Best Practise: Google Chrome per Gruppenrichtlinie steuern

Veröffentlicht am 1. September 2013 in Admin-Alltag | 7 Kommentare

Google Chrome for Enterprise

Neben dem Internet Explorer ist Google Chrome der einzige Browser, welcher von Haus aus die Unterstützung von Gruppenrichtlinien mitbringt. Google hat seinen Browser entsprechend für den Unternehmenseinsatz optimiert und bietet Admins viele Möglichkeiten, bei Usern bestimmte Einstellungen zu erzwingen oder zu empfehlen.

Im Folgenden möchte ich Euch empfehlenswerte und für mich wichtigsten Einstellungen vorstellen, um den Chrome-Browser gemäß Eurer IT-Anforderungen zu steuern.

Vorbereitungen

Zunächst müsst ihr natürlich mit dem Deployment Tool Eurer Wahl (z.B. Microsoft System Center ConfigMgr, MDT o.Ä.), per GPO oder halt auch manuell Google Chrome for Business (als MSI) auf den Rechnern Eurer Endanwender verteilt haben.

Des Weiteren werden die notwendigen Policy-Vorlagen benötigt, die Google sowohl im ADM- als auch im ADMX-Format zum Download bereitstellt. Da diese laufend mit Veröffentlichung neuer Chrome-Versionen aktualisiert werden, solltet ihr ab und an die Policies ebenfalls aktualisieren.

Einführung

Bindet die Vorlagen wie sonst auch entweder in eine neuerstellte oder bereits vorhandene Gruppenrichtlinie ein.

Sowohl im Maschinen- als auch Benutzerkontext taucht nur eine Struktur “Google” mit Unterverzeichnissen auf (Im Beispiel wird die klassische administrative Vorlage verwendet).

Google gliedert seine Einstellungen in zwei Abschnitte

  1. Google Chrome
    Diese Einstellungen werden erzwungen und können vom Endanwender nicht verändert werden. Dies könnten z.B. die Proxy-Einstellungen sein
  2. Google Chrome – Standardeinstellungen
    Die “Standardeinstellungen” können vom Admin vorbelegt werden, lassen sich vom Anwender aber verändern. Dies könnte z.B. eine definierte Startseite sein.
Struktur der Google Chrome Policies

Der Endanwender erkennt den Unterschied an zwei Symbolen, die später in den Einstellungen des Chrome Browsers auftauchen werden: Ein Stern markiert, dass die Einstellung vom Admin empfohlen wird, welcher der Anwender folgen oder selbst eine gewünschte Einstellung vornehmen kann.

Google Chrome Gruppenrichtlinien: Standardeinstellungen

Einstellungen, die erzwungen werden sollen, also nicht vom Anwender verändert werden dürfen, werden ebenfalls markiert. Die jeweilige Einstellung ist zudem ausgegraut.

Google Chrome Gruppenrichtlinien: Erzwungene Einstellungen

Optional könnt ihr noch die “Google Update”-ADM herunterladen, mit welcher sich die Aktualisierungsintervalle der einzelnen Google Produkte steuern könnt. Setzt ihr z.B. nur Google Chrome und sonst kein anderes Produkt wie Google Earth etc. ein, deaktiviert alle Update-Berechtigungen. Bei Google Chrome deaktiviert ihr nur das automatische Updateintervall, ansonsten kann Google Chrome nicht mehr installiert werden!

Empfohlene Einstellungen

Da ich die Steuerung von Google Chrome per GPO nun bereits einige Zeit schon anwende, kann ich Euch einige Einstellungen empfehlen, deren Aktivierung ich für sinnvoll erachte.

Erzwungene Einstellungen (Abschnitt “Google Chrome”)

Apps weiter im Hintergrund ausführen, wenn Google Chrome geschlossen ist

Status: Deaktiviert

Google Cloud Print-Proxy aktivieren

Status: Deaktiviert

Liste der aktivierten Plug-ins angeben + Liste der deaktivierten Plug-ins

Status: Aktiviert

Unter “Liste der aktivierten Plug-ins angeben“ definierte ihr die von Euch erlaubten Plugins. Eure kann dabei natürlich je nach verschiedenen Plugins abweichen. Ich habe z.B. Adobe Flash Player, Adobe Reader, Microsoft Office, Java™ und Silverlight aktiviert.

Im Unternehmensumfeld (Einsatz von Windows, Office, Exchange + Lync und Citrix angenommen) könnte die Liste wie folgt aussehen, die ihr einpflegen müsst.

Google Chrome Gruppenrichtlinien: Liste der aktivierten Plugins

Unter “Liste der deaktivierten Plugins” tragt ihr ein “*” ein, damit werden alle anderen Plugins deaktiviert.

Der Anwender kann unter chrome://plugins die von Euch nicht erlaubten bzw. unbekannten Plugin später nicht mehr aktivierenGoogle Chrome Gruppenrichtlinien: Anzeige im Browser der deaktivierten Plugins.

Senden von Dokumenten an Google Cloud Print aktivieren

Status: Deaktiviert

Synchronisierung der Daten mit Google deaktivieren

Status: Aktiviert

Erweiterungen > Schwarze Liste für Installation von Erweiterungen konfigurieren

Hier gebt ihr wieder ein “*”, wenn die Installation sämtlicher Erweiterungen verbieten wollt. Andernfalls sind über die “Weiße Liste wieder Ausnahmen zu definieren”. In meinem Fall gibt es bis dato keine erlaubten Erweiterungen

Google Chrome Gruppenrichtlinien: Schwarze Liste der Erweiterungen
Inhaltseinstellungen > Standardeinstellung für “geolocation”

Wert: Verfolgung des physischen Standorts der Nutzer für keine Website zulassen

Proxyserver > Auswählen, wie Proxyserver-Einstellungen angegeben werden

Wert: z.B. PAC-Proxy-Skript verwenden

Proxyserver > URL einer PAC-Proxy-Datei

Wert: http://proxyserver/proxy.pac

Standardeinstellungen (Abschnitt “Google Chrome – Standardeinstellungen)

Lesezeichenleiste aktivieren

Status: Aktiviert

Startseiten-Schaltfläche auf Symbolleiste anzeigen

Status: Aktiviert

Startseiten-URL konfigurieren

Status: Aktiviert

Wert: http://www.EUER-UNTERNEHMEN.de

Google Chrome Gruppenrichtlinien: Startseite festlegen
Aktion beim Start

Wert: URL-Liste öffnen

Beim Start zu öffnende URLs

Wert: http://www.EUER-UNTERNEHMEN.de

Google Update

Preferences > Auto-update check period override

Wert: Disable all auto-update checks (not recommended)

Fazit

Insgesamt bietet Google für den Chrome-Browser Administratoren eine sehr gute Möglichkeit, die Einstellungen nach IT-Vorstellungen zu steuern. Neben dem Internet Explorer von Microsoft ist Google Chrome zudem der einzige Browser, der Gruppenrichtlinien nativ unterstützt. Andere Browser wie Firefox können nur über Modifikationen (z.B. Frontmotion Firefox) oder per Extension dazu gebracht werden, GPOs zu verarbeiten, was ich Euch bereits in einem früheren Artikel beschrieben habe. Dies erweist sich zudem in den neuesten Version aber auch als recht umständlich.

Auch wenn ihr dem Browser von Google misstraut und Chrome auf Euren Firmenrechner nicht installiert wird, solltet ihr dennoch überlegen, die Policies von Google einzubinden. Denn sobald bei Euch Anwender lokale Adminrechte besitzen, und seien es nur andere IT-Kollegen, so ist die Wahrscheinlichkeit hoch, dass sich neben Internet Explorer und ggf. Firefox auch der Chrome-Browser auf ihren Rechnern befindet. Somit könnt ihr zumindest den Wildwuchs hinsichtlich Plugins und Erweiterungen eingrenzen.

Verwendet ihr bereits die Gruppenrichtlinien für Google Chrome, könnt ihr mir weitere Einstellungen empfehlen? Habt ihr Fragen oder Anregungen? Ich freue mich über Eure Kommentare und hoffe, dass Euch der Artikel eine Einstiegshilfe ist, wenn Ihr Chrome bei Euch im Unternehmen einsetzen und sinnvoll steuern wollt.

Windows 8.1 RTM kursiert als Download im Web

Veröffentlicht am 30. August 2013 in Microsoft | Keine Kommentare

Lange hat es nicht gedauert. Kaum gab Microsoft die RTM-Fertigstellung von Windows 8.1 bekannt, schon tauchte der erste Leak im Web auf. Allen Anschein nach chinesischen Ursprungs, ebenso folgte einer russischen Ursprungs. Letztere Quelle will auch die RTM-Version von Windows Server 2012 R2 verfügbar machen.

So gut wie immer kursieren schon vor offizieller Veröffentlichung Microsofts neue Betriebssysteme im Web. Von offizieller Seite gibt es dieses Mal nur den Unterschied, dass Microsoft nicht einmal via MSDN- oder TechNet z.B. Entwicklern die RTM-Version vorab bereitstellt. Damit wird es etappenweise für diese natürlich schwer, ihre Software ausgiebig in der finalen Version von Microsofts neuen Betriebssystem zu testen. Auch sie müssen bis zum offiziellen Launch am 18. Oktober 2013 warten.

Opera Browser wird 18

Veröffentlicht am 30. August 2013 in Opera | Keine Kommentare

Nun wird er erwachsen: Der Opera Browser feiert seinen 18. Geburtstag. Auch wenn einige, jahrelang treue User von den aktuellen Versionen 15 bzw. 16 eher enttäuscht sind, hoffe ich, dass der norwegische Browser sich traut, etwas mehr zu seinen Wurzeln zurück zu kehren.

In diesem Sinne, alles Gute und auf die nächsten 18!

Opera #18YearsofOpera