Настройка параметров браузера Google Chrome с помощью групповых политик

Для централизованного управления настройками браузера Google Chrome на компьютерах пользователей домена можно использовать официальные ADMX шаблоны групповых политик. В этой статье мы покажем, как установить и настроить параметры браузера Google Chrome на компьютерах пользователей с помощью GPO.

Установка Google Chrome на компьютеры пользователей через групповые политики

Вы можете использовать групповые политики для установки программ на компьютерах пользователей .

  1. Скачайте установочный Google Chrome в формате MSI здесь https://chromeenterprise.google/browser/download/#windows-tab
  2. Распакуйте архив GoogleChromeEnterpriseBundle64.zip и скопируйте файл GoogleChromeStandaloneEnterprise64.msi в каталог SYSVOL на контроллере домена ( \remontka.comSysVolremontka.comscripts ); скачать установочный MSI файл GoogleChromeStandaloneEnterprise64.msi
  3. Откройте консоль управления доменными GPO – Group Policy Management Console (msc);
  4. Создайте новую GPO (gpoInstallChrome) и назначьте ее на контейнер ( Organizational Unit ) с компьютерами пользователей ( Create a GPO in this domain, and link it here ); создать групповую политику для google chrome
  5. Откройте политики и перейдите в раздел Computer Configuration -> Policies -> Software Settings -> Software installation ;
  6. Выберите New -> Package и укажите UNC путь к файлу GoogleChromeStandaloneEnterprise64.msi на SYSVOL;
  7. Выберите опцию “ Advanced ” и нажмите OK; установка браузера google chrome с помощью групповых политик
  8. Перейдите на вкладку Deployment -> Advanced и отключите опцию Ignore language when deploying this package (это позволит игнорировать язык Windows на компьютерах клиентов);
  9. Перезагрузите компьютер пользователя чтобы обновить настройки групповых политик. Установка Google Chrome будет запущена во время загрузки компьютера. Проверьте, что он появится в списке установленных программ на клиенте. браузер chrome автоматически установлен в windows
В современных билдах Windows 10 и 11 вы можете использовать встроенный пакетный менеджер WinGet для онлайн установки программ. Достаточно создать логон скрипт GPO с командой;

winget install --id=Google.Chrome -e

Установка административных (ADMX) шаблонов групповых политик Chrome

Для централизованного управления параметрами Google Chrome на компьютерах пользователей, нужно скачать и установить административных ADMX шаблонов GPO.

  1. Скачайте и распакуйте архив с ADMX шаблонами групповых политик для Google Chrome ( http://dl.google.com/dl/edgedl/chrome/policy/policy_templates.zip — размер архива около 100 Мб);
  2. В архиве находятся 3 каталога: шаблоны admx политик для google chrome
    • chromeos (административные шаблоны для Chromium);
    • common (содержит html файлы с полным описанием всех настраиваемых параметров политик Chrome – см. файл c hrome_policy_list.html ); chrome_policy_list.html файл справки по политикам chrome
    • каталог windows — содержит шаблоны политик Chrome в двух форматах: ADM и ADMX (admx это более новый формат административных, который нужно использовать для современных версий WIndows 10/11, Windows Server 2022/2019/2016).
      В этом же каталоге есть файл chrome.reg. В нем содержится пример настроек реестра, которые задаются для Chrome с помощью административных шаблонов. Вы можете использовать примеры из этого reg файла, чтобы напрямую задать настроек Chrome в реестре через GPO );

  3. Скопируйте ADMX шаблоны GPO в каталог ..SYSVOLPolicyDefinitions ( централизованное хранилище политик на контроллере домена ) \remontka.locSYSVOLremontka.locPoliciesPolicyDefinitions . Нужно скопировать все admx файлы и каталоги с локализациями для нужных ваших языков (в нашем примере это en-US и ru-RU); admx файл шаблонов групповых политик для chrome
    Перед установкой/обновлением ADMX файлов политик всегда рекомендуем создавать резевную копию каталога PolicyDefensions.
  4. Откройте консоль управления доменными групповыми политиками ( gpmc.msc ) и перейдите в режим редактирования любой существующей политики (или создайте новую). Убедитесь, что и в пользовательском и системном разделах Policies -> Administrative Templates появилась новая секция Google с настройками Chrome. параметры групповых политики google chrome

В административных шаблонах GPO для Google Chrome доступно 400+ различных параметров браузера.

Настройка браузера Google Chrome через GPO

Обратите внимание, что настройки Google Chrome хранятся в двух разделах групповой политики (как в Computer, так и User Configuration):

  • Google Chrome –пользователи не могут изменить настройки браузера, заданные в этом разделе;
  • Google Chrome — Настройки по умолчанию (пользователи могут менять) ( Default Settings (users can override) ) – рекомендуемые настройки браузера, которые пользователи могут изменить.

Рассмотрим базовые настройки Chrome которые часто настраиваются в корпоративной среде централизованно:

  • Сделать Chrome браузером по умолчанию – Set Goggle Chrome as Default Browser ;
  • Set disk cache directory — путь к диковому кэшу Chrome (как правило это “ ${local_app_data}GoogleChromeUser Data ”);
  • Set disk cache size – размер кэша Chrome на диске (в байтах);
  • Set Google Chrome Frame user data directory – указать путь к каталогу Chrome с настройками пользователя “ ${local_app_data}GoogleChromeUser Data ”;
  • Managed Bookmarks – управление закладками браузера;
  • Отключение авто обновления Chrome: Раздел Chrome -> Google Update -> Applications -> Google Chrome: Update Policy Override : Updates disabled отключить авматическое обновление google chrome через GPO ;
  • Добавить сайты в список доверенных — Policies HTTP Authentication -> Authentication server whitelist;
  • Разрешить Kerberos аутентификацию в Chrome для сайтов. Добавьте список адресов серверов, сайтов в настройки политик – Http Authentication -> Kerberos Delegation Server Whitelist и Authentication Server Whitelist; gpo chrome Delegation Server белый список
  • Запретить отправку анонимной статистики Chrome в Google: Send anonymous usage statistics and crash information -> False;
  • Использовать временный профиль Chrome (данные удаляются после завершения сессии пользователя) Ephemeral profile : Enabled;
  • Список запрещенных сайтов: Block access to a list of URLs (можно заблокировать сайты из PowerShell на уровне Windows );
  • Изменим местоположение папки для загрузки: Set download directory : c:tempdownloads . gpo chrome: измеить папку загрузки downloads
  • Запретить сайтам отправлять уведомления в браузер (Computer Configuration -> Administrative Templates -> Google -> Google Chrome -> Content Settings -> Default notification settings : Do not allow any site to show desktop notifications );
  • Запретить пользователям сохранять пароли для сайтов в браузере: Google Chrome -> Password manager -> Enable saving passwords to the password manager : Disabled ; запретить сохранять пароли в браузере chrome
  • Вы можете очищать папки Chrome в профиле пользователя при выходе с помощью параметра Clear Browsing Data on Exit . Включите политику, нажмите Show и укажите, какие каталоги Chrome нужно автоматически очищать. Допустимые значения:
    browsing_history_x000D_download_history_x000D_cookies_and_other_site_data_x000D_cached_images_and_files_x000D_autofill_x000D_password_signin_x000D_site_settings_x000D_hosted_app_data_x000D_

    очистка данных браузера google chrome при выходе

    Эта опция актуальная для Remote Desktop Services (RDS) ферм при использовании локальных, сетевых профилей (в формате User Profile Disk иди Fslogix ), когда вы хотите уменьшить хранимый размер профиля пользователя.

(Обратите внимание, что каталог ${local_app_data} соответствует папке в профиле пользователя % username%AppDataLocal , а ${roaming_app_data} %username%AppDataRoaming ).

Полный список политик Chrome с подробными объяснениями: https://cloud.google.com/docs/chrome-enterprise/policies/ .

Чтобы задать настройки прокси-сервера для Chrome (могут отличаться от параметров прокси в Windows ), перейдите в Google Chrome -> Proxy settings — включите политику и укажите адрес прокси сервера в формате — 192.168.1.123:8080

параметры прокси сервера для chrome

Установим домашнюю страницу: Google Chrome -> Startup, Home page and New Tab page-> Configure the home page URL https://remontka.com/

задать домашнюю страницу chrome через групповые политики

Осталось назначить GPO с настройками браузера Chrome на нужный OU в Active Directory.

Обновите настройки GPO на клиенте , запустите Chrome и проверьте, что в браузере были применены новые настройки.

Если групповая политика с настройками Chrome не применилась, используйте стандартные средства диагностики описаны в статье “ Почему к компьютеру не применяется групповая политика ” и команду gpresult .

Обратите внимание, что теперь на странице настроек Chrome отображается надпись “ Your browser is managed by your organization ”.

настройки браузера chrome заблокированы через политику

Если вы запретили пользователям менять определенные параметры Chrome, в окне настроек браузера появится сообщение “This settings is enforced by your administrator” ( Некоторые параметры отключены администратором ).

настроки chrome заблокированы администратором

Чтобы отобразить все настройки Google Chrome, которые заданы через GPO, перейдите в браузере по адресу Chrome://policy (здесь отображаются параметры, заданные через реестр или admx файлы шаблонов GPO).

Chrome://policy отчет по примененным GPO

Установка расширений Google Chrome с помощью групповых политик

Вы можете установить определенные расширения (Extensions) Google Chrome у всех пользователей домена с помощью GPO. Например, вы хотите автоматически установить расширение AdBlock всем пользователям. Откройте страницу настроек расширений chrome://extensions и установите нужно расширение.

Теперь нужно получить идентификатор расширения (ID) и URL, с которого производится обновление.
Идентификатор расширения Google Chrome можно найти в параметрах самого расширения в (должен быть включен режим разработчика – Developer mode).

получить id extension в chrome

Chrome устанавливает расширение в профиль пользователя C:Users%Username%AppDataLocal GoogleChromeUser DataDefaultExtensions{тут_id} .

Откройте в этом каталоге файл manifest.json и скопируйте содержимое строки update_url . Скорее всего там будет https://clients2.google.com/service/update2/crx .

update_url у расширения Chrome

Теперь в консоли редактора GPO перейдите в раздел Computer Configuration -> Policies -> Administrative Templates -> Google -> Google Chrome -> Extensions . Включите политику Configure the list of force-installed apps and extensions .

Нажмите на кнопку Show и добавьте по строчке для каждого расширения, которое вы хотите установить в следующем формате.

{id_расширения_тут};https://clients2.google.com/service/update2/crx

установка расширения chrome через gpo

Обновите политики на клиенте:

gpupdate /force

Закройте и перезапустите Google Chrome. Теперь указанное расширение будет автоматически установлено в Chrome в «тихом» режиме без взаимодействия с пользователем.

В этом же разделе вы можете полностью запретить установку расширения для Chrome ( CConfigure extension installation blocklist : * ) и разрешить пользователям установку только определенных расширений ( Configure extension installation allow list ).

EnglishRussianUkrainian