Групповые политики/Yandex

Материал из ALT Linux Wiki

Описание

Дистрибутивы Альт поддерживают управление «Яндекс.Браузером» через групповые политики посредством JSON-файла. Во время запуска «Яндекс.Браузер» считывает файл policies.json и применяет параметры групповых политик. Для «Яндекс.Браузера» файл policies.json расположен по адресу /etc/opt/yandex/browser/policies/managed/. Групповые политики на основе policies.json предоставляют кроссплатформенную совместимость, что позволяет управлять браузерами в любом дистрибутиве Альт с установленным окружением рабочего стола. Задача механизма Yandex в составе пакета gpupdate — корректно сформировать JSON-файл для браузера из шаблонов групповых политик.

Внимание! Реализация пользовательских настроек для браузера Яндекс требует правки разрозненного набора файлов с конфигурационными параметрами, логика устройства которых постоянно меняется и может приводить к коллизиям. Поэтому на текущем этапе разработки данный механизм реализован только для машинных политик.


Внимание! gpupdate записывает конфигурационные данные в файл /etc/opt/yandex/browser/policies/managed/policies.json. Для случаев, если требуется вести параллельно другой файл с конфигурациями, можно создать файл /etc/opt/yandex/browser/policies/managed/policies_local.json и вносить изменения в него. При коллизиях будет применена последняя прочитанная настройка. См. altbug #47740


Настройка политик для «Яндекс.Браузера» требует дополнительной установки ADMX-файлов Yandex (пакет admx-yandex-browser).

Результат применения параметров групповой политики для «Яндекс.Браузера» можно проверить, указав в адресной строке URL: "browser://policy":

Активные политики «Яндекс.Браузера»

Примеры политик

Примечание: Политики «Яндекс.Браузера» реализованы в gpupdate, начиная  с версии 0.9.12-alt1 .


Ниже описаны только некоторые политики. Полный список политик и их описание можно найти на странице описания политик «Яндекс.Браузера» (https://yandex.ru/support/browser-corporate/policy/list.html) или в «Яндекс.Браузере», указав в адресной строке URL: browser://policy/ и установив отметку «Показывать правила, значения которых не заданы».

Политика Имя политики Окно настройки Описание
Включить или отключить панель закладок BookmarkBarEnabled Yandex. Включить панель закладок

Политика позволяет принудительно включить или принудительно отключить панель закладок в «Яндекс.Браузере».

Если политика находится в состоянии «Включено», панель закладок отображается:

Yandex. Панель закладок отображается

Если политика находится в состоянии «Отключено», панель закладок не отображается.

Если политика находится в состоянии «Не сконфигурировано», пользователь может самостоятельно решать, включить или отключить панель закладок.

Настроить закладки EditBookmarksEnabled Yandex. Включить или отключить возможность изменения закладок

Политика включает или отключает возможность изменения закладок.

Если политика находится в состоянии «Включено» или «Не сконфигурировано», пользователи могут добавлять, изменять и удалять закладки:

Yandex. Пользователи могут добавлять, изменять и удалять закладки

Если политика находится в состоянии «Отключено», пользователи не могут добавлять, изменять и удалять закладки. Закладки, созданные до отключения политики, останутся доступными.

Задать форматы файлов, которые будут автоматически открываться после скачивания AutoOpenFileTypes Yandex. Задать форматы файлов, которые будут автоматически открываться после скачивания

Политика позволяет задать форматы файлов, которые будут автоматически открываться после скачивания.

Если политика находится в состоянии «Включено», в ней можно перечислить форматы файлов (без точки), которые будут автоматически открываться после скачивания (например, txt, jpg).

Если политика находится в состоянии «Отключено» или «Не сконфигурировано», после скачивания будут автоматически открываться файлы только тех форматов, которые выбрал пользователь в контекстном меню загруженного файла (например, «Открывать JPG автоматически»).

Запретить открывать файлы офисных форматов в браузере CloudDocumentsDisabled Yandex. Запрет открытия файлов офисных форматов в браузере

Политика запрещает пользователям открывать файлы офисных форматов в браузере.

Если политика находится в состоянии «Отключено» или «Не сконфигурировано», пользователь может открывать в браузере файлы офисных форматов.

Если политика находится в состоянии «Включено», пользователю запрещено открывать в браузере файлы офисных форматов.

Настроить показ всплывающих окон DefaultPopupsSetting Yandex. Настройка всплывающих окон по умолчанию

Политика разрешает или запрещает всплывающие окна на всех сайтах.

Если политика находится в состоянии «Отключено» или «Не сконфигурировано», всплывающие окна блокируются на всех сайтах. Пользователи могут разрешать или блокировать всплывающие окна в настройках браузера.

Если политика находится в состоянии «Включено», администратор может определить режим применения политики:

  • «Блокировать на всех сайтах»
  • «Разрешить на всех сайтах»

Пользователи не могут разрешать или блокировать всплывающие окна в настройках браузера.

Разрешить полноэкранный режим FullscreenAllowed Yandex. Разрешить полноэкранный режим

Политика разрешает или запрещает активацию полноэкранного режима. В этом режиме все элементы интерфейса «Яндекс.Браузера» скрыты, и на экране отображается только содержимое сайта.

Если политика находится в состоянии «Включено» или «Не сконфигурировано», пользователи могут активировать полноэкранный режим, нажав F11. Полноэкранный режим может быть активирован приложениями и расширениями, если у них есть на это разрешения.

Если политика находится в состоянии «Отключено», полноэкранный режим отключен для всех пользователей, приложений и расширений.

Задать URL домашней страницы HomepageLocation Yandex. Настройка URL домашней страницы

Политика задает URL домашней страницы. Если в качестве домашней страницы задана страница быстрого доступа, политика не будет работать.

Если политика находится в состоянии «Отключено» или «Не сконфигурировано», пользователи могут сами установить URL домашней страницы в настройках браузера.

Если политика находится в состоянии «Включено», можно установить домашнюю страницу по умолчанию. URL должен иметь стандартный вид (например, https://altlinux.org).

Домашняя страница откроется, если в последний раз браузер был закрыт без вкладок или сочетанием клавиш Alt + Home. Пользователи не могут менять домашнюю страницу в браузере.

Отключить контекстное меню для выделенного текста InstaserpDisabled Yandex.Отключить контекстное меню для выделенного текста

Политика позволяет отключить контекстное меню, всплывающее при выделении текста на странице.

Если политика находится в состоянии «Включено», контекстное меню не показывается, пользователи не могут включить его в настройках (опция «При выделении текста показывать кнопки "Найти" и "Копировать"» неактивна).

Если политика находится в состоянии «Отключено», контекстное меню показывается, пользователи не могут отключить его в настройках.

Если политика находится в состоянии «Не сконфигурировано», контекстное меню показывается, пользователи могут отключить его в настройках.

Отображать боковую панель SidePanelMode Yandex. Отображать боковую панель

Политика позволяет настроить режим отображения боковой панели и запретить пользователям его менять.

Если политика находится в состоянии «Отключено» или «Не сконфигурировано», пользователи могут самостоятельно настроить режим отображения боковой панели.

Если политика находится в состоянии «Включено», администратор может выбрать режим отображения боковой панели:

  • «Закрепить только на экране новой вкладки»
  • «Закрепить на сайтах»
    Yandex. Боковая панель закреплена
  • «Скрыть»
Включить автозаполнение адресов AutofillAddressEnabled Yandex. Включить автозаполнение адресов

Политика разрешает пользователям автозаполнение адресов.

Если политика находится в состоянии «Включено» или «Не сконфигурировано», автозаполнение адресов включено.

Если политика находится в состоянии «Отключено», автозаполнение адресов отключено, введенные адреса не сохраняются.

Настроить режим Инкогнито IncognitoModeAvailability Yandex. Доступность режима Инкогнито

Политика определяет, могут ли пользователи включать режим «Инкогнито».

Если политика находится в состоянии «Не сконфигурировано», пользователи могут открывать страницы в режиме «Инкогнито».

Если политика находится в состоянии «Включено», Администратор может определить режим применения политики:

  • «Принудительное использование режима Инкогнито» — режим «Инкогнито» всегда включен;
  • «Режим Инкогнито доступен» — пользователи могут просматривать страницы как в обычном режиме, так и в режиме Инкогнито:
    Yandex. Режим Инкогнито доступен»
  • «Режим Инкогнито отключён» — пользователи могут просматривать страницы только в обычном режиме.

Если политика находится в состоянии «Отключено», пользователи могут просматривать страницы только в обычном режиме:

Yandex. Режим Инкогнито отключён

Запретить использовать мастер-пароль MasterPasswordDisabled Yandex. Отключить использование мастер-пароля

Политика запрещает пользователям использовать мастер-пароль.

Если политика находится в состоянии «Включено» или «Не сконфигурировано», пользователь может использовать мастер-пароль.

Если политика находится в состоянии «Отключено», мастер-пароль в браузере отключен.

Разрешить сохранять пароли PasswordManagerEnabled Yandex. Включить сохранение паролей

Политика разрешает сохранять пароли в браузере и автоматически подставлять их при авторизации на сайтах.

Если политика находится в состоянии «Не сконфигурировано», сохранение паролей в браузере включено. Пользователи могут включать и отключать сохранение паролей.

Если политика находится в состоянии «Включено», сохранение паролей включено. Пользователи не могут включать и отключать сохранение паролей.

Если политика находится в состоянии «Отключено», сохранение новых паролей отключено. Пользователи могут использовать уже сохраненные пароли. Пользователи не могут включать и отключать сохранение паролей.

Запретить сохранять историю просмотров SavingBrowserHistoryDisabled Yandex. Отключить сохранение истории браузера

Политика запрещает сохранять историю просмотров и синхронизировать открытые вкладки.

Если политика находится в состоянии «Отключено» или «Не сконфигурировано», история посещенных страниц сохраняется в журнале браузера. Вкладки и Табло синхронизируются с сервером Яндекса. Пользователи могут импортировать историю из других браузеров.

Если политика находится в состоянии «Включено», история посещенных страниц не сохраняется в журнале браузера. Пользователи не могут включить сохранение истории посещенных страниц. Только Табло может синхронизироваться с сервером Яндекса. Возможность переноса истории вручную отключена.

Выбрать папку кеша на диске DiskCacheDir Yandex. Выбрать папку кеша на диске

Политика определяет место хранения данных кеша. Чтобы не потерять данные, не следует указывать в политике корневую папку или папку, которая используется в других целях.

Если политика находится в состоянии «Отключено» или «Не сконфигурировано», браузер использует папку по умолчанию, однако пользователи могут ее изменить с помощью параметра disk-cache-dir.

Если политика находится в состоянии «Включено», браузер хранит кеш на диске в заданной администратором папке. Пользователи не могут ее изменить с помощью параметра disk-cache-dir.

Задать объём кеша в байтах DiskCacheSize Yandex. Задать объем кеша в байтах

Политика позволяет задать объем кеша в байтах. Значение используется различными подсистемами в браузере как справочное. Поэтому фактический объем используемого дискового пространства может превышать указанное значение, но будет иметь такой же порядок.

Если политика находится в состоянии «Не сконфигурировано», браузер использует объем кеша по умолчанию.

Если политика находится в состоянии «Включено», браузер использует заданный размер кеша независимо от параметра --disk-cache-size. Указывается максимальный размер кеша в байтах. Например, 104857600 — это 100 МБ.

Если политика находится в состоянии «Отключено», браузер использует объем кеша по умолчанию, но пользователи могут менять размер кеша с помощью параметра --disk-cache-size.

Блокировать внешние расширения (Заблокировать установку внешних расширений) BlockExternalExtensions Yandex. Блокировать внешние расширения

Политика позволяет запретить установку внешних расширений.

Если политика находится в состоянии «Отключено» или «Не сконфигурировано», установка внешних расширений разрешена.

Если политика находится в состоянии «Включено», установка внешних расширений запрещена.

Блокировка URL'ы из заданного списка URLBlocklist Yandex. Блокировка доступа к списку URL

Политика блокирует доступ к URL и локальным файлам, которые внесены в черный список.

Если политика находится в состоянии «Отключено» или «Не сконфигурировано», браузер не блокирует URL.

Если политика находится в состоянии «Включено», страницы запрещенных URL не загружаются. В политике можно перечислить шаблоны запрещенных URL. Политика не действует на URL со встроенным кодом JavaScript и динамически загружаемые данные.

Общий формат шаблона URL: scheme://host:port/path, где:

  • scheme — схема обращения к ресурсу (например, http, https). Если префикс scheme:// не задан, блокируются все пути и все протоколы (http, https, ftp и т.д.). Блокировать внутренние URL с префиксом browser:// и chrome:// не рекомендуется;
  • host — полное доменное имя или IP-адрес хоста. Имя или IP-адрес хоста должны быть указаны обязательно. По умолчанию блокируются все субдомены хоста. Чтобы этого избежать, можно добавить точку (.) перед именем хоста. Звездочка (*) блокирует все домены;
  • port — номер порта. Можно указать номер от 1 до 65535. Если номер не указан, блокируются все порты;
  • path — URL-адрес.

Yandex. Блокировка доступа к списку URL

Общий формат шаблона локального файла file://path, где:

  • file — путь до конкретного файла .html;
  • path — абсолютный путь к каталогу с файлами (все пути, для которых path является префиксом, будут внесены в список).
Задать исключения для политики URLBlocklist (Разрешить доступ к списку URL) URLAllowlist Yandex. Разрешить доступ к списку URL

Политика позволяет внести в белый список URL или локальный файл. Белый список разрешает доступ к явно перечисленным в нем URL и файлам, даже если они попадают под действие шаблонов из черного списка (см. описание политики «Блокировать URL'ы из заданного списка»).

Если политика находится в состоянии «Отключено» или «Не сконфигурировано», исключений из правила URLBlocklist нет.

Если политика находится в состоянии «Включено», указанные URL становятся доступны пользователям и считаются исключениями из правила URLBlocklist. Политика позволяет настроить исключения для определенных протоколов, субдоменов, отдельных доменов, портов или путей. Политика URLAllowlist имеет приоритет над правилом URLBlocklist. В этом правиле можно указать не более 1000 URL.

Форматы шаблонов см. в описании политики «Блокировать URL'ы из заданного списка».

Разрешить вызывать окно выбора файлов AllowFileSelectionDialogs Yandex. Разрешить вызывать окно выбора файлов

Политика разрешает или запрещает отображать окно выбора файлов и управляет настройками загрузки.

Если политика находится в состоянии «Включено» или «Не сконфигурировано», пользователи могут открывать окна выбора файлов (импорт закладок или паролей, загрузка файлов, сохранение ссылок и т. д.). Также пользователи могут сохранить файл с помощью контекстного меню и изменять настройки в разделе «Загруженные файлы» («Настройки» → «Инструменты» → «Загруженные файлы»).

Если политика находится в состоянии «Отключено» и пользователь выполняет действия, для которых нужно открыть окно выбора файла (например, импорт закладок, загрузка файлов, сохранение ссылок и т. д.), вместо окна отображается сообщение и имитируется нажатие пользователем кнопки «Отмена» в окне выбора файлов. Также пользователи не могут сохранить файл из контекстного меню и изменять настройки в разделе «Загруженные файлы».

Ограничить инструменты разработчика DeveloperToolsAvailability Yandex. Установить ограничения на использование инструментов разработчика

Политика ограничивает использование инструментов разработчика.

Если политика находится в состоянии «Отключено» или «Не сконфигурировано», инструменты разработчика и консоль JavaScript запрещены только для расширений, ограниченных корпоративной политикой.

Если политика находится в состоянии «Включено» можно установить ограничение на использование инструментов разработчика. Доступны следующие параметры:

  • «Запретить»:
    Yandex. Инструменты разработчика запрещены
  • «Запретить для расширений, установленных в соответствии с корпоративной политикой, и разрешить во всех остальных случаях»
  • «Разрешить»
Управлять настройками расширений ExtensionSettings Yandex. Управлять расширениями

Политика управляет настройками расширений в «Яндекс.Браузере». Заменяет любые другие политики по настройке расширений.

Если политика находится в состоянии «Отключено» или «Не сконфигурировано» пользователи могут самостоятельно настраивать расширения.

Если политика находится в состоянии «Включено», настройки расширений задает администратор с помощью кода, указанного в параметрах политики:

  • идентификатор расширения или URL обновления привязывается только к одной конкретной настройке;
  • идентификатор * действует на все расширения, для которых в политике не задана отдельная конфигурация;
  • если указан URL обновления, заданная конфигурация применяется ко всем расширениям, в манифесте которых приведен этот URL.

Yandex. Настройки расширения задает администратор

Пример значения:

{
  "hdokiejnpimakedhajhdlcegeplioahd": {
    "installation_mode": "force_installed",
    "update_url": "https://clients2.google.com/service/update2/crx"
  },
  "pioclpoplcdbaefihamjohnefbikjilc": {
    "installation_mode": "force_installed",
    "update_url": "https://clients2.google.com/service/update2/crx"
  }
}

Поля политики:

  • allowed_types — типы приложений и расширений, которые пользователям разрешено устанавливать в Браузере: (допустимые строки: «extension», «hosted_app», «legacy_packaged_app», «tplatform_appeme», «theme», «user_script»). Используется только для настройки конфигурации по умолчанию со значением *;
  • blocked_install_message — уведомление (не более 1000 символов), которое будет появляться на устройствах пользователей при попытке установить запрещенные расширения;
  • blocked_permissions — запрещает пользователям устанавливать и запускать расширения, требующие разрешений API (список доступных разрешений указан в манифесте расширения);
  • installation_mode — указывает, разрешено ли добавлять заданные расширения. Допустимые режимы:
    • allowed — пользователи могут установить это расширение (поведение по умолчанию);
    • blocked — пользователи не могут установить это расширение;
    • removed — пользователи не могут установить это расширение. Если расширение было установлено, оно будет удалено;
    • force_installed — расширение устанавливается автоматически. Пользователи не могут его удалить. В этом режиме необходимо указать ссылку для скачивания расширения (параметр update_url);
    • normal_Installed — расширение устанавливается автоматически. Пользователи могут его удалить. В этом режиме необходимо указать ссылку для скачивания расширения (параметр update_url);
  • install_sources — список URL страниц, с которых разрешено загружать и устанавливать расширения. Необходимо разрешить URL расположения CRX-файла и страницы, с которой начинается скачивание (то есть URL перехода);
  • minimum_version_required — отключает расширения (в том числе установленные принудительно) более ранних версий, чем определено этим параметром. Формат строки версии аналогичен формату, который используется в манифесте расширения;
  • update_url — определяет, откуда загружается расширение. Можно указать URL интернет-магазина Chrome, Opera или использовать XML-файл:
  • override_update_url — указывает, что для всех последующих обновлений расширения будет использоваться URL из поля update_url или update в политике ExtensionInstallForcelist. Если это политика не настроена или отключена, будет использоваться URL из манифеста расширения;
  • verified_contents_url — указывает путь до файла extension.verified_contents. С его помощью расширение проверяется на доверие (используется, если нет доступа в интернет);
  • runtime_allowed_hosts — разрешает взаимодействие расширений с указанными сайтами, даже если они указаны в поле runtime_blocked_hosts. Можно указать до 100 сайтов;
  • runtime_blocked_hosts — запрещает расширениям взаимодействовать с указанными сайтами или изменять их, в том числе вставлять скрипты, получать доступ к файлам cookie и изменять веб-запросы. Можно указать до 100 сайтов.

Файлы настроек политики

Все настройки политики хранятся в {GUID GPT}/Machine/Registry.pol.

Пример Registry.pol:

PReg[Software\Policies\YandexBrowser;BlockExternalExtensions;;;]
[Software\Policies\YandexBrowser\URLBlocklist;https://mail.ru;; ;https://mail.ru]
[Software\Policies\YandexBrowser\AutoOpenFileTypes;pdf;;pdf]
[Software\Policies\YandexBrowser;HomepageLocation;;4;https://docs.altlinux.org]

Настройка политики

На рабочей станции

Шаг 1. На машине с установленными ADMC и GPUI получить ключ Kerberos для администратора домена.

Шаг 2. В ADMC создать новый объект групповой политики (GPO) и связать его с OU.

Шаг 3. Запустить GPUI:

  • из модуля удаленного управления базой данных конфигурации (ADMC), выбрав в контекстном меню объекта групповой политики пункт «Изменить…»:
    ADMC. Контекстное меню объекта групповой политики
  • или с указанием каталога групповой политики:
    $ gpui-main -p "smb://dc1.test.alt/SysVol/test.alt/Policies/{50A474C5-8097-4EBF-A503-0DAB29176FC6}"
    
    где dc1.test.alt – имя контроллера домена, а {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXXX} – GUID шаблона групповой политики для редактирования.

Откроется окно редактирования групповых политик.

Шаг 4. Перейти в «Компьютер» -> «Административные шаблоны» -> «Яндекс» -> «Яндекс.Браузер»:

GPUI. Политики настройки Яндекс-браузера

Шаг 5. При выборе политики откроется диалоговое окно настройки политики. Можно не задавать настройку политики, включить или отключить. Если выбрать параметр «Включено», в разделе «Опции» в можно задать дополнительные параметры:

Диалоговое окно настройки политики

На машине Windows

Шаг 1. На машине с установленным RSAT открыть консоль «Управление групповыми политиками» (gpmc.msc).

Шаг 2. Создать новый объект групповой политики (GPO) и связать его с OU.

Шаг 3. В контекстном меню GPO выбрать пункт «Редактировать». Откроется редактор GPO.

Шаг 4. Перейти в «Конфигурация компьютера» -> «Политики» -> «Административные шаблоны» -> «Яндекс» -> «Яндекс.Браузер»:

GPME. Политики настройки веб-браузера Яндекс

Шаг 5. Дважды щелкнуть левой кнопкой мыши на политике, откроется диалоговое окно настройки политики. Можно не задавать настройку политики, включить или отключить. Если выбрать параметр «Включить», в разделе «Опции» в можно задать дополнительные параметры:

Настройки политики «Настройка URL домашней страницы» в RSAT