多くのシステム管理者は、Windows PC上のユーザーアクティビティを制御および制限するために、グループポリシーオブジェクト(GPO)を導入しています。これは、ワークステーション上の操作をきめ細かく制御できるため、非常に便利な管理ツールです。システム管理者なら誰でも言うように、GPOは使いやすさと時間節約に大きく貢献するため、非常に価値のあるツールです。
Googleは、管理者がChromeの広範なインストールと管理を自動化できるよう、Chrome MSIインストーラとGPOテンプレートを提供しています。MSIインストーラは、Windowsクライアントにプッシュダウンし、ユーザーの知らないうちに、あるいはユーザーの操作なしにサイレントモードで実行できるインストーラです。GPOテンプレートは、Windowsまたは特定のプログラム(この場合はChrome)の動作に影響を与える設定を定義します。
はじめる
まず、MSIとポリシーテンプレート(ZIPファイル)をダウンロードしてください。テンプレートにはADMとADMXの2種類があります。ADMはWindows Server 2003ドメイン用、ADMXはWindows Server 2008ドメイン用です。この記事では、Server 2003ドメインにGPOを作成します。このGPOを使用するには、MSIインストーラーをネットワーク共有に配置する必要があります。そのためには、「MSI」というフォルダを作成し、Domain Computersグループに共有権限「読み取り」を割り当て、Domain Computersグループにセキュリティ権限「読み取り/実行」を割り当てます。このフォルダにMSIを配置してください。
GPOはマシンまたはユーザーに適用できます。Chromeの場合、ユーザーではなくマシン用のGPOを作成するのが最適です。これにより、どのマシンにログオンするユーザーでもChromeを利用できるようになります。
ドメインコントローラーでグループポリシー管理を開き、ドメイン内のPCを含むOU(通常は「Domain Computers」)を右クリックします。「ここにGPOを作成してリンクする」を選択し、GPOの名前(例:「Chromeインストーラー」)を入力します。新しいGPOがリストに表示されます。
GPOをダブルクリックして設定を編集します。「セキュリティフィルター」で、このGPOを適用するマシンを追加します。最も効率的な方法は、個々のマシンではなくグループを使用することです。Active Directoryは、既定ですべてのドメインコンピューター(ドメインコントローラーを除く)を「ドメインコンピューター」グループに追加します。「追加」をクリックし、「ドメインコンピューター」と入力して「OK」をクリックします。ユーザーアカウントやグループなど、そこにリストされているその他の項目はすべて削除します。(図A)
図A
「設定」タブをクリックすると、GPOが実行するすべてのアクションが表示されます。これは新しいGPOなので、何も表示されていません。これらの設定を編集するには、セクション内の任意の場所を右クリックし、「編集」を選択します。グループポリシーオブジェクトエディターが開き、「コンピューターの構成」と「ユーザーの構成」の2つのセクションが表示されます。このGPOでマシンに対してアクションを実行したいので、「コンピューターの構成」を編集します。「ソフトウェア設定」を展開し、「ソフトウェアのインストール」を選択します。空のペインで右クリックし、「新規」|「パッケージ」を選択します。ネットワーク共有に移動します。UNCパス(例:「\\server1\folder」)を使用することが非常に重要です。MSIを選択すると、ペインに表示されます(図B)。
図B
テンプレートを追加するには、「管理用テンプレート」を選択し、ファイルメニューの「操作」→「テンプレートの追加と削除」をクリックします。「追加」をクリックし、テンプレートの場所を参照し、「windows\adm\en-US」フォルダ構造から「chrome.adm」を選択します。すると、テンプレートが「管理用テンプレート」の下に「Google」として表示されます。フォルダ階層を展開すると、テンプレート内のすべてのポリシーが表示されます。スタートアップページの制御からより高度なポリシーまで、さまざまなポリシーがあります(図C)。注目すべきポリシーは以下のとおりです。
- Chromeをデフォルトのブラウザに設定する
- ユーザーが有効化または無効化できるプラグインのリストを指定します
- 初回起動時にデフォルトのブラウザからブックマークをインポートする
- URLリストへのアクセスをブロックする
- URLリストへのアクセスを許可する
- ユーザーデータディレクトリを設定する
- ホームページのURLを設定する
- パスワードマネージャーを有効にする(常に無効にしておく必要があります)
- 起動時のアクション
図C
必要に応じてポリシーを変更します。完了したら、グループポリシーオブジェクトエディターウィンドウを閉じます。「すべて表示」をクリックして設定を確認します。(図D)
図D
次に、左側のリストで GPO を右クリックし、「GPO の状態」を選択して、「有効」がチェックされていることを確認します。(図 E )
図E
最後に、GPO を適用するためにマシンを再起動します。これにより、Chrome とテンプレートがインストールされます。
こちらもお読みください:
- グループポリシーを使用してリモートデスクトップを構成する
- Windows Server 2012 のグループ ポリシーの新機能
- Chrome拡張機能でブラウジングを効率化
