Best Practise: Google Chrome per Gruppenrichtlinie steuern


-Werbung-
Google Chrome for Enterprise

Neben dem Internet Explorer ist Google Chrome der einzige Browser, welcher von Haus aus die Unterstützung von Gruppenrichtlinien mitbringt. Google hat seinen Browser entsprechend für den Unternehmenseinsatz optimiert und bietet Admins viele Möglichkeiten, bei Usern bestimmte Einstellungen zu erzwingen oder zu empfehlen.

Im Folgenden möchte ich Euch empfehlenswerte und für mich wichtigsten Einstellungen vorstellen, um den Chrome-Browser gemäß Eurer IT-Anforderungen zu steuern.

Vorbereitungen

Zunächst müsst ihr natürlich mit dem Deployment Tool Eurer Wahl (z.B. Microsoft System Center ConfigMgr, MDT o.Ä.), per GPO oder halt auch manuell Google Chrome for Business (als MSI) auf den Rechnern Eurer Endanwender verteilt haben.

Des Weiteren werden die notwendigen Policy-Vorlagen benötigt, die Google sowohl im ADM- als auch im ADMX-Format zum Download bereitstellt. Da diese laufend mit Veröffentlichung neuer Chrome-Versionen aktualisiert werden, solltet ihr ab und an die Policies ebenfalls aktualisieren.

Einführung

Bindet die Vorlagen wie sonst auch entweder in eine neuerstellte oder bereits vorhandene Gruppenrichtlinie ein.

Sowohl im Maschinen- als auch Benutzerkontext taucht nur eine Struktur “Google” mit Unterverzeichnissen auf (Im Beispiel wird die klassische administrative Vorlage verwendet).

Google gliedert seine Einstellungen in zwei Abschnitte

  1. Google Chrome
    Diese Einstellungen werden erzwungen und können vom Endanwender nicht verändert werden. Dies könnten z.B. die Proxy-Einstellungen sein
  2. Google Chrome – Standardeinstellungen
    Die “Standardeinstellungen” können vom Admin vorbelegt werden, lassen sich vom Anwender aber verändern. Dies könnte z.B. eine definierte Startseite sein.
Struktur der Google Chrome Policies

Der Endanwender erkennt den Unterschied an zwei Symbolen, die später in den Einstellungen des Chrome Browsers auftauchen werden: Ein Stern markiert, dass die Einstellung vom Admin empfohlen wird, welcher der Anwender folgen oder selbst eine gewünschte Einstellung vornehmen kann.

Google Chrome Gruppenrichtlinien: Standardeinstellungen

Einstellungen, die erzwungen werden sollen, also nicht vom Anwender verändert werden dürfen, werden ebenfalls markiert. Die jeweilige Einstellung ist zudem ausgegraut.

Google Chrome Gruppenrichtlinien: Erzwungene Einstellungen

Optional könnt ihr noch die “Google Update”-ADM herunterladen, mit welcher sich die Aktualisierungsintervalle der einzelnen Google Produkte steuern könnt. Setzt ihr z.B. nur Google Chrome und sonst kein anderes Produkt wie Google Earth etc. ein, deaktiviert alle Update-Berechtigungen. Bei Google Chrome deaktiviert ihr nur das automatische Updateintervall, ansonsten kann Google Chrome nicht mehr installiert werden!

Empfohlene Einstellungen

Da ich die Steuerung von Google Chrome per GPO nun bereits einige Zeit schon anwende, kann ich Euch einige Einstellungen empfehlen, deren Aktivierung ich für sinnvoll erachte.

Erzwungene Einstellungen (Abschnitt “Google Chrome”)

Apps weiter im Hintergrund ausführen, wenn Google Chrome geschlossen ist

Status: Deaktiviert

Google Cloud Print-Proxy aktivieren

Status: Deaktiviert

Liste der aktivierten Plug-ins angeben + Liste der deaktivierten Plug-ins

Status: Aktiviert

Unter “Liste der aktivierten Plug-ins angeben“ definierte ihr die von Euch erlaubten Plugins. Eure kann dabei natürlich je nach verschiedenen Plugins abweichen. Ich habe z.B. Adobe Flash Player, Adobe Reader, Microsoft Office, Java™ und Silverlight aktiviert.

Im Unternehmensumfeld (Einsatz von Windows, Office, Exchange + Lync und Citrix angenommen) könnte die Liste wie folgt aussehen, die ihr einpflegen müsst.

Google Chrome Gruppenrichtlinien: Liste der aktivierten Plugins

Unter “Liste der deaktivierten Plugins” tragt ihr ein “*” ein, damit werden alle anderen Plugins deaktiviert.

Der Anwender kann unter chrome://plugins die von Euch nicht erlaubten bzw. unbekannten Plugin später nicht mehr aktivierenGoogle Chrome Gruppenrichtlinien: Anzeige im Browser der deaktivierten Plugins.

Senden von Dokumenten an Google Cloud Print aktivieren

Status: Deaktiviert

Synchronisierung der Daten mit Google deaktivieren

Status: Aktiviert

Erweiterungen > Schwarze Liste für Installation von Erweiterungen konfigurieren

Hier gebt ihr wieder ein “*”, wenn die Installation sämtlicher Erweiterungen verbieten wollt. Andernfalls sind über die “Weiße Liste wieder Ausnahmen zu definieren”. In meinem Fall gibt es bis dato keine erlaubten Erweiterungen

Google Chrome Gruppenrichtlinien: Schwarze Liste der Erweiterungen
Inhaltseinstellungen > Standardeinstellung für „geolocation“

Wert: Verfolgung des physischen Standorts der Nutzer für keine Website zulassen

Proxyserver > Auswählen, wie Proxyserver-Einstellungen angegeben werden

Wert: z.B. PAC-Proxy-Skript verwenden

Proxyserver > URL einer PAC-Proxy-Datei

Wert: http://proxyserver/proxy.pac

Standardeinstellungen (Abschnitt “Google Chrome – Standardeinstellungen)

Lesezeichenleiste aktivieren

Status: Aktiviert

Startseiten-Schaltfläche auf Symbolleiste anzeigen

Status: Aktiviert

Startseiten-URL konfigurieren

Status: Aktiviert

Wert: http://www.EUER-UNTERNEHMEN.de

Google Chrome Gruppenrichtlinien: Startseite festlegen
Aktion beim Start

Wert: URL-Liste öffnen

Beim Start zu öffnende URLs

Wert: http://www.EUER-UNTERNEHMEN.de

Google Update

Preferences > Auto-update check period override

Wert: Disable all auto-update checks (not recommended)

Fazit

Insgesamt bietet Google für den Chrome-Browser Administratoren eine sehr gute Möglichkeit, die Einstellungen nach IT-Vorstellungen zu steuern. Neben dem Internet Explorer von Microsoft ist Google Chrome zudem der einzige Browser, der Gruppenrichtlinien nativ unterstützt. Andere Browser wie Firefox können nur über Modifikationen (z.B. Frontmotion Firefox) oder per Extension dazu gebracht werden, GPOs zu verarbeiten, was ich Euch bereits in einem früheren Artikel beschrieben habe. Dies erweist sich zudem in den neuesten Version aber auch als recht umständlich.

Auch wenn ihr dem Browser von Google misstraut und Chrome auf Euren Firmenrechner nicht installiert wird, solltet ihr dennoch überlegen, die Policies von Google einzubinden. Denn sobald bei Euch Anwender lokale Adminrechte besitzen, und seien es nur andere IT-Kollegen, so ist die Wahrscheinlichkeit hoch, dass sich neben Internet Explorer und ggf. Firefox auch der Chrome-Browser auf ihren Rechnern befindet. Somit könnt ihr zumindest den Wildwuchs hinsichtlich Plugins und Erweiterungen eingrenzen.

Verwendet ihr bereits die Gruppenrichtlinien für Google Chrome, könnt ihr mir weitere Einstellungen empfehlen? Habt ihr Fragen oder Anregungen? Ich freue mich über Eure Kommentare und hoffe, dass Euch der Artikel eine Einstiegshilfe ist, wenn Ihr Chrome bei Euch im Unternehmen einsetzen und sinnvoll steuern wollt.

-Werbung-

13 comments

  1. Hallo,

    Seit ich per GPO Chrome als Standardbrowser eingerichtet habe, werden alle Word, Excel und PDF Dateien die aus einem Link aus einem PDF geöffnet werden von Chrome als Download betrachtet. Sie sollten aber direkt geöffnet werden. Ich natürlich manuell auswählen diesen Dateityp immer gleich Öffnen wählen, nur wie soll ich das 500 Usern erklären. In den GPOs konnte ich bisher keine Option finden. Hast du vielleicht eine Idee?

    besten Dank schon mal Friso

    1. Hi Friso,
      verstehe ich das soweit richtig:
      User öffnet PDF-Datei mit dem Adobe Reader. In der PDF-Datei ist wiederum ein Hyperlink, der z.B. auf ein Word-Dokument zeigt
      User klickt diesen Link an, und anstatt, dass sich die Word-Datei öffnet, springt Chrome hoch und will die Datei herunterladen?

      Hast Du dir schonmal die „Browser“-Konfiguration im Adobe Reader angeschaut? Kollidiert da vlt. etwas mit dem internen Chrome-Reader (evtl. mal deaktivieren).

  2. Hi,

    erst Mal super Anleitung hat mir sehr geholfen.
    Nur habe ich ein Problem: Wenn der Clientuser Chrome das erste Mal startet öffnen sich 3 Tabs:
    – Die Sign in Seite
    – Erste Schritte in Chrome
    – Startseite

    Wie bekomme ich die beiden Seiten unterdrückt? Die Sign in Seite kommt immer wieder und das nervt ziemlich.

    Danke!

    1. Hi,
      ja, da hast Du leider recht.Habe hierfür (zumindest per GPO) noch keine Lösung gefunden. Evtl. findet man irgendwo im Benutzerprofil etwas, bin da aber noch nicht tiefer auf die Suche gegangen….

      Hast Du schon die Anwendungsdaten, Registry etc. abgegrast? Evtl. man den Process Monitor von Sysinternals anwerfen und schauen, wo sich was ändert, nachdem man den „FirstStart“ durchexerziert hat.

  3. Hi,

    ich habe gestern noch das hier gefunden: https://support.google.com/chrome/a/answer/187948?hl=de

    „Die meisten dieser Einstellungen sind selbsterklärend. Die interessantesten Einstellungen sind:

    first_run_tabs: Dies sind die Tabs und URLs, die beim ersten Start (und ausschließlich beim ersten Start) des Browsers angezeigt werden.
    skip_first_run_ui: Diese Einstellung sorgt dafür, dass der Browser beim ersten Ausführen kein Dialogfeld anzeigt.“

    Damit wird man aber scheinbar die Sign in Seite nicht los, darüber habe ich das gefunden:

    „1. open chrome and type „chrome://version“ in the address bar(without the quotes)
    2. look for a field named „Profile path“ navigate to that path from your explorer.
    3. now close chrome.
    4. look for a file named „Preferences“ and open it using notepad.
    5. now, search for „sync_promo“ and under it add the following text
    „user_skipped“: true
    with the quotes
    6. save it.
    Now chrome won’t ask you to sign in.
    Hope this helps.“

    Problem hier, das Profil muss schon erstellt sein, d.h. es geht nicht vor dem ersten Start.
    Mhm echt schade, so muss ich halt nach der Verteilung einmal zu jedem Rechner hüpfen bzw. TeamViewern…

    Grüße

  4. Hallo Tobias,

    das ist eine schoen und fuer mich hilfreiche Anleitung!
    Indessen…
    ich habe Schwierigkeiten, diesen Punkt zu finden:
    Google Update
    Preferences > Auto-update check period override

    Beiite beschreibe genauer, an welcher Stelle ich die Einstellung finde.
    Oder muss ich in der Registrierung etwas ändern?

    Viele Grüße

    Jona

  5. Hallo und danke für die Anleitung!

    Kleine Ergänzung vielleicht zu den Erweiterungen: In „Weiße Liste für Installationen von Erweiterungen konfigurieren“ müssen die IDs (nicht die Namen) der erlaubten Erweiterungen eingetragen werden.
    Bei uns wurden z.B. diese eingetragen:
    „gighmmpiobklfepjocnamgkkbiglidom“ für Adblock (ohne „-Zeichen)
    „cfhdojbkjhnklbpkdaibdccddilifddb“ für Adblock Plus (ohne „-Zeichen)

    Viele Grüße, Andi

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.