在本文中，我们将了解Google提供的Chrome组策略管理模板(admx)，它允许我们在activedirectory域中集中管理浏览器设置。Chrome的ADMX GPO模板大大简化了该浏览器在企业网络中的部署和配置。此外，我们还将展示使用GPO管理googlechrome设置和安装浏览器扩展的几个典型任务。

为Google Chrome安装GPO ADMX模板

为了通过组策略管理Chrome设置，必须下载并安装一组特殊的管理GPO模板

使用ADM/ADMX模板下载并提取Google Chrome()的组策略模板http://dl.google.com/dl/edgedl/chrome/policy/policy\u templates.zip-文件大小约为13MB)；

策略模板中有3个目录：

chromeos(铬的管理模板)；

common(包含所有Chrome策略设置的完整描述的html文件–请参阅cChrome_策略_列表.html文件)；

windows–包含两种格式的Chrome策略模板： ADM和 ADMX(ADMX是一种较新的管理策略格式，从windows Vista/windows Server 2008及更新版本开始支持)；有一个chrome.reg文件在同一目录中。它包含一个可以通过GPO设置的Chrome注册表设置示例。我们可以使用此reg文件中的示例直接使用组策略首选项导入Chrome设置)。

将Chrome管理模板文件复制到

C:\Windows\PolicyDefinitions

目录(本地管理GPO模板存储在此目录中)。为了本地化Chrome组策略设置，我们需要复制相应的ADML模板文件(文件夹en-US、de-de等)。 说明如果要在Active Directory域中使用Chrome策略，则需要将ADMX和ADML文件复制到特定的GPO目录(不是最佳选项)或者域控制器上SYSVOL中的PolicyDefinitions文件夹。

假设，我们将使用GPO模板和域中心策略存储的ADMX格式。复制 **浏览器.admx]文件和 本地化目录到\theitroad.loc\系统卷\theitroad.loc\策略\策略定义\策略定义；

打开域组策略管理控制台( gpmc.msc)并编辑任何现有的GPO(或者创建新的GPO)。确保在策略->管理模板的用户和计算机部分都出现了一个包含两个子部分 (Google Chrome和 Google Chrome–默认设置(用户可以覆盖))的新 Google文件夹；

提示。如果不使用组策略的中心存储区，则可以手动添加googlechrome的GPO模板。右击管理模板，选择 添加/删除模板。在下一个窗口中，指定Chrome.adm文件的路径。最好以UNC格式指定路径，如下所示：\theitroad.loc\系统卷\theitroad.loc\政策{60553A6F-2549-4C9E-B522-D3CF668E56B4}\Adm\铬.adm.

这些管理模板包含大约300多个可以管理的googlechrome设置。我们可以自己探索它们，并配置环境中所需的浏览器设置。

为Google Chrome浏览器安装管理组策略模板后，可以继续在用户的计算机上配置Chrome设置。

通过GPO配置典型的Google Chrome设置

请注意，Google Chrome设置存储在组策略的两个部分中(在计算机和用户配置中)：

谷歌Chrome——用户(甚至本地管理员)不能更改本GPO部分指定的计算机上的Chrome设置；

谷歌Chrome——默认设置(用户可以覆盖)——推荐用户可以更改的浏览器设置。

让我们考虑一下在企业环境中通常集中配置的基本Chrome设置：

设置护目镜铬为默认浏览器：启用；

设置磁盘缓存目录–Chrome磁盘缓存的路径(通常是“${local_app_data}\Google\Chrome\User data”)；

设置磁盘缓存大小——磁盘缓存大小(字节)；

设置Google Chrome Frame用户数据目录–Chrome目录，用户设置为“${local_app_data}\Google\Chrome\user data”；

托管书签；

禁用Chrome自动更新： 允许安装：禁用， 更新策略覆盖：启用，并在策略字段中指定 更新禁用；

将某些站点添加到受信任的站点列表 –策略HTTP Authentication->Authentication server whitelist；

允许在Chrome中对特定站点进行Kerberos身份验证。将服务器和站点地址列表添加到策略设置HTTP Authentication-> Kerberos Delegation server Whitelist和 Authentication server Whitelist；

发送匿名使用统计和崩溃信息：False ；

使用临时Chrome配置文件(数据在用户会话结束后被删除)。 短暂外形->启用；

阻止访问URL列表：添加要阻止的网站列表；

更改下载文件夹的位置： 设置下载目录：c:\temp\downloads。

请注意，[${local_app_data}]目录对应于文件夹 %username%\AppData\local，而 ${roaming_app_data}对应于 %username%\AppData\roaming。

Chrome策略设置的完整列表和详细说明可以在这里找到https://cloud.google.com/docs/chrome enterprise/policies/。

使用Chrome GPO配置代理服务器和主页

让我们在Chrome中配置一个代理服务器。我们感兴趣的政策部分如下 ：谷歌浏览器->代理服务器

代理服务器地址：ProxyServer–192.168.123.123:3128

代理的例外列表：ProxyBypassList–http://www.theitroad.local，192.168.，。本地theitroad

设置主页： Google Chrome->启动、主页和新标签页->配置主页URL:http://theitroad.local/

它仍然将策略链接到Active Directory的所需容器(OU)。通过运行以下命令在客户端上应用组策略：

gpupdate /force

在客户机上启动Chrome并确保应用了GPO中指定的设置(在屏幕截图的示例中，用户无法更改管理员分配的值-“此设置由管理员强制执行”)。

我们可以使用gpresult对桌面计算机上的组策略分配进行疑难解答。

在“设置”页上，将显示“浏览器由组织管理”。

要显示通过GPO设置的所有googlechrome设置，请转到Chrome://保单地址(此处显示通过注册表或者admx GPO模板文件指定的参数)。

使用组策略部署Google Chrome扩展

我们可以使用ADMX模板为所有域用户安装某些Google Chrome扩展。例如，我们希望在所有计算机上自动安装AdBlock扩展。打开chrome://扩展设置页并在计算机上安装所需的扩展。

现在我们需要获取扩展ID和从中更新扩展的URL。googlechrome扩展标识可以在扩展属性中找到(必须启用开发人员模式)。

根据ID，我们需要在用户配置文件C:\Users%Username%\AppData\Local\Google\Chrome\user Data\Default\Extensions{ID_here}中找到扩展文件夹。

在扩展文件夹中找到并打开 **manifest.json文件]文件并复制 更新url的值。我们很可能会看到以下URL：

https://clients2.google.com/service/update2/crx