Групповые политики/Yandex

Материал из ALT Linux Wiki

Описание

Дистрибутивы Альт поддерживают управление «Яндекс.Браузером» через групповые политики посредством JSON-файла. Во время запуска «Яндекс.Браузер» считывает файл policies.json и применяет параметры групповых политик. Для «Яндекс.Браузера» файл policies.json расположен по адресу /etc/opt/yandex/browser/policies/managed/. Групповые политики на основе policies.json предоставляют кроссплатформенную совместимость, что позволяет управлять браузерами в любом дистрибутиве Альт с установленным окружением рабочего стола. Задача механизма Yandex в составе пакета gpupdate — корректно сформировать JSON-файл для браузера из шаблонов групповых политик.

Внимание! Реализация пользовательских настроек для браузера Яндекс требует правки разрозненного набора файлов с конфигурационными параметрами, логика устройства которых постоянно меняется и может приводить к коллизиям. Поэтому на текущем этапе разработки данный механизм реализован только для машинных политик.


Настройка политик для «Яндекс.Браузера» требует дополнительной установки ADMX-файлов Yandex (пакет admx-yandex-browser).

Результат применения параметров групповой политики для «Яндекс.Браузера» можно проверить, указав в адресной строке URL: "browser://policy":

Активные политики «Яндекс.Браузера»

Примеры политик

Примечание: Политики «Яндекс.Браузера» реализованы в gpupdate, начиная с версии 0.9.12-alt1.


Политика Имя политики Окно настройки Описание
Включить панель закладок BookmarkBarEnabled Yandex. Включить панель закладок

Политика позволяет принудительно включить или принудительно отключить панель закладок в «Яндекс.Браузере».

Если политика находится в состоянии «Включено», панель закладок отображается:

Yandex. Панель закладок отображается

Если политика находится в состоянии «Отключено», панель закладок не отображается.

Если политика находится в состоянии «Не настроено», пользователь может самостоятельно решать, включить или отключить панель закладок.

Включает или отключает возможность изменения закладок EditBookmarksEnabled Yandex. Включить или отключить возможность изменения закладок

Политика включает или отключает возможность изменения закладок.

Если политика находится в состоянии «Включено» или «Не настроено», пользователи могут добавлять, изменять и удалять закладки:

Yandex. Пользователи могут добавлять, изменять и удалять закладки

Если политика находится в состоянии «Отключено», пользователи не могут добавлять, изменять и удалять закладки. Закладки, созданные до отключения политики, останутся доступными.

Список типов файлов, которые будут автоматически открываться после скачивания AutoOpenFileTypes Yandex. Задать форматы файлов, которые будут автоматически открываться после скачивания

Политика позволяет задать форматы файлов, которые будут автоматически открываться после скачивания.

Если политика находится в состоянии «Включено», в ней можно перечислить форматы файлов, которые будут автоматически открываться после скачивания (например, txt, jpg).

Если политика находится в состоянии «Отключено» или «Не настроено», после скачивания будут автоматически открываться файлы только тех форматов, которые выбрал пользователь в контекстном меню загруженного файла (например, «Открывать JPG автоматически»).

Запретить открытие файлов офисных форматов в браузере CloudDocumentsDisabled Yandex. Запрет открытия файлов офисных форматов в браузере

Политика запрещает пользователям открывать файлы офисных форматов в браузере.

Если политика находится в состоянии «Отключено» или «Не настроено», пользователь может открывать в браузере файлы офисных форматов.

Если политика находится в состоянии «Включено», пользователю запрещено открывать в браузере файлы офисных форматов.

Настройка всплывающих окон по умолчанию DefaultPopupsSetting Yandex.Настройка всплывающих окон по умолчанию

Политика разрешает или запрещает всплывающие окна на всех сайтах.

Если политика находится в состоянии «Отключено» или «Не настроено», всплывающие окна блокируются на всех сайтах. Пользователи могут разрешать или блокировать всплывающие окна в настройках браузера.

Если политика находится в состоянии «Включено», администратор может определить режим применения политики:

  • «Блокировать всплывающие окна на всех сайтах»
  • «Разрешить открытие всплывающих окон на всех сайтах»

Пользователи не могут разрешать или блокировать всплывающие окна в настройках браузера.

Разрешить полноэкранный режим FullscreenAllowed Yandex. Разрешить полноэкранный режим

Политика разрешает или запрещает активацию полноэкранного режима. В этом режиме все элементы интерфейса «Яндекс.Браузера» скрыты, и на экране отображается только содержимое сайта.

Если политика находится в состоянии «Включено» или «Не настроено», пользователи могут активировать полноэкранный режим, нажав F11. Полноэкранный режим может быть активирован приложениями и расширениями, если у них есть на это разрешения.

Если политика находится в состоянии «Отключено», полноэкранный режим отключен для всех пользователей, приложений и расширений.

Настройка URL домашней страницы HomepageLocation Yandex. Настройка URL домашней страницы

Политика задает URL домашней страницы. Если в качестве домашней страницы задана страница быстрого доступа, политика не будет работать.

Если политика находится в состоянии «Отключено» или «Не настроено», пользователи могут сами установить URL домашней страницы в настройках браузера.

Если политика находится в состоянии «Включено», можно установить домашнюю страницу по умолчанию. URL должен иметь стандартный вид (например, https://altlinux.org).

Домашняя страница откроется, если в последний раз браузер был закрыт без вкладок или сочетанием клавиш Alt + Home. Пользователи не могут менять домашнюю страницу в браузере.

Отключить контекстное меню для выделенного текста InstaserpDisabled Yandex.Отключить контекстное меню для выделенного текста

Политика позволяет отключить контекстное меню, всплывающее при выделении текста на странице.

Если политика находится в состоянии «Включено», контекстное меню не показывается, пользователи не могут включить его в настройках (опция «При выделении текста показывать кнопки "Найти" и "Копировать"» неактивна).

Если политика находится в состоянии «Отключено», контекстное меню показывается, пользователи не могут отключить его в настройках.

Если политика находится в состоянии «Не настроено», контекстное меню показывается, пользователи могут отключить его в настройках.

Отображать боковую панель SidePanelMode Yandex. Отображать боковую панель

Политика позволяет настроить режим отображения боковой панели и запретить пользователям его менять.

Если политика находится в состоянии «Отключено» или «Не настроено», пользователи могут самостоятельно настроить режим отображения боковой панели.

Если политика находится в состоянии «Включено», администратор может выбрать режим отображения боковой панели:

  • «Боковая панель видна только на новой вкладке, а на сайтах скрыта»
  • «Боковая панель закреплена и на сайтах, и на новой вкладке»
    Yandex. Боковая панель закреплена
  • «Боковая панель скрыта»
Включить автозаполнение адресов AutofillAddressEnabled Yandex. Включить автозаполнение адресов

Политика разрешает пользователям автозаполнение адресов.

Если политика находится в состоянии «Включено» или «Не настроено», автозаполнение адресов включено.

Если политика находится в состоянии «Отключено», автозаполнение адресов отключено, введенные адреса не сохраняются.

Настройки входа в браузере (Настроить авторизацию) BrowserSignin Yandex. Настроить авторизацию

Политика позволяет управлять авторизацией пользователей в «Яндекс.Браузере».

Если политика находится в состоянии «Не настроено», пользователь самостоятельно решает, включать ли авторизацию в браузере.

Если политика находится в состоянии «Отключено», авторизация в браузере недоступна.

Если политика находится в состоянии «Включено», Авторизация в браузере доступна и регулируется параметрами:

  • «Включить вход в браузере» — пользователь сможет авторизоваться в браузере. При выборе параметра пользователи, которые авторизовались на сервисе Яндекса, автоматически авторизуются в браузере (на всех платформах, кроме iOS). Пользователь не может отключить функцию, разрешающую авторизацию в браузере. Синхронизация включается отдельно и управляется политикой SyncDisabled.
  • «Включить принудительный вход в браузере» — работа в браузере без авторизации невозможна. Это гарантирует применение всех необходимых политик к аккаунтам пользователей. Политика BrowserGuestModeEnabled примет значение Disabled. Профили, в которые не выполнен вход, будут заблокированы. Параметр не поддерживается в Android, Linux, iOS, на этих платформах будет работать параметр Включить вход в браузере.
  • «Отключить вход в браузере» — пользователь не сможет авторизоваться в браузере. Требующие авторизации функции браузера (например, синхронизация) будут недоступны. При выборе параметра авторизованные пользователи автоматически выходят из аккаунта: на iOS сразу же, на других платформах — при следующем запуске браузера. Данные локального профиля (пароли, закладки и т. д.) остаются на всех платформах. Пользователь по-прежнему может авторизоваться в сервисах Яндекса.
Доступность режима Инкогнито IncognitoModeAvailability Yandex. Доступность режима Инкогнито

Политика определяет, могут ли пользователи включать режим «Инкогнито».

Если политика находится в состоянии «Не настроено», пользователи могут открывать страницы в режиме Инкогнито.

Если политика находится в состоянии «Включено», Администратор может определить режим применения политики:

  • «Принудительное использование режима Инкогнито» — режим «Инкогнито» всегда включен;
  • «Режим Инкогнито доступен» — пользователи могут просматривать страницы как в обычном режиме, так и в режиме Инкогнито:
    Yandex. Режим Инкогнито доступен»
  • «Режим Инкогнито отключён» — пользователи могут просматривать страницы только в обычном режиме.

Если политика находится в состоянии «Отключено», пользователи могут просматривать страницы только в обычном режиме:

Yandex. Режим Инкогнито отключён

Отключить использование мастер-пароля MasterPasswordDisabled Yandex. Отключить использование мастер-пароля

Политика позволяет отключить использование мастер-пароля.

Если политика находится в состоянии «Включено» или «Не настроено», пользователь может использовать мастер-пароль.

Если политика находится в состоянии «Отключено», мастер-пароль в браузере отключен.

Включить сохранение паролей PasswordManagerEnabled Yandex. Включить сохранение паролей

Политика позволяет отключить использование мастер-пароля.

Если политика находится в состоянии «Не настроено», сохранение паролей в браузере включено. Пользователи могут включать и отключать сохранение паролей.

Если политика находится в состоянии «Включено», сохранение паролей включено. Пользователи не могут включать и отключать сохранение паролей.

Если политика находится в состоянии «Отключено», сохранение новых паролей отключено. Пользователи могут использовать уже сохраненные пароли. Пользователи не могут включать и отключать сохранение паролей.

Отключить сохранение истории браузера SavingBrowserHistoryDisabled Yandex. Отключить сохранение истории браузера

Политика запрещает сохранение истории посещения страниц и синхронизацию открытых вкладок. При синхронизации информация передается на сервер Яндекса по защищенному каналу.

Если политика находится в состоянии «Включено» или «Не настроено», история посещенных страниц сохраняется в журнале браузера. Вкладки и Табло синхронизируются с сервером Яндекса.

Если политика находится в состоянии «Отключено», история посещенных страниц не сохраняется в журнале браузера. Пользователи не могут включить сохранение истории посещенных страниц. Только Табло синхронизируются с сервером Яндекса. Возможность переноса истории вручную отключена.

Выбрать папку кеша на диске DiskCacheDir Yandex. Выбрать папку кеша на диске

Политика определяет место хранения данных кеша. Чтобы не потерять данные, не следует указывать в политике корневую папку или папку, которая используется в других целях.

Если политика находится в состоянии «Отключено» или «Не настроено», браузер использует папку по умолчанию, однако пользователи могут ее изменить с помощью параметра disk-cache-dir.

Если политика находится в состоянии «Включено», браузер хранит кеш на диске в заданной администратором папке. Пользователи не могут ее изменить с помощью параметра disk-cache-dir.

Задать объем кеша в байтах DiskCacheSize Yandex. Задать объем кеша в байтах

Политика позволяет задать объем кеша в байтах. Значение используется различными подсистемами в браузере как справочное. Поэтому фактический объем используемого дискового пространства может превышать указанное значение, но будет иметь такой же порядок.

Если политика находится в состоянии «Не настроено», браузер использует объем кеша по умолчанию.

Если политика находится в состоянии «Включено», браузер использует заданный размер кеша независимо от параметра --disk-cache-size. Указывается максимальный размер кеша в байтах. Например, 104857600 — это 100 МБ.

Если политика находится в состоянии «Отключено», браузер использует объем кеша по умолчанию, но пользователи могут менять размер кеша с помощью параметра --disk-cache-size.

Блокировать внешние расширения (Заблокировать установку внешних расширений) BlockExternalExtensions Yandex. Блокировать внешние расширения

Политика позволяет запретить установку внешних расширений.

Если политика находится в состоянии «Отключено» или «Не настроено», установка внешних расширений разрешена.

Если политика находится в состоянии «Включено», установка внешних расширений запрещена.

Блокировка доступа к списку URL URLBlocklist Yandex. Блокировка доступа к списку URL

Политика блокирует доступ к URL и локальным файлам, которые внесены в черный список.

Если политика находится в состоянии «Отключено» или «Не настроено», браузер не блокирует URL.

Если политика находится в состоянии «Включено», страницы запрещенных URL не загружаются. В политике можно перечислить шаблоны запрещенных URL. Политика не действует на URL со встроенным кодом JavaScript и динамически загружаемые данные.

Общий формат шаблона URL: scheme://host:port/path, где:

  • scheme — схема обращения к ресурсу (например, http, https). Если префикс scheme:// не задан, блокируются все пути и все протоколы (http, https, ftp и т.д.). Блокировать внутренние URL с префиксом browser:// и chrome:// не рекомендуется;
  • host — полное доменное имя или IP-адрес хоста. Имя или IP-адрес хоста должны быть указаны обязательно. По умолчанию блокируются все субдомены хоста. Чтобы этого избежать, можно добавить точку (.) перед именем хоста. Звездочка (*) блокирует все домены;
  • port — номер порта. Можно указать номер от 1 до 65535. Если номер не указан, блокируются все порты;
  • path — URL-адрес.

Yandex. Блокировка доступа к списку URL

Общий формат шаблона локального файла file://path, где:

  • file — путь до конкретного файла .html;
  • path — абсолютный путь к каталогу с файлами (все пути, для которых path является префиксом, будут внесены в список).
Разрешить доступ к списку URL URLAllowlist Yandex. Разрешить доступ к списку URL

Политика позволяет внести в белый список URL или локальный файл. Белый список разрешает доступ к явно перечисленным в нем URL и файлам, даже если они попадают под действие шаблонов из черного списка (см. описание политики «Разрешить доступ к списку URL»).

Если политика находится в состоянии «Отключено» или «Не настроено», исключений из правила URLBlocklist нет.

Если политика находится в состоянии «Включено», указанные URL становятся доступны пользователям и считаются исключениями из правила URLBlocklist. Политика позволяет настроить исключения для определенных протоколов, субдоменов, отдельных доменов, портов или путей. Политика URLAllowlist имеет приоритет над правилом URLBlocklist. В этом правиле можно указать не более 1000 URL.

Форматы шаблонов см. в описании политики «Блокировка доступа к списку URL».

Разрешить вызывать окно выбора файлов AllowFileSelectionDialogs Yandex. Разрешить вызывать окно выбора файлов

Политика разрешает или запрещает отображать окно выбора файлов и управляет настройками загрузки.

Если политика находится в состоянии «Включено» или «Не настроено», пользователи могут открывать окна выбора файлов (импорт закладок или паролей, загрузка файлов, сохранение ссылок и т. д.). Также пользователи могут сохранить файл с помощью контекстного меню и изменять настройки в разделе «Загруженные файлы» («Настройки» → «Инструменты» → «Загруженные файлы»).

Если политика находится в состоянии «Отключено» и пользователь выполняет действия, для которых нужно открыть окно выбора файла (например, импорт закладок, загрузка файлов, сохранение ссылок и т. д.), вместо окна отображается сообщение и имитируется нажатие пользователем кнопки «Отмена» в окне выбора файлов. Также пользователи не могут сохранить файл из контекстного меню и изменять настройки в разделе «Загруженные файлы».

Установить ограничения на использование инструментов разработчика DeveloperToolsAvailability Yandex. Установить ограничения на использование инструментов разработчика

Политика ограничивает использование инструментов разработчика.

Если политика находится в состоянии «Отключено» или «Не настроено», инструменты разработчика и консоль JavaScript запрещены только для расширений, ограниченных корпоративной политикой.

Если политика находится в состоянии «Включено» можно установить ограничение на использование инструментов разработчика. Доступны следующие параметры:

  • «Запретить использование инструментов разработчика»:
    Yandex. Инструменты разработчика запрещены
  • «Запретить использование инструментов разработчика в отношении расширений, установленных в соответствии с корпоративной политикой, и разрешить во всех остальных случаях»
  • «Разрешить использование инструментов разработчика»

Файлы настроек политики

Все настройки политики хранятся в {GUID GPT}/Machine/Registry.pol.

Пример Registry.pol:

PReg[Software\Policies\YandexBrowser;BlockExternalExtensions;;;]
[Software\Policies\YandexBrowser\URLBlocklist;https://mail.ru;; ;https://mail.ru]
[Software\Policies\YandexBrowser\AutoOpenFileTypes;pdf;;pdf]
[Software\Policies\YandexBrowser;HomepageLocation;;4;https://docs.altlinux.org]

Настройка политики

На рабочей станции

Шаг 1. На машине с установленными ADMC и GPUI получить ключ Kerberos для администратора домена.

Шаг 2. В ADMC создать новый объект групповой политики (GPO) и связать его с OU.

Шаг 3. Запустить GPUI:

$ gpui-main -p "smb://dc.test.alt/SysVol/test.alt/Policies/{50A474C5-8097-4EBF-A503-0DAB29176FC6}"

где dc.test.alt – имя контроллера домена, а "{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXXX}" – GUID шаблона групповой политики для редактирования.

Откроется окно редактирования групповых политик.

Шаг 4. Перейти в «Компьютер» -> «Административные шаблоны» -> «Яндекс» -> «Яндекс.Браузер»:

GPUI. Политики настройки Яндекс-браузера

Шаг 5. При выборе политики откроется диалоговое окно настройки политики. Можно не задавать настройку политики, включить или отключить. Если выбрать параметр «Включено», в разделе «Опции» в можно задать дополнительные параметры:

Диалоговое окно настройки политики

На машине Windows

Шаг 1. На машине с установленным RSAT открыть консоль «Управление групповыми политиками» (gpmc.msc).

Шаг 2. Создать новый объект групповой политики (GPO) и связать его с OU.

Шаг 3. В контекстном меню GPO выбрать пункт «Редактировать». Откроется редактор GPO.

Шаг 4. Перейти в «Конфигурация компьютера» -> «Политики» -> «Административные шаблоны» -> «Яндекс» -> «Яндекс.Браузер»:

GPME. Политики настройки веб-браузера Яндекс

Шаг 5. Дважды щелкнуть левой кнопкой мыши на политике, откроется диалоговое окно настройки политики. Можно не задавать настройку политики, включить или отключить. Если выбрать параметр «Включить», в разделе «Опции» в можно задать дополнительные параметры:

Настройки политики «Настройка URL домашней страницы» в RSAT