Групповые политики/Yandex: различия между версиями
(+Управление расширениями) |
|||
Строка 370: | Строка 370: | ||
*:[[Файл:ADMC-Yandex.png|ADMC. Контекстное меню объекта групповой политики]] | *:[[Файл:ADMC-Yandex.png|ADMC. Контекстное меню объекта групповой политики]] | ||
*или с указанием каталога групповой политики: | *или с указанием каталога групповой политики: | ||
< | <syntaxhighlight lang="bash"> | ||
$ gpui-main -p "smb://dc1.test.alt/SysVol/test.alt/Policies/{50A474C5-8097-4EBF-A503-0DAB29176FC6}" | |||
</syntaxhighlight> | |||
где | где dc1.test.alt – имя контроллера домена, а {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXXX} – GUID шаблона групповой политики для редактирования. | ||
Откроется окно редактирования групповых политик. | Откроется окно редактирования групповых политик. |
Версия от 16:13, 25 января 2024
Описание
Дистрибутивы Альт поддерживают управление «Яндекс.Браузером» через групповые политики посредством JSON-файла. Во время запуска «Яндекс.Браузер» считывает файл policies.json и применяет параметры групповых политик. Для «Яндекс.Браузера» файл policies.json расположен по адресу /etc/opt/yandex/browser/policies/managed/. Групповые политики на основе policies.json предоставляют кроссплатформенную совместимость, что позволяет управлять браузерами в любом дистрибутиве Альт с установленным окружением рабочего стола. Задача механизма Yandex в составе пакета gpupdate — корректно сформировать JSON-файл для браузера из шаблонов групповых политик.
Настройка политик для «Яндекс.Браузера» требует дополнительной установки ADMX-файлов Yandex (пакет admx-yandex-browser).
Результат применения параметров групповой политики для «Яндекс.Браузера» можно проверить, указав в адресной строке URL: "browser://policy":
Примеры политик
Ниже описаны только некоторые политики. Полный список политик и их описание можно найти на странице описания политик «Яндекс.Браузера» (https://yandex.ru/support/browser-corporate/policy/list.html) или в «Яндекс.Браузере», указав в адресной строке URL: browser://policy/ и установив отметку «Показывать правила, значения которых не заданы».
Политика | Имя политики | Окно настройки | Описание |
---|---|---|---|
Включить панель закладок | BookmarkBarEnabled |
Политика позволяет принудительно включить или принудительно отключить панель закладок в «Яндекс.Браузере». Если политика находится в состоянии «Включено», панель закладок отображается: Если политика находится в состоянии «Отключено», панель закладок не отображается. Если политика находится в состоянии «Не настроено», пользователь может самостоятельно решать, включить или отключить панель закладок. | |
Включает или отключает возможность изменения закладок | EditBookmarksEnabled |
Политика включает или отключает возможность изменения закладок. Если политика находится в состоянии «Включено» или «Не настроено», пользователи могут добавлять, изменять и удалять закладки: Если политика находится в состоянии «Отключено», пользователи не могут добавлять, изменять и удалять закладки. Закладки, созданные до отключения политики, останутся доступными. | |
Список типов файлов, которые будут автоматически открываться после скачивания | AutoOpenFileTypes |
Политика позволяет задать форматы файлов, которые будут автоматически открываться после скачивания. Если политика находится в состоянии «Включено», в ней можно перечислить форматы файлов, которые будут автоматически открываться после скачивания (например, txt, jpg). Если политика находится в состоянии «Отключено» или «Не настроено», после скачивания будут автоматически открываться файлы только тех форматов, которые выбрал пользователь в контекстном меню загруженного файла (например, «Открывать JPG автоматически»). | |
Запретить открытие файлов офисных форматов в браузере | CloudDocumentsDisabled |
Политика запрещает пользователям открывать файлы офисных форматов в браузере. Если политика находится в состоянии «Отключено» или «Не настроено», пользователь может открывать в браузере файлы офисных форматов. Если политика находится в состоянии «Включено», пользователю запрещено открывать в браузере файлы офисных форматов. | |
Настройка всплывающих окон по умолчанию | DefaultPopupsSetting |
Политика разрешает или запрещает всплывающие окна на всех сайтах. Если политика находится в состоянии «Отключено» или «Не настроено», всплывающие окна блокируются на всех сайтах. Пользователи могут разрешать или блокировать всплывающие окна в настройках браузера. Если политика находится в состоянии «Включено», администратор может определить режим применения политики:
Пользователи не могут разрешать или блокировать всплывающие окна в настройках браузера. | |
Разрешить полноэкранный режим | FullscreenAllowed |
Политика разрешает или запрещает активацию полноэкранного режима. В этом режиме все элементы интерфейса «Яндекс.Браузера» скрыты, и на экране отображается только содержимое сайта. Если политика находится в состоянии «Включено» или «Не настроено», пользователи могут активировать полноэкранный режим, нажав F11. Полноэкранный режим может быть активирован приложениями и расширениями, если у них есть на это разрешения. Если политика находится в состоянии «Отключено», полноэкранный режим отключен для всех пользователей, приложений и расширений. | |
Настройка URL домашней страницы | HomepageLocation |
Политика задает URL домашней страницы. Если в качестве домашней страницы задана страница быстрого доступа, политика не будет работать. Если политика находится в состоянии «Отключено» или «Не настроено», пользователи могут сами установить URL домашней страницы в настройках браузера. Если политика находится в состоянии «Включено», можно установить домашнюю страницу по умолчанию. URL должен иметь стандартный вид (например, https://altlinux.org). Домашняя страница откроется, если в последний раз браузер был закрыт без вкладок или сочетанием клавиш Alt + Home. Пользователи не могут менять домашнюю страницу в браузере. | |
Отключить контекстное меню для выделенного текста | InstaserpDisabled |
Политика позволяет отключить контекстное меню, всплывающее при выделении текста на странице. Если политика находится в состоянии «Включено», контекстное меню не показывается, пользователи не могут включить его в настройках (опция «При выделении текста показывать кнопки "Найти" и "Копировать"» неактивна). Если политика находится в состоянии «Отключено», контекстное меню показывается, пользователи не могут отключить его в настройках. Если политика находится в состоянии «Не настроено», контекстное меню показывается, пользователи могут отключить его в настройках. | |
Отображать боковую панель | SidePanelMode |
Политика позволяет настроить режим отображения боковой панели и запретить пользователям его менять. Если политика находится в состоянии «Отключено» или «Не настроено», пользователи могут самостоятельно настроить режим отображения боковой панели. Если политика находится в состоянии «Включено», администратор может выбрать режим отображения боковой панели: | |
Включить автозаполнение адресов | AutofillAddressEnabled |
Политика разрешает пользователям автозаполнение адресов. Если политика находится в состоянии «Включено» или «Не настроено», автозаполнение адресов включено. Если политика находится в состоянии «Отключено», автозаполнение адресов отключено, введенные адреса не сохраняются. | |
Настройки входа в браузере (Настроить авторизацию) | BrowserSignin |
Политика позволяет управлять авторизацией пользователей в «Яндекс.Браузере». Если политика находится в состоянии «Не настроено», пользователь самостоятельно решает, включать ли авторизацию в браузере. Если политика находится в состоянии «Отключено», авторизация в браузере недоступна. Если политика находится в состоянии «Включено», Авторизация в браузере доступна и регулируется параметрами:
| |
Доступность режима Инкогнито | IncognitoModeAvailability |
Политика определяет, могут ли пользователи включать режим «Инкогнито». Если политика находится в состоянии «Не настроено», пользователи могут открывать страницы в режиме Инкогнито. Если политика находится в состоянии «Включено», Администратор может определить режим применения политики:
Если политика находится в состоянии «Отключено», пользователи могут просматривать страницы только в обычном режиме: | |
Отключить использование мастер-пароля | MasterPasswordDisabled |
Политика позволяет отключить использование мастер-пароля. Если политика находится в состоянии «Включено» или «Не настроено», пользователь может использовать мастер-пароль. Если политика находится в состоянии «Отключено», мастер-пароль в браузере отключен. | |
Включить сохранение паролей | PasswordManagerEnabled |
Политика позволяет отключить использование мастер-пароля. Если политика находится в состоянии «Не настроено», сохранение паролей в браузере включено. Пользователи могут включать и отключать сохранение паролей. Если политика находится в состоянии «Включено», сохранение паролей включено. Пользователи не могут включать и отключать сохранение паролей. Если политика находится в состоянии «Отключено», сохранение новых паролей отключено. Пользователи могут использовать уже сохраненные пароли. Пользователи не могут включать и отключать сохранение паролей. | |
Отключить сохранение истории браузера | SavingBrowserHistoryDisabled |
Политика запрещает сохранение истории посещения страниц и синхронизацию открытых вкладок. При синхронизации информация передается на сервер Яндекса по защищенному каналу. Если политика находится в состоянии «Включено» или «Не настроено», история посещенных страниц сохраняется в журнале браузера. Вкладки и Табло синхронизируются с сервером Яндекса. Если политика находится в состоянии «Отключено», история посещенных страниц не сохраняется в журнале браузера. Пользователи не могут включить сохранение истории посещенных страниц. Только Табло синхронизируются с сервером Яндекса. Возможность переноса истории вручную отключена. | |
Выбрать папку кеша на диске | DiskCacheDir |
Политика определяет место хранения данных кеша. Чтобы не потерять данные, не следует указывать в политике корневую папку или папку, которая используется в других целях. Если политика находится в состоянии «Отключено» или «Не настроено», браузер использует папку по умолчанию, однако пользователи могут ее изменить с помощью параметра disk-cache-dir. Если политика находится в состоянии «Включено», браузер хранит кеш на диске в заданной администратором папке. Пользователи не могут ее изменить с помощью параметра disk-cache-dir. | |
Задать объем кеша в байтах | DiskCacheSize |
Политика позволяет задать объем кеша в байтах. Значение используется различными подсистемами в браузере как справочное. Поэтому фактический объем используемого дискового пространства может превышать указанное значение, но будет иметь такой же порядок. Если политика находится в состоянии «Не настроено», браузер использует объем кеша по умолчанию. Если политика находится в состоянии «Включено», браузер использует заданный размер кеша независимо от параметра --disk-cache-size. Указывается максимальный размер кеша в байтах. Например, 104857600 — это 100 МБ. Если политика находится в состоянии «Отключено», браузер использует объем кеша по умолчанию, но пользователи могут менять размер кеша с помощью параметра --disk-cache-size. | |
Блокировать внешние расширения (Заблокировать установку внешних расширений) | BlockExternalExtensions |
Политика позволяет запретить установку внешних расширений. Если политика находится в состоянии «Отключено» или «Не настроено», установка внешних расширений разрешена. Если политика находится в состоянии «Включено», установка внешних расширений запрещена. | |
Блокировка доступа к списку URL | URLBlocklist |
Политика блокирует доступ к URL и локальным файлам, которые внесены в черный список. Если политика находится в состоянии «Отключено» или «Не настроено», браузер не блокирует URL. Если политика находится в состоянии «Включено», страницы запрещенных URL не загружаются. В политике можно перечислить шаблоны запрещенных URL. Политика не действует на URL со встроенным кодом JavaScript и динамически загружаемые данные. Общий формат шаблона URL: scheme://host:port/path, где:
Общий формат шаблона локального файла file://path, где:
| |
Разрешить доступ к списку URL | URLAllowlist |
Политика позволяет внести в белый список URL или локальный файл. Белый список разрешает доступ к явно перечисленным в нем URL и файлам, даже если они попадают под действие шаблонов из черного списка (см. описание политики «Разрешить доступ к списку URL»). Если политика находится в состоянии «Отключено» или «Не настроено», исключений из правила URLBlocklist нет. Если политика находится в состоянии «Включено», указанные URL становятся доступны пользователям и считаются исключениями из правила URLBlocklist. Политика позволяет настроить исключения для определенных протоколов, субдоменов, отдельных доменов, портов или путей. Политика URLAllowlist имеет приоритет над правилом URLBlocklist. В этом правиле можно указать не более 1000 URL. Форматы шаблонов см. в описании политики «Блокировка доступа к списку URL». | |
Разрешить вызывать окно выбора файлов | AllowFileSelectionDialogs |
Политика разрешает или запрещает отображать окно выбора файлов и управляет настройками загрузки. Если политика находится в состоянии «Включено» или «Не настроено», пользователи могут открывать окна выбора файлов (импорт закладок или паролей, загрузка файлов, сохранение ссылок и т. д.). Также пользователи могут сохранить файл с помощью контекстного меню и изменять настройки в разделе «Загруженные файлы» («Настройки» → «Инструменты» → «Загруженные файлы»). Если политика находится в состоянии «Отключено» и пользователь выполняет действия, для которых нужно открыть окно выбора файла (например, импорт закладок, загрузка файлов, сохранение ссылок и т. д.), вместо окна отображается сообщение и имитируется нажатие пользователем кнопки «Отмена» в окне выбора файлов. Также пользователи не могут сохранить файл из контекстного меню и изменять настройки в разделе «Загруженные файлы». | |
Установить ограничения на использование инструментов разработчика | DeveloperToolsAvailability |
Политика ограничивает использование инструментов разработчика. Если политика находится в состоянии «Отключено» или «Не настроено», инструменты разработчика и консоль JavaScript запрещены только для расширений, ограниченных корпоративной политикой. Если политика находится в состоянии «Включено» можно установить ограничение на использование инструментов разработчика. Доступны следующие параметры: | |
Управлять расширениями | ExtensionSettings |
Политика управляет настройками расширений в «Яндекс.Браузере». Если политика находится в состоянии «Отключено» или «Не настроено» пользователи могут самостоятельно настраивать расширения. Если политика находится в состоянии «Включено», настройки расширений задает администратор с помощью кода, указанного в параметрах политики:
Пример значения: {
"hdokiejnpimakedhajhdlcegeplioahd": {
"installation_mode": "force_installed",
"update_url": "https://clients2.google.com/service/update2/crx"
},
"pioclpoplcdbaefihamjohnefbikjilc": {
"installation_mode": "force_installed",
"update_url": "https://clients2.google.com/service/update2/crx"
}
}
Поля политики:
|
Файлы настроек политики
Все настройки политики хранятся в {GUID GPT}/Machine/Registry.pol.
Пример Registry.pol:
PReg[Software\Policies\YandexBrowser;BlockExternalExtensions;;;]
[Software\Policies\YandexBrowser\URLBlocklist;https://mail.ru;; ;https://mail.ru]
[Software\Policies\YandexBrowser\AutoOpenFileTypes;pdf;;pdf]
[Software\Policies\YandexBrowser;HomepageLocation;;4;https://docs.altlinux.org]
Настройка политики
На рабочей станции
Шаг 1. На машине с установленными ADMC и GPUI получить ключ Kerberos для администратора домена.
Шаг 2. В ADMC создать новый объект групповой политики (GPO) и связать его с OU.
Шаг 3. Запустить GPUI:
- из модуля удаленного управления базой данных конфигурации (ADMC), выбрав в контекстном меню объекта групповой политики пункт «Изменить…»:
- или с указанием каталога групповой политики:
$ gpui-main -p "smb://dc1.test.alt/SysVol/test.alt/Policies/{50A474C5-8097-4EBF-A503-0DAB29176FC6}"
где dc1.test.alt – имя контроллера домена, а {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXXX} – GUID шаблона групповой политики для редактирования.
Откроется окно редактирования групповых политик.
Шаг 4. Перейти в «Компьютер» -> «Административные шаблоны» -> «Яндекс» -> «Яндекс.Браузер»:
Шаг 5. При выборе политики откроется диалоговое окно настройки политики. Можно не задавать настройку политики, включить или отключить. Если выбрать параметр «Включено», в разделе «Опции» в можно задать дополнительные параметры:
На машине Windows
Шаг 1. На машине с установленным RSAT открыть консоль «Управление групповыми политиками» (gpmc.msc).
Шаг 2. Создать новый объект групповой политики (GPO) и связать его с OU.
Шаг 3. В контекстном меню GPO выбрать пункт «Редактировать». Откроется редактор GPO.
Шаг 4. Перейти в «Конфигурация компьютера» -> «Политики» -> «Административные шаблоны» -> «Яндекс» -> «Яндекс.Браузер»:
Шаг 5. Дважды щелкнуть левой кнопкой мыши на политике, откроется диалоговое окно настройки политики. Можно не задавать настройку политики, включить или отключить. Если выбрать параметр «Включить», в разделе «Опции» в можно задать дополнительные параметры: