Trong bài viết này, chúng ta sẽ làm quen với các mẫu quản trị Chính sách nhóm của Chrome (admx) do Google cung cấp, cho phép bạn quản lý tập trung cài đặt trình duyệt trong miền Active Directory. Các mẫu ADMX GPO của Chrome đơn giản hóa đáng kể việc triển khai và định cấu hình trình duyệt này trong mạng công ty. Ngoài ra, chúng tôi sẽ trình bày một số tác vụ điển hình về quản lý cài đặt Google Chrome bằng GPO và cài đặt tiện ích mở rộng trình duyệt.
Cài đặt Mẫu GPO ADMX cho Google Chrome
Để quản lý cài đặt Chrome thông qua Chính sách nhóm, bạn phải tải xuống và cài đặt một bộ mẫu GPO quản trị đặc biệt (tệp admx):
-
- Tải xuống và giải nén tệp lưu trữ với các mẫu ADM / ADMX của Chính sách nhóm dành cho Google Chrome (https://dl.google.com/dl/edgedl/chrome/policy/policy_templates.zip - kích thước tệp khoảng 13 MB);
- Có 3 thư mục trong policy_templates:
- chromeos (mẫu quản trị cho Chromium);
- thông thường (chứa các tệp html với mô tả đầy đủ về tất cả các cài đặt chính sách của Chrome - xem c hrome_policy_list.html tập tin);
- cửa sổ - chứa các mẫu chính sách của Chrome ở hai định dạng: ADM và ADMX (admx là định dạng chính sách quản trị mới hơn, được hỗ trợ bắt đầu từ Windows Vista / Windows Server 2008 và mới hơn); Có một tệp chrome.reg trong cùng một thư mục. Nó chứa một ví dụ về cài đặt đăng ký Chrome có thể được đặt thông qua GPO. Bạn có thể sử dụng các ví dụ từ tệp reg này để nhập trực tiếp cài đặt Chrome bằng Tùy chọn chính sách nhóm).
- Sao chép các tệp mẫu quản trị Chrome sang
C:\Windows\PolicyDefinitions
thư mục (các mẫu GPO quản trị cục bộ được lưu trữ trong thư mục này). Để bản địa hóa cài đặt Chính sách nhóm của Chrome, bạn cần sao chép tệp mẫu ADML tương ứng (thư mục en-US, de-De, v.v.). Lưu ý . Nếu bạn muốn sử dụng các chính sách của Chrome trong miền Active Directory, bạn cần sao chép các tệp ADMX và ADML vào một thư mục GPO cụ thể (không phải là tùy chọn tốt nhất) hoặc vào thư mục PolicyDefinitions trong SYSVOL trên bộ điều khiển miền. - Giả sử, chúng tôi sẽ sử dụng định dạng ADMX của mẫu GPO và Cửa hàng Chính sách Trung tâm miền. Sao chép chrome.admx tệp và thư mục bản địa hóa vào \\ woshub.loc \ SYSVOL \ woshub.loc \ Policies \ PolicyDefinitions \ PolicyDefinitions;
- Mở Bảng điều khiển Quản lý Chính sách Nhóm miền ( gpmc.msc ) và chỉnh sửa bất kỳ GPO hiện có nào (hoặc tạo một GPO mới). Đảm bảo rằng một Google mới thư mục chứa hai tiểu mục (Google Chrome và Google Chrome - Cài đặt mặc định (người dùng có thể ghi đè)) xuất hiện cả trong phần Người dùng và Máy tính của Chính sách -> Mẫu quản trị;
Các mẫu quản trị này chứa hơn 300 cài đặt Google Chrome khác nhau mà bạn có thể quản lý. Bạn có thể tự mình khám phá chúng và định cấu hình cài đặt trình duyệt cần thiết trong môi trường của bạn.
Sau khi bạn đã cài đặt các mẫu chính sách nhóm quản trị cho trình duyệt Google Chrome, bạn có thể tiến hành định cấu hình cài đặt Chrome trên máy tính của người dùng.
Định cấu hình cài đặt Google Chrome điển hình qua GPO
Xin lưu ý rằng cài đặt Google Chrome được lưu trữ trong hai phần của Chính sách nhóm (cả trong Máy tính và Cấu hình người dùng):
- Google Chrome - người dùng (và ngay cả quản trị viên cục bộ) không thể thay đổi cài đặt Chrome trên máy tính của họ được chỉ định trong phần GPO này ;
- Google Chrome - Cài đặt mặc định (người dùng có thể ghi đè) - cài đặt trình duyệt được đề xuất mà người dùng có thể thay đổi.
Hãy xem xét các cài đặt Chrome cơ bản thường được định cấu hình tập trung trong môi trường doanh nghiệp:
- Đặt Goggle Chrome làm Trình duyệt Mặc định: Đã bật;
- Đặt thư mục bộ nhớ cache trên đĩa - đường dẫn đến bộ nhớ cache của đĩa Chrome (theo quy tắc, nó là “$ {local_app_data} \ Google \ Chrome \ User Data”);
- Đặt kích thước bộ nhớ cache của đĩa - kích thước bộ nhớ cache của đĩa (tính bằng byte);
- Đặt thư mục dữ liệu người dùng Google Chrome Frame - Thư mục Chrome với cài đặt người dùng “$ {local_app_data} \ Google \ Chrome \ User Data”;
- Dấu trang được Quản lý ;
- Tắt tính năng tự động cập nhật của Chrome: Cho phép cài đặt :Tắt, Ghi đè chính sách cập nhật :Bật và trong trường Chính sách chỉ định Tắt cập nhật;
- Thêm các trang web nhất định vào danh sách trang web đáng tin cậy - Xác thực HTTP theo chính sách -> Danh sách cho phép của máy chủ xác thực;
- Cho phép xác thực Kerberos trong Chrome cho một trang web cụ thể. Thêm danh sách địa chỉ máy chủ và trang web vào cài đặt chính sách Xác thực HTTP -> Danh sách trắng máy chủ ủy quyền của Kerberos và Danh sách trắng của máy chủ xác thực;
- Gửi thống kê sử dụng ẩn danh và thông tin sự cố: Sai ;
- Sử dụng cấu hình Chrome tạm thời (dữ liệu sẽ bị xóa sau khi phiên người dùng kết thúc). Hồ sơ phù du -> Đã bật;
- Chặn quyền truy cập vào danh sách các URL :thêm danh sách các trang web bị chặn;
- Thay đổi vị trí của thư mục tải xuống: Đặt thư mục tải xuống :c:\ temp \ tải xuống.
Lưu ý rằng $ {local_app_data} thư mục tương ứng với thư mục % username% \ AppData \ Local và $ {roaming_app_data} - tới \% tên người dùng% \ AppData \ Roaming .
Bạn có thể tìm thấy danh sách đầy đủ các cài đặt chính sách của Chrome kèm theo giải thích chi tiết tại đây https://cloud.google.com/docs/chrome-enterprise/policies/.Định cấu hình Máy chủ proxy và Trang chủ bằng Chrome GPO
Hãy định cấu hình máy chủ proxy trong Chrome. Chúng tôi quan tâm đến phần chính sách sau : Google Chrome -> Máy chủ proxy.
- địa chỉ máy chủ proxy: ProxyServer - 192.168.123.123:3128
- danh sách ngoại lệ cho proxy: ProxyBypassList - https://www.woshub.local,192.168.*, * .corp.woshub.local
Đặt trang chủ: Google Chrome -> Khởi động, Trang chủ và trang Tab mới-> Định cấu hình URL trang chủ: https://woshub.com/
Nó vẫn là liên kết chính sách với vùng chứa mong muốn (OU) của Active Directory. Áp dụng chính sách nhóm trên máy khách bằng cách chạy lệnh:
gpupdate /force |
gpupdate / force
Khởi chạy Chrome trên máy khách và đảm bảo rằng các cài đặt được chỉ định trong GPO được áp dụng (trong ví dụ trên ảnh chụp màn hình, người dùng không thể thay đổi các giá trị được chỉ định bởi quản trị viên - “ Cài đặt này do quản trị viên của bạn thực thi ”).
Bạn có thể khắc phục sự cố gán chính sách nhóm trên máy tính để bàn bằng gpresult.
Và trên trang cài đặt, “Trình duyệt của bạn do tổ chức của bạn quản lý” được hiển thị.
Để hiển thị tất cả cài đặt Google Chrome được thiết lập thông qua GPO, hãy đi tới Chrome:// policy địa chỉ (tại đây các tham số được chỉ định thông qua sổ đăng ký hoặc tệp mẫu admx GPO được hiển thị).
Triển khai Tiện ích mở rộng của Google Chrome bằng Chính sách nhóm
Bạn có thể sử dụng các mẫu ADMX để cài đặt các tiện ích mở rộng Google Chrome nhất định cho tất cả người dùng miền. Ví dụ:bạn muốn tự động cài đặt tiện ích mở rộng AdBlock trên tất cả các máy tính. Mở trang cài đặt chrome:// extensions và cài đặt tiện ích mở rộng bạn cần trên máy tính của mình.
Bây giờ bạn cần lấy ID tiện ích mở rộng và URL mà từ đó tiện ích mở rộng được cập nhật. Bạn có thể tìm thấy ID tiện ích mở rộng Google Chrome trong thuộc tính tiện ích mở rộng (Chế độ nhà phát triển phải được bật).
Theo ID, bạn cần tìm thư mục tiện ích mở rộng trong hồ sơ người dùng C:\ Users \% Username% \ AppData \ Local \ Google \ Chrome \ User Data \ Default \ Extensions \ {id_here}.
Trong thư mục tiện ích mở rộng, hãy tìm và mở tệp kê khai.json tệp và sao chép giá trị của update_url . Nhiều khả năng bạn sẽ thấy URL sau:https://clients2.google.com/service/update2/crx
.
Bây giờ, trong bảng điều khiển trình soạn thảo GPO, đi tới Cấu hình máy tính -> Chính sách -> Mẫu quản trị -> Google -> Google Chrome -> Tiện ích mở rộng . Bật chính sách Định cấu hình danh sách các tiện ích mở rộng được buộc cài đặt .
Nhấp vào Hiển thị và thêm một dòng cho mỗi tiện ích mở rộng mà bạn muốn cài đặt. Sử dụng định dạng sau:
{extension_id_here};https://clients2.google.com/service/update2/crx
Sau khi áp dụng cho máy tính của người dùng, tất cả các tiện ích mở rộng Chrome được chỉ định sẽ được cài đặt ở chế độ im lặng mà không cần tương tác với người dùng.