使用组策略配置 Google Chrome 设置

您可以使用官方组策略模板（ADMX 文件）来集中管理 Active Directory 域中计算机上的 Google Chrome 浏览器设置。在本文中，我们将向您展示如何通过 GPO 在用户计算机上安装和配置 Google Chrome 浏览器设置。

通过 GPO 在域计算机上部署 Google Chrome

您可以使用组策略将程序部署到用户的计算机。

1. 下载 MSI 格式的 Google Chrome 安装程序 https://chromeenterprise.google/browser/download/#windows-tab

2. 解压 GoogleChromeEnterpriseBundle64.zip 存档并复制

   GoogleChromeStandaloneEnterprise64.msi

   文件复制到域控制器上的 SYSVOL 目录（

   \a-d.site\SysVol\a-d.site\scripts

   ）；

   

3. 打开组策略管理控制台（

   gpmc.msc

   ）；

4. 创建新的 GPO (gpoInstallChrome) 并将其链接到包含用户计算机的容器（组织单位）（在此域中创建 GPO，并将其链接到此处）；

   

5. 打开新的 GPO 并导航至计算机配置 -> 策略 -> 软件设置 -> 软件安装；

6. 选择新建 -> 包并指定SYSVOL上GoogleChromeStandaloneEnterprise64.msi文件的UNC路径；

7. 选择“高级”选项，然后按确定；

   

8. 转到部署 -> 高级选项卡并启用选项部署此包时忽略语言（这将允许忽略客户端计算机上的 Windows 语言）；

9. 重新启动用户的计算机以更新组策略设置。 Windows 启动时将开始安装 Google Chrome。检查它是否出现在 Windows 上已安装程序的列表中。

   

在当前版本的Windows 10和11中，您可以使用内置的WinGet包管理器在线安装应用程序。为了安装 Chrome，只需使用以下命令创建 GPO 登录脚本即可：

winget install --id=Google.Chrome -e

安装适用于 Google Chrome 的组策略管理模板文件 (ADMX)

为了集中管理用户计算机上的 Google Chrome 设置，您需要下载并安装管理 GPO 模板（ADMX 文件）。

1. 下载并提取适用于 Google Chrome 的 ADMX 组策略模板文件的存档（http://dl.google.com/dl/edgedl/chrome/policy/policy_templates.zip — 存档大小约为 100 MB）；

2. policy_templates中有3个目录：

   

   * chromeos - Chromium 的管理模板；
   * common - 包含带有所有 Chrome 策略设置说明的 HTML 文件 - 请参阅 chrome_policy_list.html 文件；

   

   * windows - 包含两种格式的 Chrome 策略模板：ADM 和 ADMX（admx 是一种较新的 GPO 模板格式，应用于当前版本的 Windows 11/10/8.1 和 Windows Server 2022/2019/2016/2012R2）；

   该文件夹中有一个 chrome.reg 文件。它包含可通过 GPO 设置的 Chrome 注册表设置示例。您可以使用此 REG 文件中的示例通过组策略首选项直接在注册表中设置 Chrome 设置。

3. 将 ADMX GPO 模板文件复制到 ..SYSVOL\PolicyDefinitions 文件夹（Active Directory 域控制器上的组策略中央存储）

   \a-d.site\SYSVOL\a-d.site\Policies\PolicyDefinitions

   。您需要复制所有带有本地化 ADML 文件的 *.admx 文件和目录（在我们的示例中，这些文件是 en-US 和 de-DE）；

   

   我们始终建议您在安装/更新 ADMX 策略文件之前备份 PolicyDefensions 目录。

4. 打开域组策略管理控制台（

   gpmc.msc

   ）并编辑任何现有的 GPO（或创建一个新的 GPO）。确保包含多个新子部分（Google Chrome、Google Chrome - 默认设置（用户可以覆盖）、Google 更新、旧版浏览器支持、Chrome 用户代理切换器）的新 Google 文件夹出现在策略 -> 管理模板的用户和计算机部分中。

   

Google Chrome 的 GPO 管理模板中提供了 400 多个不同的浏览器选项。

通过组策略自定义 Google Chrome 设置

请注意，Google Chrome 设置位于两个不同的组策略部分（在计算机配置和用户配置中）：

• Google Chrome - 用户（甚至本地管理员）无法更改此 GPO 部分中指定的计算机上的 Chrome 设置；

• Google Chrome - 默认设置（用户可以覆盖） - 用户可以更改的推荐浏览器设置。

让我们考虑一下通常在企业环境中集中配置的基本 Chrome 设置：

• 将 Google Chrome 设置为默认浏览器：已启用；

• 设置磁盘缓存目录 - Chrome 磁盘缓存的路径（通常是

  “${local_app_data}\Google\Chrome\User Data”

  ）；

• 设置磁盘缓存大小 - 磁盘缓存大小（以字节为单位）；

• 设置 Google Chrome 浏览器内嵌框架用户数据目录 - 包含用户设置的 Chrome 目录；

  “${local_app_data}\Google\Chrome\User Data”

  ;

• 托管书签;

• 禁用 Chrome 自动更新：Chrome -> Google 更新 -> 应用程序 -> Google Chrome：更新策略覆盖：更新已禁用；

  

• 将某些网站添加到可信站点列表 - 策略 HTTP 身份验证 -> 身份验证服务器白名单；

• 允许在 Chrome 中对特定网站进行 Kerberos 身份验证。在 HTTP 身份验证 -> Kerberos 委派服务器白名单和身份验证服务器白名单下的策略设置中添加服务器和站点地址列表；

  

• 发送匿名使用统计信息和崩溃信息： False;

• 阻止访问 URL 列表：添加要阻止的网站列表（此外，您可以使用 PowerShell 脚本阻止 Windows 中的网站）；

• 更改下载文件夹位置：设置下载目录：c:emp\downloads；

  

• 阻止 Chrome 上的网站通知（计算机配置 -> 管理模板 -> Google -> Google Chrome -> 内容设置 -> 默认通知设置：不允许任何网站显示桌面通知）；

• 阻止用户在浏览器中保存网站密码：Google Chrome -> 密码管理器 -> 启用将密码保存到密码管理器：已禁用；

  

• 您可以使用退出时清除浏览数据选项清除用户个人资料中的 Chrome 浏览数据文件夹；启用该策略，点击显示，然后指定应自动清理哪些 Chrome 目录。可用值：

  browsing_history
  download_history
  cookies_and_other_site_data
  cached_images_and_files
  autofill
  password_signin
  site_settings
  hosted_app_data

  

• 使用临时 Chrome 配置文件（用户会话结束后数据将被删除）。 短暂 配置文件 -> 已启用。

  当您想要减小用户配置文件的大小时，最后两个选项对于具有本地或漫游配置文件（采用用户配置文件磁盘或 FSLogix 格式）的远程桌面服务 (RDS) 场非常有用。

注意$ {local_app_data}目录对应的是文件夹

%username%\AppData\Local

， 和

${roaming_app_data}

- 到

\%username%\AppData\Roaming

。

您可以在此处找到 Chrome 策略设置的完整列表以及详细说明：https://cloud.google.com/docs/chrome-enterprise/policies/。

要设置 Chrome 的代理服务器设置（可能与 Windows 中的代理设置不同），请转至 Google Chrome -> 代理设置 - 启用该策略并按以下格式指定代理服务器地址和端口 -

192.168.1.123:8080

设置主页：Google Chrome -> 启动、主页和新标签页-> 配置主页 URL：

https://a-d.site/

仍然需要将 GPO 与 Chrome 浏览器设置链接到 Active Directory 中所需的容器 (OU)。

更新客户端上的 GPO 设置，运行 Chrome 并检查新设置是否已应用到浏览器。

如果具有 Chrome 设置的组策略尚未应用于用户或计算机，请使用“为什么组策略未应用于计算机？”一文中描述的 GPO 故障排除提示。 ”和 gpresult 命令。

请注意，Chrome 设置页面现在显示“您的浏览器由您的组织管理”。

如果您阻止用户更改特定的 Chrome 设置，浏览器设置窗口将显示消息“此设置由您的管理员强制实施”。

您可以显示使用 GPO 配置的所有 Google Chrome 设置。在浏览器中打开 Chrome://policy 地址。此处显示您通过注册表或 ADMX GPO 模板设置的 Chrome 设置。

使用组策略安装 Google Chrome 扩展

您可以使用 GPO 为所有域用户安装特定的 Google Chrome 扩展程序。例如，您希望在所有计算机上自动安装 AdBlock 扩展。打开 chrome://extensions 设置页面并在参考计算机上安装您需要的扩展程序。

现在您需要获取扩展 ID 和更新扩展的 URL。 Google Chrome 扩展 ID 可以在扩展属性中找到（必须启用开发者模式）。

Chrome 将扩展程序安装到用户个人资料中

C:\Users\%Username%\AppData\Local\Google\Chrome\User Data\Default\Extensions\{extension_id_here}

。

在扩展文件夹中找到并打开 manifest.json 文件，然后复制 update_url 的值。您很可能会看到以下 URL：

https://clients2.google.com/service/update2/crx

。

现在，在 GPO 编辑器控制台中，转到计算机配置 -> 策略 -> 管理模板 -> Google -> Google Chrome -> 扩展。启用策略配置强制安装的扩展程序列表。

单击显示按钮并为您要安装的每个扩展添加一行。使用以下格式：

{extension_id_here};https://clients2.google.com/service/update2/crx

更新用户计算机上的组策略设置：

gpupdate /force

关闭并重新启动浏览器。现在，指定的扩展程序将以静默模式自动安装在 Chrome 中，无需用户交互。

您可以使用 GPO 选项配置扩展程序安装阻止列表：*来阻止用户安装 Chrome 扩展程序，并允许用户仅安装批准的扩展程序（配置扩展程序安装允许列表）。