在本文中,我们将熟悉由Google提供的Chrome组策略管理模板(admx),可让您集中管理Active Directory域中的浏览器设置。Chrome的ADMX GPO模板极大地简化了该浏览器在企业网络中的部署和配置。此外,我们还将展示一些使用GPO管理Google Chrome设置和安装浏览器扩展的典型任务。
内容:
- 安装适用于Google Chrome的GPO ADMX模板
- 通过GPO配置典型的Google Chrome设置
- 使用Chrome GPO配置代理服务器和主页
- 使用组策略部署Google Chrome扩展程序
安装适用于Google Chrome的GPO ADMX模板
为了通过组策略管理Chrome设置,您必须下载并安装一组特殊的管理GPO模板
-
- 下载并解压缩带有Google Chrome组策略的ADM / ADMX模板的归档文件(http://dl.google.com/dl/edgedl/chrome/policy/policy_templates.zip-文件大小约为13 MB);
- policy_templates中有3个目录:
- chromeos(铬的管理模板);
- 通用(包含带有所有Chrome策略设置的完整说明的html文件-请参阅c hrome_policy_list.html文件);
- Windows –包含两种格式的Chrome策略模板:ADM和ADMX(admx是较新的管理策略格式,从Windows Vista / Windows Server 2008及更高版本开始受支持);
同一目录中有一个chrome.reg文件。它包含可以通过GPO设置的Chrome注册表设置的示例。您可以使用此reg文件中的示例,使用“组策略首选项”直接导入Chrome设置。
- 将Chrome管理模板文件复制到该C:\Windows\PolicyDefinitions目录(本地管理GPO模板存储在此目录中)。为了本地化Chrome组策略设置,您需要复制相应的ADML模板文件(en-US文件夹,de-De文件夹等)。
注意。如果要在Active Directory域中使用Chrome策略,则需要将ADMX和ADML文件复制到特定的GPO目录(不是最佳选择)或复制到域控制器上SYSVOL中的PolicyDefinitions文件夹。
- 假设我们将使用GPO模板和域中央策略存储的ADMX格式。将chrome.admx文件和本地化目录复制到\\ woshub.loc \ SYSVOL \ woshub.loc \ Policies \ PolicyDefinitions \ PolicyDefinitions;
- 打开域组策略管理控制台(gpmc.msc)并编辑任何现有的GPO(或创建一个新的GPO)。确保新的Google文件夹包含两个子部分(Google Chrome和Google Chrome –默认设置(用户可以覆盖))在“策略”->“管理模板”的“用户”和“计算机”部分中都显示;
提示。如果您没有使用中央存储的组策略,则可以手动为Google Chrome添加GPO模板。为此,请右键单击“管理模板”,然后选择“ 添加/删除模板”。在下一个窗口中,指定Chrome .adm文件的路径。最好以UNC格式指定路径,例如:\\ woshub.loc \ SYSVOL \ woshub.loc \ Policies \ {60553A6F-2549-4C9E-B522-D3CF668E56B4} \ Adm \ chrome.adm。
这些管理模板包含约300多种您可以管理的Google Chrome设置。您可以自己浏览它们,并配置环境中所需的浏览器设置。
为Google Chrome浏览器安装管理组策略模板后,可以继续在用户计算机上配置Chrome设置。
通过GPO配置典型的Google Chrome设置
请注意,Google Chrome设置存储在组策略的两个部分中(在“计算机”和“用户配置”中):
- Google Chrome –用户(甚至本地管理员)无法在此GPO部分中指定的计算机上更改Chrome设置;
- Google Chrome –默认设置(用户可以覆盖) –用户可以更改的推荐浏览器设置。
让我们考虑通常在企业环境中集中配置的基本Chrome设置:
- 将Goggle Chrome设置为默认浏览器:已启用;
- 设置磁盘缓存目录 -Chrome磁盘缓存的路径(通常为“ $ {local_app_data} \ Google \ Chrome \ User Data”);
- 设置磁盘缓存大小 –磁盘缓存大小(以字节为单位);
- 设置Google Chrome浏览器内嵌框架用户数据目录 –用户设置为“ $ {local_app_data} \ Google \ Chrome \ User Data”的Chrome目录;
- 托管书签;
- 禁用Chrome自动更新:允许安装:禁用,更新策略覆盖:启用,然后在“策略”字段中指定“ 禁用更新”;
- 将某些站点添加到受信任站点列表–策略HTTP身份验证->身份验证服务器白名单;
- 在Chrome中允许特定网站的Kerberos身份验证。将服务器和站点地址列表添加到策略设置HTTP身份验证-> Kerberos委派服务器白名单和身份验证服务器白名单;
- 发送匿名使用情况统计信息和崩溃信息: False ;
- 使用临时的Chrome配置文件(用户会话结束后数据将被删除)。临时配置文件 ->已启用;
- 阻止访问URL列表:添加要阻止的网站列表;
- 更改下载文件夹的位置:设置下载目录:c:\ temp \ downloads。
请注意,$ {local_app_data}目录对应于文件夹%username%\ AppData \ Local,而$ {roaming_app_data}对应 于\%username%\ AppData \ Roaming。
您可以在https://cloud.google.com/docs/chrome-enterprise/policies/上找到带有详细说明的Chrome政策设置的完整列表。
使用Chrome GPO配置代理服务器和主页
让我们在Chrome中配置代理服务器。我们对以下政策部分感兴趣: Google Chrome->代理服务器。
- 代理服务器地址:ProxyServer – 192.168.123.123:3128
- 代理的例外列表:ProxyBypassList – http://www.woshub.local,192.168.*,* .corp.woshub.local
设置主页:Google Chrome->“启动”,“主页”和“新标签页”->配置主页URL: http : //woshub.com/
仍然可以将策略链接到Active Directory的所需容器(OU)。通过运行以下命令在客户端上应用组策略:
| gpupdate /强制 |
在客户端上启动Chrome,并确保应用了GPO中指定的设置(在屏幕截图中的示例中,用户无法更改管理员分配的值–“ 此设置由管理员强制执行 ”)。
您可以使用gpresult在台式计算机上对组策略分配进行故障排除。
并且在设置页面上,显示“您的浏览器由您的组织管理”。
要显示通过GPO设置的所有Google Chrome设置,请转到Chrome:// policy地址(此处显示通过注册表或admx GPO模板文件指定的参数)。
使用组策略部署Google Chrome扩展程序
您可以使用ADMX模板为所有域用户安装某些Google Chrome扩展程序。例如,您要在所有计算机上自动安装AdBlock扩展。打开chrome:// extensions设置页面,然后在计算机上安装所需的扩展程序。
现在,您需要获取扩展名ID和从中更新扩展名的URL。可以在扩展程序属性中找到Google Chrome扩展程序ID(必须启用“开发人员”模式)。
按ID,您需要在用户配置文件C:\ Users \%Username%\ AppData \ Local \ Google \ Chrome \ User Data \ Default \ Extensions \ {id_here}中找到扩展文件夹。
在扩展文件夹中,找到并打开manifest.json文件,然后复制update_url的值。您很可能会看到以下网址:https://clients2.google.com/service/update2/crx。
现在,在GPO编辑器控制台中,转到“ 计算机配置”->“策略”->“管理模板”->“ Google”->“ Google Chrome”->“扩展”。启用策略配置强制安装的扩展列表。
单击显示按钮,然后为要安装的每个扩展添加一行。使用以下格式:
{extension_id_here};https://clients2.google.com/service/update2/crx
应用于用户的计算机后,所有指定的Chrome扩展程序都将以静默方式安装,而无需与用户进行交互。
