如何使用组策略ADMX模板配置Google Chrome?
在本文中,我们将了解Google提供的Chrome组策略管理模板(admx),它允许我们在activedirectory域中集中管理浏览器设置。Chrome的ADMX GPO模板大大简化了该浏览器在企业网络中的部署和配置。此外,我们还将展示使用GPO管理googlechrome设置和安装浏览器扩展的几个典型任务。
为Google Chrome安装GPO ADMX模板
为了通过组策略管理Chrome设置,必须下载并安装一组特殊的管理GPO模板
使用ADM/ADMX模板下载并提取Google Chrome()的组策略模板http://dl.google.com/dl/edgedl/chrome/policy/policy\u templates.zip-文件大小约为13MB);
策略模板中有3个目录:
chromeos(铬的管理模板);
common(包含所有Chrome策略设置的完整描述的html文件–请参阅cChrome_策略_列表.html文件);
windows–包含两种格式的Chrome策略模板: ADM和 ADMX(ADMX是一种较新的管理策略格式,从windows Vista/windows Server 2008及更新版本开始支持);有一个chrome.reg文件在同一目录中。它包含一个可以通过GPO设置的Chrome注册表设置示例。我们可以使用此reg文件中的示例直接使用组策略首选项导入Chrome设置)。
将Chrome管理模板文件复制到
C:\Windows\PolicyDefinitions
目录(本地管理GPO模板存储在此目录中)。为了本地化Chrome组策略设置,我们需要复制相应的ADML模板文件(文件夹en-US、de-de等)。 说明如果要在Active Directory域中使用Chrome策略,则需要将ADMX和ADML文件复制到特定的GPO目录(不是最佳选项)或者域控制器上SYSVOL中的PolicyDefinitions文件夹。
假设,我们将使用GPO模板和域中心策略存储的ADMX格式。复制 **浏览器.admx]文件和 本地化目录到\theitroad.loc\系统卷\theitroad.loc\策略\策略定义\策略定义;
打开域组策略管理控制台( gpmc.msc)并编辑任何现有的GPO(或者创建新的GPO)。确保在策略->管理模板的用户和计算机部分都出现了一个包含两个子部分 (Google Chrome和 Google Chrome–默认设置(用户可以覆盖))的新 Google文件夹;
提示。如果不使用组策略的中心存储区,则可以手动添加googlechrome的GPO模板。右击管理模板,选择 添加/删除模板。在下一个窗口中,指定Chrome.adm文件的路径。最好以UNC格式指定路径,如下所示:\theitroad.loc\系统卷\theitroad.loc\政策{60553A6F-2549-4C9E-B522-D3CF668E56B4}\Adm\铬.adm.
这些管理模板包含大约300多个可以管理的googlechrome设置。我们可以自己探索它们,并配置环境中所需的浏览器设置。
为Google Chrome浏览器安装管理组策略模板后,可以继续在用户的计算机上配置Chrome设置。
通过GPO配置典型的Google Chrome设置
请注意,Google Chrome设置存储在组策略的两个部分中(在计算机和用户配置中):
谷歌Chrome——用户(甚至本地管理员)不能更改本GPO部分指定的计算机上的Chrome设置;
谷歌Chrome——默认设置(用户可以覆盖)——推荐用户可以更改的浏览器设置。
让我们考虑一下在企业环境中通常集中配置的基本Chrome设置:
设置护目镜铬为默认浏览器:启用;
设置磁盘缓存目录–Chrome磁盘缓存的路径(通常是“${local_app_data}\Google\Chrome\User data”);
设置磁盘缓存大小——磁盘缓存大小(字节);
设置Google Chrome Frame用户数据目录–Chrome目录,用户设置为“${local_app_data}\Google\Chrome\user data”;
托管书签;
禁用Chrome自动更新: 允许安装:禁用, 更新策略覆盖:启用,并在策略字段中指定 更新禁用;
将某些站点添加到受信任的站点列表 –策略HTTP Authentication->Authentication server whitelist;
允许在Chrome中对特定站点进行Kerberos身份验证。将服务器和站点地址列表添加到策略设置HTTP Authentication-> Kerberos Delegation server Whitelist和 Authentication server Whitelist;
发送匿名使用统计和崩溃信息:False ;
使用临时Chrome配置文件(数据在用户会话结束后被删除)。 短暂外形->启用;
阻止访问URL列表:添加要阻止的网站列表;
更改下载文件夹的位置: 设置下载目录:c:\temp\downloads。
请注意,[${local_app_data}]目录对应于文件夹 %username%\AppData\local,而 ${roaming_app_data}对应于 %username%\AppData\roaming。
Chrome策略设置的完整列表和详细说明可以在这里找到https://cloud.google.com/docs/chrome enterprise/policies/。
使用Chrome GPO配置代理服务器和主页
让我们在Chrome中配置一个代理服务器。我们感兴趣的政策部分如下 :谷歌浏览器->代理服务器
代理服务器地址:ProxyServer–192.168.123.123:3128
代理的例外列表:ProxyBypassList–http://www.theitroad.local,192.168.,。本地theitroad
设置主页: Google Chrome->启动、主页和新标签页->配置主页URL:http://theitroad.local/
它仍然将策略链接到Active Directory的所需容器(OU)。通过运行以下命令在客户端上应用组策略:
gpupdate /force
在客户机上启动Chrome并确保应用了GPO中指定的设置(在屏幕截图的示例中,用户无法更改管理员分配的值-“此设置由管理员强制执行”)。
我们可以使用gpresult对桌面计算机上的组策略分配进行疑难解答。
在“设置”页上,将显示“浏览器由组织管理”。
要显示通过GPO设置的所有googlechrome设置,请转到Chrome://保单地址(此处显示通过注册表或者admx GPO模板文件指定的参数)。
使用组策略部署Google Chrome扩展
我们可以使用ADMX模板为所有域用户安装某些Google Chrome扩展。例如,我们希望在所有计算机上自动安装AdBlock扩展。打开chrome://扩展设置页并在计算机上安装所需的扩展。
现在我们需要获取扩展ID和从中更新扩展的URL。googlechrome扩展标识可以在扩展属性中找到(必须启用开发人员模式)。
根据ID,我们需要在用户配置文件C:\Users%Username%\AppData\Local\Google\Chrome\user Data\Default\Extensions{ID_here}中找到扩展文件夹。
在扩展文件夹中找到并打开 **manifest.json文件]文件并复制 更新url的值。我们很可能会看到以下URL:
https://clients2.google.com/service/update2/crx