ในบทความนี้ เราจะทำความคุ้นเคยกับเทมเพลตการดูแลนโยบายกลุ่มของ Chrome (admx) ที่ให้บริการโดย Google ซึ่งช่วยให้คุณจัดการการตั้งค่าเบราว์เซอร์จากส่วนกลางในโดเมน Active Directory เทมเพลต ADMX GPO ของ Chrome ช่วยลดความยุ่งยากในการปรับใช้และกำหนดค่าเบราว์เซอร์นี้ในเครือข่ายองค์กรอย่างมาก นอกจากนี้ เราจะแสดงงานทั่วไปหลายอย่างในการจัดการการตั้งค่า Google Chrome โดยใช้ GPO และการติดตั้งส่วนขยายเบราว์เซอร์
การติดตั้งเทมเพลต GPO ADMX สำหรับ Google Chrome
ในการจัดการการตั้งค่า Chrome ผ่านนโยบายกลุ่ม คุณต้องดาวน์โหลดและติดตั้งชุดเทมเพลต GPO การดูแลระบบพิเศษ (ไฟล์ admx):
- ดาวน์โหลดและแตกไฟล์ที่เก็บถาวรด้วยเทมเพลต ADM/ADMX ของ Group Policies สำหรับ Google Chrome ( https://dl.google.com/dl/edgedl/chrome/policy/policy_templates.zip — ขนาดไฟล์ประมาณ 13 MB);
- มี 3 ไดเร็กทอรีใน policy_templates:
- โครมิโอ (เทมเพลตการดูแลระบบสำหรับ Chromium);
- ทั่วไป (มีไฟล์ html พร้อมคำอธิบายแบบเต็มของการตั้งค่านโยบาย Chrome ทั้งหมด – ดู chrome_policy_list.html ไฟล์);
- หน้าต่าง – มีเทมเพลตนโยบาย Chrome ในสองรูปแบบ:ADM และ ADMX (admx เป็นรูปแบบนโยบายการดูแลระบบที่ใหม่กว่า รองรับตั้งแต่ Windows Vista / Windows Server 2008 และใหม่กว่า) มีไฟล์ chrome.reg อยู่ในไดเรกทอรีเดียวกัน ประกอบด้วยตัวอย่างการตั้งค่ารีจิสทรีของ Chrome ที่สามารถตั้งค่าผ่าน GPO คุณสามารถใช้ตัวอย่างจากไฟล์ reg นี้เพื่อนำเข้าการตั้งค่า Chrome โดยตรงโดยใช้การตั้งค่านโยบายกลุ่ม)
- คัดลอกไฟล์เทมเพลตการดูแลระบบของ Chrome ไปยัง
C:\Windows\PolicyDefinitionsไดเร็กทอรี (เทมเพลต GPO การดูแลระบบในเครื่องถูกเก็บไว้ในไดเร็กทอรีนี้) เพื่อให้การตั้งค่านโยบายกลุ่มของ Chrome เป็นภาษาท้องถิ่น คุณต้องคัดลอกไฟล์เทมเพลต ADML ที่เกี่ยวข้อง (โฟลเดอร์ en-US, de-De ฯลฯ...) หมายเหตุ . หากคุณต้องการใช้นโยบาย Chrome ในโดเมน Active Directory คุณต้องคัดลอกไฟล์ ADMX และ ADML ไปยังไดเรกทอรี GPO เฉพาะ (ไม่ใช่ตัวเลือกที่ดีที่สุด) หรือไปยังโฟลเดอร์ PolicyDefinitions ใน SYSVOL บนตัวควบคุมโดเมน - สมมติว่า เราจะใช้รูปแบบ ADMX ของเทมเพลต GPO และที่เก็บนโยบายส่วนกลางของโดเมน คัดลอก chrome.admx ไฟล์และ ไดเร็กทอรีการแปล ไปยัง \\woshub.loc\SYSVOL\woshub.loc\Policies\PolicyDefinitions\PolicyDefinitions;
- เปิดคอนโซลการจัดการนโยบายกลุ่มของโดเมน (gpmc.msc ) และแก้ไข GPO ที่มีอยู่ (หรือสร้างใหม่) ตรวจสอบให้แน่ใจว่า Google . ใหม่ โฟลเดอร์ที่มีสองส่วนย่อย (Google Chrome และ Google Chrome – การตั้งค่าเริ่มต้น (ผู้ใช้สามารถแทนที่ได้)) ปรากฏในส่วนผู้ใช้และคอมพิวเตอร์ของนโยบาย -> เทมเพลตการดูแลระบบ
เทมเพลตการดูแลระบบเหล่านี้มีการตั้งค่า Google Chrome มากกว่า 300 รายการที่คุณสามารถจัดการได้ คุณสามารถสำรวจได้ด้วยตัวเองและกำหนดการตั้งค่าเบราว์เซอร์ที่จำเป็นสำหรับสภาพแวดล้อมของคุณ
หลังจากที่คุณได้ติดตั้งเทมเพลตนโยบายกลุ่มการดูแลระบบสำหรับเบราว์เซอร์ Google Chrome แล้ว คุณสามารถดำเนินการกำหนดการตั้งค่า Chrome บนคอมพิวเตอร์ของผู้ใช้ได้
การกำหนดค่าการตั้งค่า Google Chrome ทั่วไปผ่าน GPO
โปรดทราบว่าการตั้งค่า Google Chrome ถูกจัดเก็บไว้ใน Group Policy สองส่วน (ทั้งในคอมพิวเตอร์และการกำหนดค่าผู้ใช้):
- Google Chrome – ผู้ใช้ (และแม้แต่ผู้ดูแลระบบในพื้นที่) ไม่สามารถเปลี่ยนการตั้งค่า Chrome บนคอมพิวเตอร์ที่ระบุในส่วน GPO นี้ ;
- Google Chrome – การตั้งค่าเริ่มต้น (ผู้ใช้สามารถแทนที่ได้) – การตั้งค่าเบราว์เซอร์แนะนำที่ผู้ใช้สามารถเปลี่ยนแปลงได้
มาพิจารณาการตั้งค่าพื้นฐานของ Chrome ที่มักจะกำหนดค่าจากส่วนกลางในสภาพแวดล้อมขององค์กรกัน:
- ตั้ง Goggle Chrome เป็นเบราว์เซอร์เริ่มต้น: เปิดใช้งาน;
- ตั้งค่าไดเรกทอรีแคชของดิสก์ – เส้นทางไปยังแคชดิสก์ของ Chrome (ตามกฎคือ “${local_app_data}\Google\Chrome\User Data”);
- กำหนดขนาดดิสก์แคช – ขนาดดิสก์แคช (เป็นไบต์);
- ตั้งค่าไดเรกทอรีข้อมูลผู้ใช้ Google Chrome Frame – ไดเรกทอรี Chrome ที่มีการตั้งค่าผู้ใช้ “${local_app_data}\Google\Chrome\User Data”;
- บุ๊กมาร์กที่มีการจัดการ ;
- ปิดใช้งานการอัปเดตอัตโนมัติของ Chrome:อนุญาตการติดตั้ง :ปิดการใช้งานอัปเดตการแทนที่นโยบาย :เปิดใช้งาน และในช่องนโยบาย ให้ระบุ อัปเดตปิดการใช้งาน
- เพิ่มบางไซต์ในรายการไซต์ที่เชื่อถือได้ – การตรวจสอบสิทธิ์ HTTP นโยบาย -> รายการที่อนุญาตของเซิร์ฟเวอร์การตรวจสอบสิทธิ์
- อนุญาตการตรวจสอบสิทธิ์ Kerberos ใน Chrome สำหรับไซต์เฉพาะ เพิ่มรายการที่อยู่เซิร์ฟเวอร์และไซต์ในการตั้งค่านโยบาย การตรวจสอบสิทธิ์ HTTP -> รายการที่อนุญาตของเซิร์ฟเวอร์การมอบหมาย Kerberos และ รายการอนุญาตเซิร์ฟเวอร์การตรวจสอบสิทธิ์;
- ส่งสถิติการใช้งานที่ไม่ระบุตัวตนและข้อมูลข้อขัดข้อง: เท็จ;
- ใช้โปรไฟล์ Chrome ชั่วคราว (ข้อมูลจะถูกลบออกหลังจากเซสชันของผู้ใช้สิ้นสุดลง) โปรไฟล์ชั่วคราว -> เปิดใช้งาน;
- บล็อกการเข้าถึงรายการ URL :เพิ่มรายชื่อเว็บไซต์ที่จะบล็อก;
- เปลี่ยนตำแหน่งของโฟลเดอร์ดาวน์โหลด:ตั้งค่าไดเรกทอรีดาวน์โหลด :c:\temp\downloads.
โปรดทราบว่า ${local_app_data} ไดเร็กทอรีที่สอดคล้องกับโฟลเดอร์ %username%\AppData\Local และ ${roaming_app_data} – ถึง \%ชื่อผู้ใช้%\AppData\Roaming .
รายการการตั้งค่านโยบาย Chrome ทั้งหมดพร้อมคำอธิบายโดยละเอียดมีอยู่ที่นี่ https://cloud.google.com/docs/chrome-enterprise/policies/การกำหนดค่าพร็อกซีเซิร์ฟเวอร์และโฮมเพจด้วย Chrome GPO
มากำหนดค่าพร็อกซีเซิร์ฟเวอร์ใน Chrome กันเถอะ เรามีความสนใจในส่วนนโยบายต่อไปนี้: Google Chrome -> พร็อกซีเซิร์ฟเวอร์
- ที่อยู่พร็อกซีเซิร์ฟเวอร์:ProxyServer – 192.168.123.123:3128
- รายการข้อยกเว้นสำหรับพร็อกซี:ProxyBypassList – https://www.woshub.local,192.168.*, *.corp.woshub.local
ตั้งค่าหน้าแรก:Google Chrome -> เริ่มต้น หน้าแรก และหน้าแท็บใหม่-> กำหนดค่า URL หน้าแรก: https://woshub.com/
ยังคงเชื่อมโยงนโยบายกับคอนเทนเนอร์ที่ต้องการ (OU) ของ Active Directory ใช้นโยบายกลุ่มกับไคลเอนต์โดยเรียกใช้คำสั่ง:
gpupdate /force |
gpupdate /force
เปิด Chrome บนไคลเอ็นต์และตรวจสอบให้แน่ใจว่าใช้การตั้งค่าที่ระบุใน GPO (ในตัวอย่างในภาพหน้าจอ ผู้ใช้ไม่สามารถเปลี่ยนค่าที่กำหนดโดยผู้ดูแลระบบ – “การตั้งค่านี้บังคับใช้โดยผู้ดูแลระบบของคุณ> ”).
คุณสามารถแก้ไขปัญหาการกำหนดนโยบายกลุ่มบนคอมพิวเตอร์เดสก์ท็อปโดยใช้ gpresult
และในหน้าการตั้งค่า “เบราว์เซอร์ของคุณได้รับการจัดการโดยองค์กรของคุณ” จะปรากฏขึ้น
หากต้องการแสดงการตั้งค่า Google Chrome ทั้งหมดที่กำหนดผ่าน GPO ให้ไปที่ Chrome://policy ที่อยู่ (ที่นี่จะแสดงพารามิเตอร์ที่ระบุผ่านรีจิสทรีหรือไฟล์เทมเพลต admx GPO)
การปรับใช้ส่วนขยายของ Google Chrome โดยใช้นโยบายกลุ่ม
คุณสามารถใช้เทมเพลต ADMX เพื่อติดตั้งส่วนขยาย Google Chrome บางอย่างสำหรับผู้ใช้โดเมนทั้งหมด ตัวอย่างเช่น คุณต้องการติดตั้งส่วนขยาย AdBlock บนคอมพิวเตอร์ทุกเครื่องโดยอัตโนมัติ เปิดหน้าการตั้งค่า chrome://extensions และติดตั้งส่วนขยายที่คุณต้องการบนคอมพิวเตอร์
ตอนนี้ คุณต้องรับ ID ส่วนขยายและ URL ที่อัปเดตส่วนขยาย พบรหัสส่วนขยายของ Google Chrome ได้ในคุณสมบัติของส่วนขยาย (ต้องเปิดใช้งานโหมดนักพัฒนาซอฟต์แวร์)
ด้วย ID คุณต้องค้นหาโฟลเดอร์ส่วนขยายในโปรไฟล์ผู้ใช้ C:\Users\%Username%\AppData\Local\ Google\Chrome\User Data\Default\Extensions\{id_here}.
ในโฟลเดอร์ส่วนขยาย ให้ค้นหาและเปิด manifest.json ไฟล์และคัดลอกค่าของ update_url . เป็นไปได้มากว่าคุณจะเห็น URL ต่อไปนี้:https://clients2.google.com/service/update2/crx .
ในคอนโซลตัวแก้ไข GPO ให้ไปที่ การกำหนดค่าคอมพิวเตอร์ -> นโยบาย -> เทมเพลตการดูแลระบบ -> Google -> Google Chrome -> ส่วนขยาย . เปิดใช้งานนโยบาย กำหนดค่ารายการส่วนขยายที่บังคับติดตั้ง .
คลิก แสดง และเพิ่มบรรทัดสำหรับแต่ละส่วนขยายที่คุณต้องการติดตั้ง ใช้รูปแบบต่อไปนี้:
{extension_id_here};https://clients2.google.com/service/update2/crx
หลังจากนำไปใช้กับคอมพิวเตอร์ของผู้ใช้แล้ว ส่วนขยาย Chrome ที่ระบุทั้งหมดจะได้รับการติดตั้งในโหมดเงียบโดยไม่ต้องโต้ตอบกับผู้ใช้
