Google Chrome for Work

    Используйте для работы современный и безопасный браузер.
    О том, как в среде Windows использовать групповые политики для веб браузера Google Chrome, читайте дальше.



    На странице Настройка Chrome for Work, google разместил руководство по настройке, я выделил для себя следующие пункты:

    Установка Chrome

    Если вы планируете устанавливать хром групповыми политиками или иными средствами вам понадобится msi пакет, msi пакет необходимо скачать тут.

    Если у вас нет внедренной политики контроля запуска приложений, как показывает практика, пользователи устанавливают браузер хром самостоятельно, и в этом случаи дистрибутив браузера будет установлен в профиль пользователя.

    Установка шаблонов

    Скачайте ZIP-файл шаблонов и документации Google Chrome.
    В архиве находятся ADM/ADMX шаблоны и примеры в виде reg файла.
    Более подробно про шаблоны групповых политик можно прочитать тут.

    ADMX шаблоны необходимо скопировать в центральный репозиторий вашего домена.
    Это DFS шара которая находится на домен контроллерах в папке C:\Windows\SYSVOL\sysvol\«FQDN вашего домена»\Policies\PolicyDefinitions\
    По сети репозиторий доступен по ссылке \\«FQDN вашего домена»\policies\PolicyDefinitions\

    Если папка PolicyDefinitions отсутствует, создайте папку самостоятельно.

    Если вы все сделали правильно, при создании новой политику у вас появится новый раздел Google.



    Автоматическое обновление

    Скачать административный шаблон можно тут, доступен только ADM шаблон.

    После добавления шаблона в вашу политику у вас появится новый раздел, где вы сможете выбрать период обновления или отключить авто обновления.



    Политики

    Нашел на просторах google замечательное руководство Deploying and Securing Google Chrome in a Windows Enterprise, очень полезный документ от National Security Agency of USA.

    Политик много, как пишет сам google Более 100 правил для настройки.
    В первую очередь я рекомендую настроить размер локального кеша и его место расположение.

    1 — Set disk cache directory: установить значение "${local_app_data}\Google\Chrome\User Data"
    2 — Set disk cache size in bytes: установите значение кеша в байтах
    3 — Set Google Chrome Frame user data directory: установить значение "${local_app_data}\Google\Chrome\User Data"
    4 — Set media disk cache size in bytes: установите значение кеша в байтах
    5 — Set user data directory: установить значение "${roaming_app_data}\Google\Chrome\User Data"

    Обратите внимание на переменные {local_app_data} и {roaming_app_data}, это папки "\%username%\AppData\Local" и "\%username%\AppData\Roaming" в профиле пользователя.

    6 — Managed Bookmarks: этим параметром вы можете создать свою коллекцию закладок

    пример:
    [{«name»: «Google», «url»: «google.com»}, {«name»: «Yandex», «url»: «Yandex.com»}, {«name»: «Bing», «url»: «bing.com»}]

    результат:


    Для получения списка политик откройте в браузере страницу chrome://policy/.

    Политики для плагинов

    Я предпочитаю пользоваться политикой где запрещено все что не разрешено.

    7 — Specify a list of disabled plugins: устанавливаем значение * для отключения всех плагинов
    8 — Specify a list of enabled plugins: разрешаем избранные плагины
    *Java*
    *Flash*
    *Adobe Acrobat*
    *Microsoft Office*
    *Silverlight*
    *VMware*
    *Chrome PDF Viewer*
    *RealPlayer*
    *QuickTime*

    Для получения списка плагинов откройте в браузере страницу chrome://plugins/.

    Политики для расширений и приложений

    Как и в случаи с плагинами отключаю все что не разрешено.

    9 — Configure extension installation blacklist: устанавливаем значение * для отключения всех расширений

    При попытке установить расширение или приложение chrome покажет следующее окно с ошибкой:



    Параметры Configure extension installation white list и Configure the list of force-instaled extensions, позволят вам разрешить для установки или установить необходимые расширения.

    Для получения списка установленных расширений откройте в браузере страницу chrome://extensions/ и chrome://apps/ для списка приложений.

    Экспериментальные опции

    Для получения доступа к экспериментальным опциям необходимо открыть страницу chrome://flags/.
    Внимание! Эти экспериментальные функции в любой момент могут измениться, прекратить работу или исчезнуть. Мы не предоставляем никаких гарантий относительно возможных последствий их активации, кроме того, они могут привести к сбою браузера. Браузер может удалить все ваши данные, безопасность и конфиденциальность данных могут быть нарушены неожиданных образом. Экспериментальные функции, выбранные одним пользователем, включаются для всех пользователей браузера на компьютере. Соблюдайте осторожность.

    Я использую только одну опцию «Сохранить страницу в формате MHTML», для сохранения страниц в формате веб архива.

    Практика внедрения Google Chrome

    Я использовал много рекомендаций из руководства NSA.
    После отключение расширений и доступа к «webstore», несколько пользователей жаловались на отсутствие любимых скинов.
    На терминальных серверах ws2008R2 тормозит звук на сайте youtube, в случаи ws2012 такой проблемы нету.
    Автоматическое обновление не настраивал.

    Рекомендации

    После написания статьи, наткнулся на ролики по данной тематике, рекомендую к просмотру:
    How to deploy Chrome in a Windows domain
    Managing Chrome with group policy
    Configuring legacy browser support for Chrome
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 23

      0
      А функция «При запуске открывать Ранее открытые вкладки» доступна?
        0
        За это отвечает параметр «Action on Startup».
        If you choose 'Restore the last session', the URLs that were open last time Google Chrome was closed will be reopened and the browsing session will be restored as it was left.

      • UFO just landed and posted this here
          –7
          на ws2012 и w8 я не мигрировал, а обновление до ie10 и ie11 я заблокировал:

          1 — не работает «старый» механизм управления закладками.
          2 — у меня на ноуте с w7, ie11 страшно глючит.
          3 — некоторые сервисы/службы от микрософта не поддерживаются в новых версиях ie, например RD WEB Access на сервере ws2008r2.
          4 — ie10 и ie11 не доступны пользователям с windows xp.
          5 — микрософт поставил крест на ie.
            0
            Ну вот кстати с 11-м ишаком и групповыми политиками не всё гладко. Надо юзать какой-то Internet Explorer Administration Kit. Мне кажется, что это страшно не удобное нововведение.
            –2
            Да, у меня недавно внедрили такие политики. Все плагины запрещены. В итоге, чтобы поставить rest client который мне нужен, пришлось переползти на Chromium.
              +1
              всегда можно локально поставить google chrome. а плагины правильно запрещены. вы бы лучше обратились к админам и попросили их запаковать плагин для вас.
                +2
                Странно запрещать плагины, но позволять пользователю запуск (установку?) произвольного ПО.
                0
                Обратите внимание на переменные {local_app_data} и {roaming_app_data}

                Зачем изобретать велосипед? Почему бы не сделать поддержку «переменных среды»? Есть же "%appdata%".
                  +1
                  это вопрос к google, когда я внедрял эти политики, стандартные переменные среды виндовс chrome не понимал.
                  я начал заниматься этой проблематикой когда chrome был версии 38.
                  подозреваю виновата кроссплатформенность.
                  –1
                  yutub
                  Вы это вообще серьезно?
                    0
                    Я использовал много рекомендаций из руководства NSA.

                    Подскажите, о котором руководстве речь?
                      –1
                      Прошу прощения. Уже разобрался
                      –1
                      Все же бедноватые политики… Мне например поисковых систем не хватает, возможности подключать сразу нужные плагины.
                        0
                        я это не настраивал и писал только про базовые настройки.
                        правил много, как пишет сам google Более 100 правил для настройки.
                          0
                          Добавил в статью пару строк про «расширения».
                        0
                        Вышла новая версия хрома 45.0.2454.85 m (64-bit).
                        Проблему с звуком не терминальном сервере ws2008R2 исправили, но нагрузка на процессор сильно выросла, и теперь звук и видео дергается из за нехватки ресурсов.
                          0
                          Странно, пробую добавить (на примере файла реестра) в Windows 7 SP1 x64 параметры политики, а Chrome их просто не видит, судя по
                          chrome://policy/.
                          Не пробовали такой способ случайно, может знаете в чём дело?

                          P.S. при этом параметры из раздела Update, касающиеся автообновления из реестра грузятся. :(
                            +1
                            Как-то странно отрабатывает…

                            Загрузил настройки в ветку реестра на ПК вне домена, версия хрома 48.0.2564.82.
                            [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome]

                            Точно могу сказать что применился параметр UserDataDir, с остальными не понятно, =) список с политиками пуст.
                            «UserDataDir»="${roaming_app_data}\\Google\\Chrome\\User Data"
                              0
                              Именно так! Список с политиками пуст. Более того у меня там вписана целая пачка флажков и опций и ничего не работает. Сужу, как минимум по не работающему флажку --ignore-gpu-blacklist ибо его применение отлично видно на вкладке chrome://gpu :(

                              Из всей кучи под спойлером работают только параметры для утилиты обновления, но, фактически, к самому Chrome они вообще никакого отношения не имеют.
                              Заголовок спойлера
                              [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google]
                              
                              [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome]
                              "AdditionalLaunchParameters"="--bypass-app-banner-engagement-checks --disable-device-discovery-notifications --no-pings --disable-new-bookmark-apps --disable-new-task-manager --enable-appcontainer --enable-download-resumption --enable-embedded-extension-options --disable-experimental-app-list --google-profile-info --force-gpu-rasterization --enable-multilingual-spellchecker --disable-new-profile-management --enable-offline-auto-reload-visible-only --disable-offline-auto-reload --enable-password-force-saving --disable-pdf-material-ui --enable-win32k-lockdown-mimetypes=* --disable-quic --use-simple-cache-backend=on --disable-site-engagement-service --enable-spelling-feedback-field-trial --enable-sync-app-list --enable-tab-audio-muting --enable-zero-copy --enhanced-bookmarks-experiment=0 --extension-content-verification=enforce_strict --ignore-gpu-blacklist --enable-lcd-text --mark-non-secure-as=neutral --disable-overlay-scrollbar --reduced-referrer-granularity --disable-client-side-phishing-detection --enable-features=AutomaticTabDiscarding"
                              "AllowFileSelectionDialogs"=dword:00000001
                              "AllowOutdatedPlugins"=dword:00000001
                              "AlternateErrorPagesEnabled"=dword:00000001
                              "AudioCaptureAllowed"=dword:00000000
                              "BackgroundModeEnabled"=dword:00000000
                              "BuiltInDnsClientEnabled"=dword:00000000
                              "CloudPrintProxyEnabled"=dword:00000000
                              "CloudPrintSubmitEnabled"=dword:00000000
                              "DisableScreenshots"=dword:00000001
                              "DisableSpdy"=dword:00000001
                              "DnsPrefetchingEnabled"=dword:00000000
                              "HardwareAccelerationModeEnabled"=dword:00000001
                              "MetricsReportingEnabled"=dword:00000001
                              "NetworkPredictionOptions"=dword:00000002
                              "QuicAllowed"=dword:00000000
                              "RestoreOnStartup"=dword:00000001
                              "SafeBrowsingEnabled"=dword:00000000
                              "ShowAppsShortcutInBookmarkBar"=dword:00000001
                              "ShowHomeButton"=dword:00000000
                              "SpellCheckServiceEnabled"=dword:00000001
                              "TranslateEnabled"=dword:00000001
                              "VideoCaptureAllowed"=dword:00000000
                              "WelcomePageOnOSUpgradeEnabled"=dword:00000000
                              
                              [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\DisabledPlugins]
                              "1"="*"
                              
                              [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\EnabledPlugins]
                              "1"="Shockwave Flash"
                              
                              [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\ExtensionInstallBlacklist]
                              "1"="*"
                              
                              [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\ExtensionInstallForcelist]
                              "1"="cjpalhdlnbpafiamejdnhcphjbkeiagm;https://clients2.google.com/service/update2/crx"
                              "2"="bhmmomiinigofkjcapegjjndpbikblnp;https://clients2.google.com/service/update2/crx"
                              "3"="jliilhbdldnjbdbpajaakhpjpahnopbn;https://clients2.google.com/service/update2/crx"
                              
                              [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\ExtensionInstallWhitelist]
                              "1"="jbmkekhehjedonbhoikhhkmlapalklgn"
                              "2"="bpphkkgodbfncbcpgopijlfakfgmclao"
                              "3"="ihffmkcfkejomlfnilnmkokcpgclhfeg"
                              "4"="hmjkmjkepdijhoojdojkdfohbdgmmhki"
                              "5"="nonjdcjchghhkdoolnlbekcfllmednbl"
                              "6"="ecanpcehffngcegjmadlcijfolapggal"
                              "7"="hhinaapppaileiechjoiifaancjggfjm"
                              "8"="cldddmmadmohokhnmodjcimfbijpkdep"
                              "9"="abjcfabbhafbcdfjoecdgepllmpfceif"
                              "10"="gebhifiddmaaeecbaiemfpejghjdjmhc"
                              "11"="ofgjggbjanlhbgaemjbkiegeebmccifi"
                              "12"="jliilhbdldnjbdbpajaakhpjpahnopbn"
                              "13"="ihbdojmggkmjbhfflnchljfkgdhokffj"
                              "14"="bmjffnfcokiodbeiamclanljnaheeoke"
                              "15"="niloccemoadcdkdjlinkgdfekeahmflj"
                              "16"="npecfdijgoblfcgagoijgmgejmcpnhof"
                              "17"="dhdgffkkebhmkfjojejmpbldmpobfkfo"
                              "18"="cjpalhdlnbpafiamejdnhcphjbkeiagm"
                              "19"="bhmmomiinigofkjcapegjjndpbikblnp"
                              "20"="khagclindddokccfbmfmckaflngbmpon"
                              
                              [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Update]
                              "InstallDefault"=dword:00000001
                              "UpdateDefault"=dword:00000000
                              "AutoUpdateCheckPeriodMinutes"=dword:00000000
                              


                              Даже не знаю что теперь делать. Не работают и всё. Может знаете куда писать, ведь это явно баг и очень гадкий.
                              P.S. по вкладке chrome://settings тоже хорошо видно, что политики не применились ибо опции должны стать серенькими и неизменяемыми, а этого не происходит :(
                                0
                                Кажется разобрался, без домена эти админ шаблоны, чуть ли не в ручную импортировать в оснастку иначе не работает. Google такой Google.
                                  +1
                                  В общем вердикт: хрень это всё неюзабельная без домена. По стандартным путям в реестре ничего не работает, а работать начинает только после ручного добавления каждой политики, попытка перетаскивать получившееся тоже не работает из-за GUID. В общем Google сделала как обычно по своему, а не так как должно быть, жаль.
                                0
                                Спасибо Автору за толковую статью!
                                Развеял миф наших ИТ-шников о невозможности управления Chrome через GPO.

                                Only users with full accounts can post comments. Log in, please.