Групповые политики/Yandex: различия между версиями
(+Управление расширениями) |
|||
| Строка 296: | Строка 296: | ||
* «Запретить использование инструментов разработчика в отношении расширений, установленных в соответствии с корпоративной политикой, и разрешить во всех остальных случаях» | * «Запретить использование инструментов разработчика в отношении расширений, установленных в соответствии с корпоративной политикой, и разрешить во всех остальных случаях» | ||
* «Разрешить использование инструментов разработчика» | * «Разрешить использование инструментов разработчика» | ||
|- | |||
|-style="vertical-align:top;" | |||
| Управлять расширениями | |||
| ExtensionSettings | |||
| [[Файл:Yandex-ExtensionSettings.png|150px|frameless|Yandex. Управлять расширениями]] | |||
| | |||
Политика управляет настройками расширений в «Яндекс.Браузере». | |||
Если политика находится в состоянии «Отключено» или «Не настроено» пользователи могут самостоятельно настраивать расширения. | |||
Если политика находится в состоянии «Включено», настройки расширений задает администратор с помощью кода, указанного в параметрах политики: | |||
*идентификатор расширения или URL обновления привязывается только к одной конкретной настройке; | |||
*идентификатор * действует на все расширения, для которых в политике не задана отдельная конфигурация; | |||
*если указан URL обновления, заданная конфигурация применяется ко всем расширениям, в манифесте которых приведен этот URL. | |||
[[Файл:Yandex-ExtensionSettings-0.png|150px|frameless|Yandex. Настройки расширения задает администратор]] | |||
Пример значения: | |||
<syntaxhighlight lang="json">{ | |||
"hdokiejnpimakedhajhdlcegeplioahd": { | |||
"installation_mode": "force_installed", | |||
"update_url": "https://clients2.google.com/service/update2/crx" | |||
}, | |||
"pioclpoplcdbaefihamjohnefbikjilc": { | |||
"installation_mode": "force_installed", | |||
"update_url": "https://clients2.google.com/service/update2/crx" | |||
} | |||
}</syntaxhighlight> | |||
Поля политики: | |||
*allowed_types — типы приложений и расширений, которые пользователям разрешено устанавливать в Браузере: (допустимые строки: «extension», «hosted_app», «legacy_packaged_app», «tplatform_appeme», «theme», «user_script»). Используется только для настройки конфигурации по умолчанию со значением *; | |||
*blocked_install_message — уведомление (не более 1000 символов), которое будет появляться на устройствах пользователей при попытке установить запрещенные расширения; | |||
*blocked_permissions — запрещает пользователям устанавливать и запускать расширения, требующие разрешений API (список доступных разрешений указан в манифесте расширения); | |||
* installation_mode — указывает, разрешено ли добавлять заданные расширения. Допустимые режимы: | |||
**allowed — пользователи могут установить это расширение (поведение по умолчанию); | |||
**blocked — пользователи не могут установить это расширение; | |||
**removed — пользователи не могут установить это расширение. Если расширение было установлено, оно будет удалено; | |||
**force_installed — расширение устанавливается автоматически. Пользователи не могут его удалить. В этом режиме необходимо указать ссылку для скачивания расширения (параметр update_url); | |||
**normal_Installed — расширение устанавливается автоматически. Пользователи могут его удалить. В этом режиме необходимо указать ссылку для скачивания расширения (параметр update_url); | |||
*install_sources — список URL страниц, с которых разрешено загружать и устанавливать расширения. Необходимо разрешить URL расположения CRX-файла и страницы, с которой начинается скачивание (то есть URL перехода); | |||
*minimum_version_required — отключает расширения (в том числе установленные принудительно) более ранних версий, чем определено этим параметром. Формат строки версии аналогичен формату, который используется в манифесте расширения; | |||
*update_url — определяет, откуда загружается расширение. Можно указать URL интернет-магазина Chrome, Opera или использовать XML-файл: | |||
**Если расширение размещено в интернет-магазине Chrome, следует указать https://clients2.google.com/service/update2/crx. | |||
**Если расширение размещено в интернет-магазине Opera, следует указать https://extension-updates.opera.com/api/omaha/update/ | |||
*override_update_url — указывает, что для всех последующих обновлений расширения будет использоваться URL из поля update_url или update в политике ExtensionInstallForcelist. Если это политика не настроена или отключена, будет использоваться URL из манифеста расширения; | |||
*verified_contents_url — указывает путь до файла extension.verified_contents. С его помощью расширение проверяется на доверие (используется, если нет доступа в интернет); | |||
*runtime_allowed_hosts — разрешает взаимодействие расширений с указанными сайтами, даже если они указаны в поле runtime_blocked_hosts. Можно указать до 100 сайтов; | |||
*runtime_blocked_hosts — запрещает расширениям взаимодействовать с указанными сайтами или изменять их, в том числе вставлять скрипты, получать доступ к файлам cookie и изменять веб-запросы. Можно указать до 100 сайтов. | |||
|} | |} | ||
Версия от 13:49, 26 мая 2023
Описание
Дистрибутивы Альт поддерживают управление «Яндекс.Браузером» через групповые политики посредством JSON-файла. Во время запуска «Яндекс.Браузер» считывает файл policies.json и применяет параметры групповых политик. Для «Яндекс.Браузера» файл policies.json расположен по адресу /etc/opt/yandex/browser/policies/managed/. Групповые политики на основе policies.json предоставляют кроссплатформенную совместимость, что позволяет управлять браузерами в любом дистрибутиве Альт с установленным окружением рабочего стола. Задача механизма Yandex в составе пакета gpupdate — корректно сформировать JSON-файл для браузера из шаблонов групповых политик.
Настройка политик для «Яндекс.Браузера» требует дополнительной установки ADMX-файлов Yandex (пакет admx-yandex-browser).
Результат применения параметров групповой политики для «Яндекс.Браузера» можно проверить, указав в адресной строке URL: "browser://policy":
Примеры политик
Ниже описаны только некоторые политики. Полный список политик и их описание можно найти на странице описания политик «Яндекс.Браузера» (https://yandex.ru/support/browser-corporate/policy/list.html) или в «Яндекс.Браузере», указав в адресной строке URL: browser://policy/ и установив отметку «Показывать правила, значения которых не заданы».
| Политика | Имя политики | Окно настройки | Описание |
|---|---|---|---|
| Включить панель закладок | BookmarkBarEnabled | 
|
Политика позволяет принудительно включить или принудительно отключить панель закладок в «Яндекс.Браузере». Если политика находится в состоянии «Включено», панель закладок отображается:
Если политика находится в состоянии «Отключено», панель закладок не отображается. Если политика находится в состоянии «Не настроено», пользователь может самостоятельно решать, включить или отключить панель закладок. |
| Включает или отключает возможность изменения закладок | EditBookmarksEnabled | 
|
Политика включает или отключает возможность изменения закладок. Если политика находится в состоянии «Включено» или «Не настроено», пользователи могут добавлять, изменять и удалять закладки:
Если политика находится в состоянии «Отключено», пользователи не могут добавлять, изменять и удалять закладки. Закладки, созданные до отключения политики, останутся доступными. |
| Список типов файлов, которые будут автоматически открываться после скачивания | AutoOpenFileTypes | 
|
Политика позволяет задать форматы файлов, которые будут автоматически открываться после скачивания. Если политика находится в состоянии «Включено», в ней можно перечислить форматы файлов, которые будут автоматически открываться после скачивания (например, txt, jpg). Если политика находится в состоянии «Отключено» или «Не настроено», после скачивания будут автоматически открываться файлы только тех форматов, которые выбрал пользователь в контекстном меню загруженного файла (например, «Открывать JPG автоматически»). |
| Запретить открытие файлов офисных форматов в браузере | CloudDocumentsDisabled | 
|
Политика запрещает пользователям открывать файлы офисных форматов в браузере. Если политика находится в состоянии «Отключено» или «Не настроено», пользователь может открывать в браузере файлы офисных форматов. Если политика находится в состоянии «Включено», пользователю запрещено открывать в браузере файлы офисных форматов. |
| Настройка всплывающих окон по умолчанию | DefaultPopupsSetting | 
|
Политика разрешает или запрещает всплывающие окна на всех сайтах. Если политика находится в состоянии «Отключено» или «Не настроено», всплывающие окна блокируются на всех сайтах. Пользователи могут разрешать или блокировать всплывающие окна в настройках браузера. Если политика находится в состоянии «Включено», администратор может определить режим применения политики:
Пользователи не могут разрешать или блокировать всплывающие окна в настройках браузера. |
| Разрешить полноэкранный режим | FullscreenAllowed | 
|
Политика разрешает или запрещает активацию полноэкранного режима. В этом режиме все элементы интерфейса «Яндекс.Браузера» скрыты, и на экране отображается только содержимое сайта. Если политика находится в состоянии «Включено» или «Не настроено», пользователи могут активировать полноэкранный режим, нажав F11. Полноэкранный режим может быть активирован приложениями и расширениями, если у них есть на это разрешения. Если политика находится в состоянии «Отключено», полноэкранный режим отключен для всех пользователей, приложений и расширений. |
| Настройка URL домашней страницы | HomepageLocation | 
|
Политика задает URL домашней страницы. Если в качестве домашней страницы задана страница быстрого доступа, политика не будет работать. Если политика находится в состоянии «Отключено» или «Не настроено», пользователи могут сами установить URL домашней страницы в настройках браузера. Если политика находится в состоянии «Включено», можно установить домашнюю страницу по умолчанию. URL должен иметь стандартный вид (например, https://altlinux.org). Домашняя страница откроется, если в последний раз браузер был закрыт без вкладок или сочетанием клавиш Alt + Home. Пользователи не могут менять домашнюю страницу в браузере. |
| Отключить контекстное меню для выделенного текста | InstaserpDisabled | 
|
Политика позволяет отключить контекстное меню, всплывающее при выделении текста на странице. Если политика находится в состоянии «Включено», контекстное меню не показывается, пользователи не могут включить его в настройках (опция «При выделении текста показывать кнопки "Найти" и "Копировать"» неактивна). Если политика находится в состоянии «Отключено», контекстное меню показывается, пользователи не могут отключить его в настройках. Если политика находится в состоянии «Не настроено», контекстное меню показывается, пользователи могут отключить его в настройках. |
| Отображать боковую панель | SidePanelMode | 
|
Политика позволяет настроить режим отображения боковой панели и запретить пользователям его менять. Если политика находится в состоянии «Отключено» или «Не настроено», пользователи могут самостоятельно настроить режим отображения боковой панели. Если политика находится в состоянии «Включено», администратор может выбрать режим отображения боковой панели:
|
| Включить автозаполнение адресов | AutofillAddressEnabled | 
|
Политика разрешает пользователям автозаполнение адресов. Если политика находится в состоянии «Включено» или «Не настроено», автозаполнение адресов включено. Если политика находится в состоянии «Отключено», автозаполнение адресов отключено, введенные адреса не сохраняются. |
| Настройки входа в браузере (Настроить авторизацию) | BrowserSignin | 
|
Политика позволяет управлять авторизацией пользователей в «Яндекс.Браузере». Если политика находится в состоянии «Не настроено», пользователь самостоятельно решает, включать ли авторизацию в браузере. Если политика находится в состоянии «Отключено», авторизация в браузере недоступна. Если политика находится в состоянии «Включено», Авторизация в браузере доступна и регулируется параметрами:
|
| Доступность режима Инкогнито | IncognitoModeAvailability | 
|
Политика определяет, могут ли пользователи включать режим «Инкогнито». Если политика находится в состоянии «Не настроено», пользователи могут открывать страницы в режиме Инкогнито. Если политика находится в состоянии «Включено», Администратор может определить режим применения политики:
Если политика находится в состоянии «Отключено», пользователи могут просматривать страницы только в обычном режиме:
|
| Отключить использование мастер-пароля | MasterPasswordDisabled | 
|
Политика позволяет отключить использование мастер-пароля. Если политика находится в состоянии «Включено» или «Не настроено», пользователь может использовать мастер-пароль. Если политика находится в состоянии «Отключено», мастер-пароль в браузере отключен. |
| Включить сохранение паролей | PasswordManagerEnabled | 
|
Политика позволяет отключить использование мастер-пароля. Если политика находится в состоянии «Не настроено», сохранение паролей в браузере включено. Пользователи могут включать и отключать сохранение паролей. Если политика находится в состоянии «Включено», сохранение паролей включено. Пользователи не могут включать и отключать сохранение паролей. Если политика находится в состоянии «Отключено», сохранение новых паролей отключено. Пользователи могут использовать уже сохраненные пароли. Пользователи не могут включать и отключать сохранение паролей. |
| Отключить сохранение истории браузера | SavingBrowserHistoryDisabled | 
|
Политика запрещает сохранение истории посещения страниц и синхронизацию открытых вкладок. При синхронизации информация передается на сервер Яндекса по защищенному каналу. Если политика находится в состоянии «Включено» или «Не настроено», история посещенных страниц сохраняется в журнале браузера. Вкладки и Табло синхронизируются с сервером Яндекса. Если политика находится в состоянии «Отключено», история посещенных страниц не сохраняется в журнале браузера. Пользователи не могут включить сохранение истории посещенных страниц. Только Табло синхронизируются с сервером Яндекса. Возможность переноса истории вручную отключена. |
| Выбрать папку кеша на диске | DiskCacheDir | 
|
Политика определяет место хранения данных кеша. Чтобы не потерять данные, не следует указывать в политике корневую папку или папку, которая используется в других целях. Если политика находится в состоянии «Отключено» или «Не настроено», браузер использует папку по умолчанию, однако пользователи могут ее изменить с помощью параметра disk-cache-dir. Если политика находится в состоянии «Включено», браузер хранит кеш на диске в заданной администратором папке. Пользователи не могут ее изменить с помощью параметра disk-cache-dir. |
| Задать объем кеша в байтах | DiskCacheSize | 
|
Политика позволяет задать объем кеша в байтах. Значение используется различными подсистемами в браузере как справочное. Поэтому фактический объем используемого дискового пространства может превышать указанное значение, но будет иметь такой же порядок. Если политика находится в состоянии «Не настроено», браузер использует объем кеша по умолчанию. Если политика находится в состоянии «Включено», браузер использует заданный размер кеша независимо от параметра --disk-cache-size. Указывается максимальный размер кеша в байтах. Например, 104857600 — это 100 МБ. Если политика находится в состоянии «Отключено», браузер использует объем кеша по умолчанию, но пользователи могут менять размер кеша с помощью параметра --disk-cache-size. |
| Блокировать внешние расширения (Заблокировать установку внешних расширений) | BlockExternalExtensions | 
|
Политика позволяет запретить установку внешних расширений. Если политика находится в состоянии «Отключено» или «Не настроено», установка внешних расширений разрешена. Если политика находится в состоянии «Включено», установка внешних расширений запрещена. |
| Блокировка доступа к списку URL | URLBlocklist | 
|
Политика блокирует доступ к URL и локальным файлам, которые внесены в черный список. Если политика находится в состоянии «Отключено» или «Не настроено», браузер не блокирует URL. Если политика находится в состоянии «Включено», страницы запрещенных URL не загружаются. В политике можно перечислить шаблоны запрещенных URL. Политика не действует на URL со встроенным кодом JavaScript и динамически загружаемые данные. Общий формат шаблона URL: scheme://host:port/path, где:
Общий формат шаблона локального файла file://path, где:
|
| Разрешить доступ к списку URL | URLAllowlist | 
|
Политика позволяет внести в белый список URL или локальный файл. Белый список разрешает доступ к явно перечисленным в нем URL и файлам, даже если они попадают под действие шаблонов из черного списка (см. описание политики «Разрешить доступ к списку URL»). Если политика находится в состоянии «Отключено» или «Не настроено», исключений из правила URLBlocklist нет. Если политика находится в состоянии «Включено», указанные URL становятся доступны пользователям и считаются исключениями из правила URLBlocklist. Политика позволяет настроить исключения для определенных протоколов, субдоменов, отдельных доменов, портов или путей. Политика URLAllowlist имеет приоритет над правилом URLBlocklist. В этом правиле можно указать не более 1000 URL. Форматы шаблонов см. в описании политики «Блокировка доступа к списку URL». |
| Разрешить вызывать окно выбора файлов | AllowFileSelectionDialogs | 
|
Политика разрешает или запрещает отображать окно выбора файлов и управляет настройками загрузки. Если политика находится в состоянии «Включено» или «Не настроено», пользователи могут открывать окна выбора файлов (импорт закладок или паролей, загрузка файлов, сохранение ссылок и т. д.). Также пользователи могут сохранить файл с помощью контекстного меню и изменять настройки в разделе «Загруженные файлы» («Настройки» → «Инструменты» → «Загруженные файлы»). Если политика находится в состоянии «Отключено» и пользователь выполняет действия, для которых нужно открыть окно выбора файла (например, импорт закладок, загрузка файлов, сохранение ссылок и т. д.), вместо окна отображается сообщение и имитируется нажатие пользователем кнопки «Отмена» в окне выбора файлов. Также пользователи не могут сохранить файл из контекстного меню и изменять настройки в разделе «Загруженные файлы». |
| Установить ограничения на использование инструментов разработчика | DeveloperToolsAvailability | 
|
Политика ограничивает использование инструментов разработчика. Если политика находится в состоянии «Отключено» или «Не настроено», инструменты разработчика и консоль JavaScript запрещены только для расширений, ограниченных корпоративной политикой. Если политика находится в состоянии «Включено» можно установить ограничение на использование инструментов разработчика. Доступны следующие параметры:
|
| Управлять расширениями | ExtensionSettings | 
|
Политика управляет настройками расширений в «Яндекс.Браузере». Если политика находится в состоянии «Отключено» или «Не настроено» пользователи могут самостоятельно настраивать расширения. Если политика находится в состоянии «Включено», настройки расширений задает администратор с помощью кода, указанного в параметрах политики:
Пример значения: {
"hdokiejnpimakedhajhdlcegeplioahd": {
"installation_mode": "force_installed",
"update_url": "https://clients2.google.com/service/update2/crx"
},
"pioclpoplcdbaefihamjohnefbikjilc": {
"installation_mode": "force_installed",
"update_url": "https://clients2.google.com/service/update2/crx"
}
}
Поля политики:
|
Файлы настроек политики
Все настройки политики хранятся в {GUID GPT}/Machine/Registry.pol.
Пример Registry.pol:
PReg[Software\Policies\YandexBrowser;BlockExternalExtensions;;;]
[Software\Policies\YandexBrowser\URLBlocklist;https://mail.ru;; ;https://mail.ru]
[Software\Policies\YandexBrowser\AutoOpenFileTypes;pdf;;pdf]
[Software\Policies\YandexBrowser;HomepageLocation;;4;https://docs.altlinux.org]
Настройка политики
На рабочей станции
Шаг 1. На машине с установленными ADMC и GPUI получить ключ Kerberos для администратора домена.
Шаг 2. В ADMC создать новый объект групповой политики (GPO) и связать его с OU.
Шаг 3. Запустить GPUI:
- из модуля удаленного управления базой данных конфигурации (ADMC), выбрав в контекстном меню объекта групповой политики пункт «Изменить…»:
- или с указанием каталога групповой политики:
$ gpui-main -p "smb://dc.test.alt/SysVol/test.alt/Policies/{50A474C5-8097-4EBF-A503-0DAB29176FC6}"
где dc.test.alt – имя контроллера домена, а "{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXXX}" – GUID шаблона групповой политики для редактирования.
Откроется окно редактирования групповых политик.
Шаг 4. Перейти в «Компьютер» -> «Административные шаблоны» -> «Яндекс» -> «Яндекс.Браузер»:
Шаг 5. При выборе политики откроется диалоговое окно настройки политики. Можно не задавать настройку политики, включить или отключить. Если выбрать параметр «Включено», в разделе «Опции» в можно задать дополнительные параметры:
На машине Windows
Шаг 1. На машине с установленным RSAT открыть консоль «Управление групповыми политиками» (gpmc.msc).
Шаг 2. Создать новый объект групповой политики (GPO) и связать его с OU.
Шаг 3. В контекстном меню GPO выбрать пункт «Редактировать». Откроется редактор GPO.
Шаг 4. Перейти в «Конфигурация компьютера» -> «Политики» -> «Административные шаблоны» -> «Яндекс» -> «Яндекс.Браузер»:
Шаг 5. Дважды щелкнуть левой кнопкой мыши на политике, откроется диалоговое окно настройки политики. Можно не задавать настройку политики, включить или отключить. Если выбрать параметр «Включить», в разделе «Опции» в можно задать дополнительные параметры:
