Inhaltsverzeichnis
Neben dem Internet Explorer ist Google Chrome der einzige Browser, welcher von Haus aus die Unterstützung von Gruppenrichtlinien mitbringt. Google hat seinen Browser entsprechend für den Unternehmenseinsatz optimiert und bietet Admins viele Möglichkeiten, bei Usern bestimmte Einstellungen zu erzwingen oder zu empfehlen.
Im Folgenden möchte ich Euch empfehlenswerte und für mich wichtigsten Einstellungen vorstellen, um den Chrome-Browser gemäß Eurer IT-Anforderungen zu steuern.
Inhalt
Vorbereitungen
Zunächst müsst ihr natürlich mit dem Deployment Tool Eurer Wahl (z.B. Microsoft System Center ConfigMgr, MDT o.Ä.), per GPO oder halt auch manuell Google Chrome for Business (als MSI) auf den Rechnern Eurer Endanwender verteilt haben.
Des Weiteren werden die notwendigen Policy-Vorlagen benötigt, die Google sowohl im ADM- als auch im ADMX-Format zum Download bereitstellt. Da diese laufend mit Veröffentlichung neuer Chrome-Versionen aktualisiert werden, solltet ihr ab und an die Policies ebenfalls aktualisieren.
Einführung
Bindet die Vorlagen wie sonst auch entweder in eine neuerstellte oder bereits vorhandene Gruppenrichtlinie ein.
Sowohl im Maschinen- als auch Benutzerkontext taucht nur eine Struktur “Google” mit Unterverzeichnissen auf (Im Beispiel wird die klassische administrative Vorlage verwendet).
Google gliedert seine Einstellungen in zwei Abschnitte
- Google Chrome
Diese Einstellungen werden erzwungen und können vom Endanwender nicht verändert werden. Dies könnten z.B. die Proxy-Einstellungen sein - Google Chrome – Standardeinstellungen
Die “Standardeinstellungen” können vom Admin vorbelegt werden, lassen sich vom Anwender aber verändern. Dies könnte z.B. eine definierte Startseite sein.
Der Endanwender erkennt den Unterschied an zwei Symbolen, die später in den Einstellungen des Chrome Browsers auftauchen werden: Ein Stern markiert, dass die Einstellung vom Admin empfohlen wird, welcher der Anwender folgen oder selbst eine gewünschte Einstellung vornehmen kann.
Einstellungen, die erzwungen werden sollen, also nicht vom Anwender verändert werden dürfen, werden ebenfalls markiert. Die jeweilige Einstellung ist zudem ausgegraut.
Optional könnt ihr noch die “Google Update”-ADM herunterladen, mit welcher sich die Aktualisierungsintervalle der einzelnen Google Produkte steuern könnt. Setzt ihr z.B. nur Google Chrome und sonst kein anderes Produkt wie Google Earth etc. ein, deaktiviert alle Update-Berechtigungen. Bei Google Chrome deaktiviert ihr nur das automatische Updateintervall, ansonsten kann Google Chrome nicht mehr installiert werden!
Empfohlene Einstellungen
Da ich die Steuerung von Google Chrome per GPO nun bereits einige Zeit schon anwende, kann ich Euch einige Einstellungen empfehlen, deren Aktivierung ich für sinnvoll erachte.
Erzwungene Einstellungen (Abschnitt “Google Chrome”)
Apps weiter im Hintergrund ausführen, wenn Google Chrome geschlossen ist
Status: Deaktiviert
Google Cloud Print-Proxy aktivieren
Status: Deaktiviert
Liste der aktivierten Plug-ins angeben + Liste der deaktivierten Plug-ins
Status: Aktiviert
Unter “Liste der aktivierten Plug-ins angeben“ definierte ihr die von Euch erlaubten Plugins. Eure kann dabei natürlich je nach verschiedenen Plugins abweichen. Ich habe z.B. Adobe Flash Player, Adobe Reader, Microsoft Office, Java™ und Silverlight aktiviert.
Im Unternehmensumfeld (Einsatz von Windows, Office, Exchange + Lync und Citrix angenommen) könnte die Liste wie folgt aussehen, die ihr einpflegen müsst.
Unter “Liste der deaktivierten Plugins” tragt ihr ein “*” ein, damit werden alle anderen Plugins deaktiviert.
Der Anwender kann unter chrome://plugins die von Euch nicht erlaubten bzw. unbekannten Plugin später nicht mehr aktivieren.
Senden von Dokumenten an Google Cloud Print aktivieren
Status: Deaktiviert
Synchronisierung der Daten mit Google deaktivieren
Status: Aktiviert
Erweiterungen > Schwarze Liste für Installation von Erweiterungen konfigurieren
Hier gebt ihr wieder ein “*”, wenn die Installation sämtlicher Erweiterungen verbieten wollt. Andernfalls sind über die “Weiße Liste wieder Ausnahmen zu definieren”. In meinem Fall gibt es bis dato keine erlaubten Erweiterungen
Inhaltseinstellungen > Standardeinstellung für „geolocation“
Wert: Verfolgung des physischen Standorts der Nutzer für keine Website zulassen
Proxyserver > Auswählen, wie Proxyserver-Einstellungen angegeben werden
Wert: z.B. PAC-Proxy-Skript verwenden
Proxyserver > URL einer PAC-Proxy-Datei
Wert: http://proxyserver/proxy.pac
Standardeinstellungen (Abschnitt “Google Chrome – Standardeinstellungen)
Lesezeichenleiste aktivieren
Status: Aktiviert
Startseiten-Schaltfläche auf Symbolleiste anzeigen
Status: Aktiviert
Startseiten-URL konfigurieren
Status: Aktiviert
Wert: http://www.EUER-UNTERNEHMEN.de
Aktion beim Start
Wert: URL-Liste öffnen
Beim Start zu öffnende URLs
Wert: http://www.EUER-UNTERNEHMEN.de
Google Update
Preferences > Auto-update check period override
Wert: Disable all auto-update checks (not recommended)
Fazit
Insgesamt bietet Google für den Chrome-Browser Administratoren eine sehr gute Möglichkeit, die Einstellungen nach IT-Vorstellungen zu steuern. Neben dem Internet Explorer von Microsoft ist Google Chrome zudem der einzige Browser, der Gruppenrichtlinien nativ unterstützt. Andere Browser wie Firefox können nur über Modifikationen (z.B. Frontmotion Firefox) oder per Extension dazu gebracht werden, GPOs zu verarbeiten, was ich Euch bereits in einem früheren Artikel beschrieben habe. Dies erweist sich zudem in den neuesten Version aber auch als recht umständlich.
Auch wenn ihr dem Browser von Google misstraut und Chrome auf Euren Firmenrechner nicht installiert wird, solltet ihr dennoch überlegen, die Policies von Google einzubinden. Denn sobald bei Euch Anwender lokale Adminrechte besitzen, und seien es nur andere IT-Kollegen, so ist die Wahrscheinlichkeit hoch, dass sich neben Internet Explorer und ggf. Firefox auch der Chrome-Browser auf ihren Rechnern befindet. Somit könnt ihr zumindest den Wildwuchs hinsichtlich Plugins und Erweiterungen eingrenzen.
Verwendet ihr bereits die Gruppenrichtlinien für Google Chrome, könnt ihr mir weitere Einstellungen empfehlen? Habt ihr Fragen oder Anregungen? Ich freue mich über Eure Kommentare und hoffe, dass Euch der Artikel eine Einstiegshilfe ist, wenn Ihr Chrome bei Euch im Unternehmen einsetzen und sinnvoll steuern wollt.
[…] Best Practise: Google Chrome per Gruppenrichtlinie steuern […]
Hallo,
Seit ich per GPO Chrome als Standardbrowser eingerichtet habe, werden alle Word, Excel und PDF Dateien die aus einem Link aus einem PDF geöffnet werden von Chrome als Download betrachtet. Sie sollten aber direkt geöffnet werden. Ich natürlich manuell auswählen diesen Dateityp immer gleich Öffnen wählen, nur wie soll ich das 500 Usern erklären. In den GPOs konnte ich bisher keine Option finden. Hast du vielleicht eine Idee?
besten Dank schon mal Friso
Hi Friso,
verstehe ich das soweit richtig:
User öffnet PDF-Datei mit dem Adobe Reader. In der PDF-Datei ist wiederum ein Hyperlink, der z.B. auf ein Word-Dokument zeigt
User klickt diesen Link an, und anstatt, dass sich die Word-Datei öffnet, springt Chrome hoch und will die Datei herunterladen?
Hast Du dir schonmal die „Browser“-Konfiguration im Adobe Reader angeschaut? Kollidiert da vlt. etwas mit dem internen Chrome-Reader (evtl. mal deaktivieren).
Hi,
erst Mal super Anleitung hat mir sehr geholfen.
Nur habe ich ein Problem: Wenn der Clientuser Chrome das erste Mal startet öffnen sich 3 Tabs:
– Die Sign in Seite
– Erste Schritte in Chrome
– Startseite
Wie bekomme ich die beiden Seiten unterdrückt? Die Sign in Seite kommt immer wieder und das nervt ziemlich.
Danke!
Hi,
ja, da hast Du leider recht.Habe hierfür (zumindest per GPO) noch keine Lösung gefunden. Evtl. findet man irgendwo im Benutzerprofil etwas, bin da aber noch nicht tiefer auf die Suche gegangen….
Hast Du schon die Anwendungsdaten, Registry etc. abgegrast? Evtl. man den Process Monitor von Sysinternals anwerfen und schauen, wo sich was ändert, nachdem man den „FirstStart“ durchexerziert hat.
Hi,
ich habe gestern noch das hier gefunden: https://support.google.com/chrome/a/answer/187948?hl=de
„Die meisten dieser Einstellungen sind selbsterklärend. Die interessantesten Einstellungen sind:
first_run_tabs: Dies sind die Tabs und URLs, die beim ersten Start (und ausschließlich beim ersten Start) des Browsers angezeigt werden.
skip_first_run_ui: Diese Einstellung sorgt dafür, dass der Browser beim ersten Ausführen kein Dialogfeld anzeigt.“
Damit wird man aber scheinbar die Sign in Seite nicht los, darüber habe ich das gefunden:
„1. open chrome and type „chrome://version“ in the address bar(without the quotes)
2. look for a field named „Profile path“ navigate to that path from your explorer.
3. now close chrome.
4. look for a file named „Preferences“ and open it using notepad.
5. now, search for „sync_promo“ and under it add the following text
„user_skipped“: true
with the quotes
6. save it.
Now chrome won’t ask you to sign in.
Hope this helps.“
Problem hier, das Profil muss schon erstellt sein, d.h. es geht nicht vor dem ersten Start.
Mhm echt schade, so muss ich halt nach der Verteilung einmal zu jedem Rechner hüpfen bzw. TeamViewern…
Grüße
Ja, schade. Trotzdem danke für den Tipp!
Hallo Tobias,
das ist eine schoen und fuer mich hilfreiche Anleitung!
Indessen…
ich habe Schwierigkeiten, diesen Punkt zu finden:
Google Update
Preferences > Auto-update check period override
Beiite beschreibe genauer, an welcher Stelle ich die Einstellung finde.
Oder muss ich in der Registrierung etwas ändern?
Viele Grüße
Jona
Hallo Jonas,
„Google Update“ lässt sich über eine separate ADM-Datei steuern. Diese findest Du hier:
https://support.google.com/installer/answer/146164?hl=de
Hallo und danke für die Anleitung!
Kleine Ergänzung vielleicht zu den Erweiterungen: In „Weiße Liste für Installationen von Erweiterungen konfigurieren“ müssen die IDs (nicht die Namen) der erlaubten Erweiterungen eingetragen werden.
Bei uns wurden z.B. diese eingetragen:
„gighmmpiobklfepjocnamgkkbiglidom“ für Adblock (ohne „-Zeichen)
„cfhdojbkjhnklbpkdaibdccddilifddb“ für Adblock Plus (ohne „-Zeichen)
Viele Grüße, Andi
Danke für den Hinweis.
Hallo!
Wir sind vor kurzem auf Google Chrome umgestiegen.
Seitdem Umstieg taucht diese URL http://play.google.com:443 im LOG-File unseres Proxys auf.
Wird die URL von Chrome angesprochen?
Wenn ja, wie kann der Zugriff auf diese URL deaktiviert werden?
Hallo Werner,
evtl. von den Chrome Erweiterungen? Ich meine, dass der Zugriff auf die „Erweiterungen“ ja auch gesperrt werden kann.
Hallo,
ich kann den Punkt: Liste der aktivierten Plug-ins angeben aktuell nicht finden.
hab ich etwas übersehen?
Hi James,
die Punkte findest Du unter Google > Google Chrome > Erweiterungen.
Heißen in der letzten Version „Weiße Liste für Installation von Erweiterungen konfigurieren“ bzw. “ Schwarze Liste für Installation von Erweiterungen konfigurieren“
Hallo Tobias,
vielen Dank für Deine Anleitung, sie hat mir sehr geholfen!
Ein Problem konnte ich aber bisher nicht per GPO lösen. Wie können Office-Dateien direkt geöffnet werden ohne das der User „diesen Dateityp immer direkt öffnen“ auswählen muss? Im Browser direkt wird dies in den erweiterten Einstellungen unter „Downloads / Bestimmte Dateitypen nach dem Herunterladen automatisch öffnen“ gespeichert.
In der ADM habe ich leider dazu nichts gefunden.
Herzlichen Dank vorab
Veronika
Hallo Veronika,
vielen Dank für Dein Feedback.
Bzgl. Deiner Frage: Den Punkt habe ich bis dato auch vermisst. Ich habe nur ein PowerShell-Skript als Workaround gefunden (aber selbst noch nicht getestet):
https://community.spiceworks.com/scripts/show/3975-set-chrome-to-auto-open-files-by-extension
Hallo Tobias
Bin gerade über deinen Beitrag gestolpert. Auch wenn er schon älter ist, hat er doch einige gute Ansätze für meine GPO Settings.
Nun habe ich jedoch ein Problem. Allenfalls kannst Du mit hier mit deinem Wissen weiterhelfen.
Ich möchte beim schliessen des Chrome Browsers nur „Cookies und andere Websitedaten“ löschen. Per GPO kann ich dies ja nicht mehr umsetzen seit Version 29 glaube ich. Kennst du allenfalls eine möglichkeit wie ich diese Daten beim schliessen los werde? Allenfalls Registry?
Hallo Stefan,
Vielen Dank für Dein Lob 🙂
Mir ist zu Deinem Fall aktuell keine offizielle Möglichkeit bekannt.
Workaround 1: Über die Aufgabenverwaltung einen Trigger einstellen, der z. B. beim Abmelden das Verzeichnis %LOCALAPPDATA%\Google\Chrome\User Data\Default\Cache\ leert (Batch, Powershell Skript)
Workaround 2: Mittels Process Monitor von Sysinternals mitsniffen, was Chrome selbst macht, wenn die Einstellung gesetzt wird.
Hallo, gute Anleitung. Ich verwalte den Chrome bereits über GPO, möchte jetzt eine Erweiterung „automatisch“ für alle installieren, dass soll über „…google chrome\erweiterungen\Configure the lis of force-installed apps and extensions“ in einer Benutzerrichtlinie funktionieren. Ich gebe auch den korrekten String an „ID;https://clients2.google.com/service/update2/crx„, in der Registry beim User sehe ich auch das der Wert eingetragen wird, aber im Chrome ist keine Erweiterung zu sehen. Der Entwicklermodus ist auch aus…weiß du was ich da falsch mache?
Hallo Christian,
stimmen ADM Files und Chrome Version überein?
Könnte ein Proxy den Download blocken?
Für den Firefox gibt es mittlerweile auch ADMX-Vorlagen (https://github.com/mozilla/policy-templates/releases).