Roberto Massa

Ermanno Goletto

Gestione del Browser Chrome tramite GPO

Visualizzazioni: 29.343

Premessa:

La standardizzazione del browser è ancora un miraggio e in molti casi gli applicativi Web Based hanno una stretta dipendenza dal browser tramite il quale vengono utilizzati.

Ci si incontra spesso con la necessità di dover gestire sullo stesso pc Internet Explorer, Chrome o Firefox e di doverli mantenere e manutenere simultaneamente.

In questo articolo analizzeremo uno scenario in cui è necessario effettuare il deploy massivo di Chrome e la sua successiva gestione tramite le Group Policy.

L’infrastruttura di base è un ambiente su un dominio Windows 2012R2

Installazione automatizzata con Group Policy

Il browser Google Chrome può essere scaricato in versione full dal link https://www.google.com/work/chrome/browser/; è necessario prelevare la versione disponibile come file .msi e tramite una GPO dedicata all’Installazione Software è possibile effettuare la distribuzione del pacchetto secondo un’assegnazione per utente o per macchina.

La distribuzione tramite GPO di un software ne permette anche la rimozione in modo automatizzato e la ridistribuzione per aggiornamento. La scelta dell’applicazione secondo un contesto di utente o di computer andrà valutata caso per caso a seconda della modalità di utilizzo del software distribuito.

Dopo aver aperto la Group Policy Management Console e creato una nuova Policy, all’interno del ramo Software è possibile specificare l’installazione di Chrome.

Figura 1: Creazione di una GPO basata sull’assegnazione client

Proseguendo, al passaggio successivo, viene richiesto di selezionare il pacchetto .msi da distribuire, che deve essere in una posizione accessibile dai pc/utenti a cui è assegnata la GPO di installazione, ad esempio una share i cui permessi consentano a utenti e/o pc di accedere al file. Nel caso in cui l’installazione avvenga per Computer il permesso di accesso alla share andrà esplicitato anche per gli account macchina.

Figura 2: informazione sulla raggiungibilità del percorso dove è salvato il file

Proseguendo nella configurazione con pochi ulteriori passaggi l’ambiente di deploy del software è pronto, a questo punto al riavvio dei vari pc si attiverà una task che prima del login utente informerà dell’installazione in corso.

Configurazione di Chrome tramite Group Policy

Considerazioni sul tipo di GPO da implementare.

Con le versioni di Sistema operativo successive a Vista per i desktop, e 2008 per i server, il sistema di gestione delle Group Policy adotta i nuovi file .admx in sostituzione del vecchio modello basato su .adm

Questa architettura prevede che le GPO siano articolate su due file: il primo, con estensione .admx, comprende le impostazioni vere e proprie dell'”oggetto” da gestire, in questo caso Chrome, il secondo file, con estensione .adml, contiene le informazioni sulla nazionalizzazione dell’oggetto stesso.

Dal punto di vista della gestione, all’interno della console GPMC (Group Policy Management Console) per le impostazioni di nuovi oggetti, come in questo caso Chrome, è necessario importare questi due file.

Le informazioni sulla gestione normalmente sono rese disponibili dal produttore, nel caso di Chrome è possibile scaricarle da questo link https://support.google.com/chrome/a/answer/187202?hl=it, una volta scaricato il file compresso è necessario estrarlo ed individuare i file ADM(x) ed ADM(l) e copiarli rispettivamente in c:\windows\PolicyDefinitions e c:\windows\PolicyDefinitions\it-IT.

Nel caso si utilizzi un percorso di installazione ed una lingua differenti sarà necessario individuare i percorsi coerenti con l’ambiente in cui si opera.

“I passi che ho descritto sopra devono essere eseguiti su una postazione dalla quale è possibile accedere alla Group Policy Management Console. Un Domain Controller ha installato di default questo ambiente di gestione delle GPO. Personalmente preferisco installare una VM con Windows 8.1 ed installare i tool di management remoti per l’ambiente da gestire, nel caso di dominio Windows 2012 sono scaricabili qui

Creazione Della Group Policy per Chrome

Dopo aver effettuato la copia dei file utili alla definizione della GPO è possibile aprire la console GPMC e procedere con la creazione di una policy dedicata a Chrome.

Figura 3: Creazione di una nuova Group Policy

Creata la Group Policy sono disponibili all’interno le estensioni messe a disposizione dai file .ADM(x) copiati in precedenza.

Figura 4: Modifica della Group Policy

Posizionandosi nel ramo Policies/Administrative Templates/Google è possibile accedere a tutte le impostazioni per la gestione del browser Chrome.

Le personalizzazioni del browser sono veramente molto granulari; tramite un elenco piuttosto ricco di opzioni è possibile “modellare” il comportamento nei minimi dettagli.

Per consultare l’elenco e la relativa descrizione di tutte le impostazioni è possibile aprire il file chrome_policy_list.html contenuto nel file .ZIP scaricato in precedenza.

Controllo dell’applicazione delle Policy relative a Chrome

Una volta attivate le configurazioni è importante, in caso di problemi di funzionamento, poter verificare in modo preciso quali GPO sono applicate e quali eventualmente non lo sono, e verificare come il browser recepisce queste impostazioni.

È possibile eseguire e verificare le impostazioni sia agendo sul sistema operativo che sul browser vero e proprio.

Sul sistema operativo client, tramite i due comandi:

  • rsop.msc
  • gpresult -h <Percorso>\<nome-file.html>

è possibile verificare le policy applicate al pc / utente connesso, le GPO relative a Chrome sono identificate tramite le chiavi di registro relative al Chrome stesso.

Figura 5: Impostazioni della Policy

  1. nome della GPO creata ed applicata a Chrome
  2. impostazione della Home Page
  3. impostazione del Proxy di Chrome, in questo caso il proxy di sistema

Un’altra modalità di controllo delle policy applicate consiste nel richiedere a Chrome le impostazioni, ossia individuare con precisione “cosa” viene passato dal sistema al browser.

Per visualizzarle è necessario aprire Chrome e dalla barra dell’indirizzo digitare: chrome://policy verrà così visualizzato il set di impostazioni correnti come riportato nella figura sotto:

Figura 6: Verifica delle impostazioni

In questa figura sono riportate esattamente le impostazioni viste in precedenza, così come sono recepite da browser.

Aprendo la pagina “Impostazioni” del browser vedremo che le impostazioni derivanti da GPO non sono modificabili, in questo caso l’impostazione del proxy è definita per essere quello di sistema.

Impostazione che deriva essa stessa da una precedente GPO creata per la configurazione di Internet Explorer.

Figura 7

Per tutte le impostazioni gestite centralmente è presente il simbolo

Considerazioni

Come si può vedere in figura  la sezione Google presenta due “rami” all’interno della configurazione, il primo prevede che le opzioni dichiarate non siano modificabili dall’utente, le impostazioni dichiarate nel secondo invece consentono una variazione temporanea.

Figura 8: Due rami di configurazione per il Browser

Tutte le impostazioni che verranno applicate all’interno del ramo 1 non saranno modificabili all’utente, mentre quelle eventualmente dichiarate nel ramo 2 potranno esser temporaneamente variate dall’utente, salvo poi essere riapplicate all’atto del login o del refresh delle Policy stesse

Le impostazioni viste sono riferite al contesto utente, le stesse configurazioni sono comunque disponibili anche in contesto computer la scelta di una opzione o dell’altra andrà fatta a seconda delle peculiarità dei singoli ambienti di utilizzo.

Esempio di configurazione di una GPO

Impostazione della pagina iniziale visualizzata all’avvio di Chrome

Chrome consente la definizione di due comportamenti differenti: l’apertura di una pagina all’avvio e l’apertura di una pagina alla pressione del pulsante Home.

Innanzitutto è necessario evidenziare le differenze tra le due pagine secondo quanto riportato dal manuale di Chrome:

  • La pagina di avvio è quella che si apre all’avvio di Chrome.
  • La pagina iniziale è quella che si apre facendo clic sul pulsante Home:

per poter impostare una pagina che verrà visualizzata all’avvio, dovremo impostare le Policy relative alla pagina di avvio nel modo seguente:

Figura 9

Dopo aver aperto la Group Policy

  1. Selezionare l’opzione “pagina di avvio
  2. Abilitare “pagine da aprire all’avvio
  3. Nell’elenco che compare premendo “mostra” digitare la/le pagine che si vuole vengano aperte all’avvio di Chrome, verranno aperte tante schede quante sono gli URL introdotti.
  4. Nella scelta “azione all’avvio” dovremo impostare l’apertura di un elenco di URL che in questo caso corrisponde all’elenco dichiarato in precedenza

Figura 10: Scelta “azione all’avvio

È possibile dichiarare più pagine in un elenco, ed ognuna di queste verrà aperta in una scheda differente.

Riferimenti:

https://technet.microsoft.com/en-us/library/cc753768(v=ws.11).aspx

https://www.chromium.org/administrators/policy-templates