GPO – Déployer et Configurer Google Chrome en entreprise

Cette procédure décrit comment l’administrateur d’un domaine peut déployer (installer et mettre a jour) Google Chrome automatiquement aux membres de son domaine. A l’aide d’une GPO de déploiement logiciels, un administrateur pourra attribuer lui même le logiciel Google Chrome à des groupes d’utilisateur pour qui l’application s’installera automatiquement au démarrage de leur Ordinateur.

Information Importante : Strategies GPO Essentielles et Arborescence Active Directory (Unité d’Organisation)


Création du dossier partagé sur le Serveur Controleur de Domaine Active Directory qui contiendra les logiciels et les fichiers de configurations

Créer un dossier “GPOlogs” et partager ce dossier en tant que « GPOlogs$ » (partage administratif = invisible dans le voisinage réseau).

Droits du partage : tout le monde = contrôle total

Modification de la Sécurité du dossier : Utilisateurs authentifiés = contrôle total

Ce groupe est autorisé dans une GPO, (vérification lors de la création de la GPO, plus bas dans le guide)

Onglet sécurité, Avancé, Désactiver l’héritage,

Convertir les autorisations héritées en autorisations explicites sur cet objet

Supprimer les 2 lignes Utilisateurs et Créateur Propriétaire.

Cliquer Sélectionnez un principal, inscrire utilisateur puis Vérifier les noms.

Choisir Utilisateurs authentifiés, OK.

OK

Cocher Contrôle total, OK.

Cocher Remplacer toutes les entrées d’autorisations des objets enfants ….. puis Appliquer et OUI.

OK et Fermer

Voila, nous venons de créer le partage réseau UNC suivant : \\Dc1\GPOlogs$

Créer un raccourci de ce dossier sur le bureau :

Création d’un nouvel Objet GPO :

Exemple du nom a donner :

Une fois l’objet créé, Utilisateurs authentifiés est autorisé dans le filtrage de sécurité :

Clic droit sur cette GPO, puis modifier : (suivre le screen) et double clic sur “Démarrage” :

Cliquer sur ajouter puis donner un nom a ce script “logiciels.bat”, puis OK :

Cliquer sur “Afficher les fichiers” :

Créer un raccourci sur le bureau du dossier “Startup” (comme ci-dessous) :

Fermer la fenêtre puis Appliquer, OK et Fermer l’éditeur de cette GPO.

Résultats :

ATTENTION : GPO Ordinateur ! Donc vérifier que le ou les ordinateurs sont bien dans le groupe Utilisateurs de l’Active Directory (ou dans un de ses dossiers enfants)


Déploiement, configuration et personnalisation de Google Chrome

Ouvrir “\\Dc1\GPOlogs$” en cliquant sur le raccourci du bureau et déplacer le raccourci du dossier “Startup” a l’intérieur :

Copier dans ce dossier (\\Dc1\GPOlogs$) les fichiers nécessaires a l’installation des logiciels :

Télécharger le pack des fichiers de configuration : GPO Google Chrome

Les installeurs “msi” x86 et x64 de Google Chrome, sont a télécharger en version complète ICI (Chrome pour les entreprises)

Résultat : Le dossier \\DC1\GPOlogs$ doit ressembler a l’image ci-dessous

Cliquer sur “Startup – Raccourci” et déplacer a l’intérieur le fichier “logiciels.bat” :

Pour modifier le fichier “Logiciels.bat” faire clic droit, modifier

Ci dessous, le contenu de ce fichier “logiciels.bat”, a ADAPTER en fonction des versions que vous souhaitez installer :

Explication :

if exist “%programfiles(x86)%” goto x64     (Détection du système 32 bits ou 64 bits : si 64 bits aller a x64 (Système 64 Bits))
goto x86     (Sinon, aller a Système 32 Bits)

:x86     (Système 32 Bits)

if not exist “%programfiles%\Google\Chrome\Application\chrome.exe” msiexec /i “\\DC1\GPOlogs$\googlechromestandaloneenterprise.msi” /quiet     (Si Chrome.exe n’est pas présent alors il sera installé)

if not exist “%programfiles%\Google\Chrome\Application\72.0.3626.81” msiexec /i “\\DC1\GPOlogs$\googlechromestandaloneenterprise.msi” /quiet     (Vérification de la version de Chrome. Si le dossier 72.0.3626.81 n’existe pas, alors il sera mis a jour)

regedit /S “\\DC1\GPOlogs$\regx86.reg”    (Modification de la base de registre pour système 32 bits, voir détail plus bas dans le guide)

goto END     (Aller a la FIN)

:x64     (Système 64 Bits)

if not exist “%programfiles(x86)%\Google\Chrome\Application\chrome.exe” msiexec /i “\\DC1\GPOlogs$\GoogleChromeStandaloneEnterprise64.msi” /quiet     (Si Chrome.exe n’est pas présent alors il sera installé)

if not exist “%programfiles(x86)%\Google\Chrome\Application\72.0.3626.81” msiexec /i “\\DC1\GPOlogs$\GoogleChromeStandaloneEnterprise64.msi” /quiet     (Vérification de la version de Chrome. Si le dossier 72.0.3626.81 n’existe pas, alors il sera mis a jour)

regedit /S “\\DC1\GPOlogs$\regx64.reg”     (Modification de la base de registre pour système 64 bits, voir détail plus bas dans le guide)

goto END     (Aller a la FIN)

:END     (FIN)


Information : pour connaitre la version de Google Chrome : Clic droit, Propriétés, Détails


Ci dessous, le contenu du fichier “regx64.reg” : modification du registre pour système 64 bits. (Identique pour système 32 bits)

Pour modifier le fichier “regx64.reg” faire clic droit, modifier

Explication :

Windows Registry Editor Version 5.00     (Base de registre Windows)

(Suppression des taches planifiées de mise a jour Google Update)
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\GoogleUpdateTaskMachineCore] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\GoogleUpdateTaskMachineUA]


Configuration des GPO de Google Chrome

Tuto configuration magasin central : Intégrer GPO Windows 8.1 ou Windows 10 au Serveur 2008 R2, 2012 R2, 2016 ou 2019

Copier les GPO ADMX Google Chrome dans votre Magasin Central

\\serveur\SYSVOL\Nom_de_domaine\Policies\PolicyDefinitions

Copier les traductions ADML des GPO Google Chrome dans le dossier fr-FR de votre Magasin Central

\\serveur\SYSVOL\Nom_de_domaine\Policies\PolicyDefinitions\fr-FR

Création d’un nouvel Objet GPO “Google Chrome”. Après création, faire clic droit modifier

ACTIVER :

  • Activer la barre des favoris (Activé)
  • Afficher le bouton Accueil sur la barre d’outils (Activé)
  • Définir Google Chrome comme navigateur par défaut (Windows 7 et 8) (Activé)
  • Toujours demander ou enregistrer les fichiers (Activé)
  • Facultatif : Forcer Google SafeSearch (filtrage des recherches) (Activé)
  • Facultatif : Importer les favoris du navigateur par défaut a la première exécution (Activé)
  • Facultatif : Importer les mots de passe enregistrés du navigateur par défaut a la première exécution (Activé)

DESACTIVER :

  • Activer la collecte des données anonymes incluant les URL (Désactivé)
  • Activer la mise à jour des composants de Google Chrome (Désactivé)
  • Activer la suppression de l’historique du navigateur et de l’historique des téléchargements (Désactivé)
  • Activer le mode Invité dans le navigateur (Désactivé)
  • Afficher le raccourci des applications dans la barre de favoris (Désactivé)
  • Autoriser l’envoi de statistiques d’utilisation et de rapports d’erreur (Désactivé)
  • Enable showing the welcome page on the first browser launch following OS upgrade (Désactivé)

Activer : Disponibilité du mode navigation privée : Mode de navigation privée désactivé

Activer : Définir le répertoire de données utilisateur

${roaming_app_data}/ChromeData

Activer : Définir le répertoire du cache disque

${local_app_data}/ChromeCache

Activer l’enregistrement des mots de passe dans le gestionnaire de mots de passe

Activer : Configurer l’URL de la page d’accueil

Désactiver : Utiliser la page “Nouvel onglet” comme page d’accueil

Activer : Configurer l’URL de la page “Nouvel onglet”


Définir Google Chrome comme navigateur par défaut (Windows 10)

Configuration ordinateur, Stratégies, Modèles d’administration, Composants Windows, Explorateur de fichiers

Définir un fichier de configuration des associations par défaut : \\DC1\GPOlogs$\chromedefault.xml


Désactiver les mises a jour

Activer : Update policy override default : Updates disabled

Activer : Auto-update check period override : 0


Ajouter automatiquement des extensions

information pour connaitre l’ID d’une extension :

Aller sur le Chrome Web Store, choisissez votre extension et notez son identifiant en fin de la barre d’adresse.

Puis ajouter “;http://clients2.google.com/service/update2/crx” après cet identifiant.

Exemple pour AdBlock Plus : cfhdojbkjhnklbpkdaibdccddilifddb;http://clients2.google.com/service/update2/crx

Activer : Configurer la liste des applications et des extensions dont l’installation est forcée

Ajouter AdBlock Plus : cfhdojbkjhnklbpkdaibdccddilifddb;http://clients2.google.com/service/update2/crx

Activer : Configurer la liste noire d’installation des extensions

Ajouter “*” revient a bloquer l’installation de toutes autres applications non forcée


Commandes utiles et résultat sur poste client :

Chrome://policy : permet de vérifier les GPO utilisées dans Chrome

Chrome://flags – Password import – Enabled : Permet d’importer les mots de passe après une exportation


Pour aller plus loin, vous pouvez combiner ce tuto avec celui ci : Deploiement et mise a jour de logiciels par GPO sur Serveur AD