вдруг особо привередливым приспичит…dklm Автор
10.06.2015 16:22-7на ws2012 и w8 я не мигрировал, а обновление до ie10 и ie11 я заблокировал:
1 — не работает «старый» механизм управления закладками.
2 — у меня на ноуте с w7, ie11 страшно глючит.
3 — некоторые сервисы/службы от микрософта не поддерживаются в новых версиях ie, например RD WEB Access на сервере ws2008r2.
4 — ie10 и ie11 не доступны пользователям с windows xp.
5 — микрософт поставил крест на ie.
Acidmind
11.06.2015 09:55Ну вот кстати с 11-м ишаком и групповыми политиками не всё гладко. Надо юзать какой-то Internet Explorer Administration Kit. Мне кажется, что это страшно не удобное нововведение.
claymore
10.06.2015 15:49-2Да, у меня недавно внедрили такие политики. Все плагины запрещены. В итоге, чтобы поставить rest client который мне нужен, пришлось переползти на Chromium.
aim
10.06.2015 23:19+1всегда можно локально поставить google chrome. а плагины правильно запрещены. вы бы лучше обратились к админам и попросили их запаковать плагин для вас.
Busla
11.06.2015 14:35+2Странно запрещать плагины, но позволять пользователю запуск (установку?) произвольного ПО.
paran01k
10.06.2015 16:13Обратите внимание на переменные {local_app_data} и {roaming_app_data}
Зачем изобретать велосипед? Почему бы не сделать поддержку «переменных среды»? Есть же "%appdata%".dklm Автор
10.06.2015 16:30+1это вопрос к google, когда я внедрял эти политики, стандартные переменные среды виндовс chrome не понимал.
я начал заниматься этой проблематикой когда chrome был версии 38.
подозреваю виновата кроссплатформенность.
SantaClaus16
11.06.2015 15:36-1Все же бедноватые политики… Мне например поисковых систем не хватает, возможности подключать сразу нужные плагины.
karabanov
А функция «При запуске открывать Ранее открытые вкладки» доступна?
dklm Автор
За это отвечает параметр «Action on Startup».