GPO – Déployer et Configurer Google Chrome en Entreprise

Mise a jour le 17/02/2021 – A partir de Chrome version 85 (64 bits), l’installation se fait dans C:\Program Files\ et non plus dans C:\Program Files (x86)\

Cette procédure décrit comment l’administrateur d’un domaine peut déployer (installer et mettre a jour) Google Chrome automatiquement aux membres de son domaine.

A l’aide d’une GPO de déploiement logiciels, un administrateur pourra attribuer lui même le logiciel Google Chrome à des groupes d’utilisateur pour qui l’application s’installera automatiquement au démarrage de leur Ordinateur.


Important : La GPO “MAJ Logiciels” et le dossier partagé doivent être paramétrés. Voir : Déploiement et mise a jour de logiciels par GPO sur Serveur AD


Déploiement, configuration et personnalisation de Google Chrome

Ouvrir “\\Dc1\GPOlogs$” en cliquant sur le raccourci du bureau

Copier dans ce dossier (\\Dc1\GPOlogs$) les fichiers nécessaires a l’installation des logiciels :

Télécharger le pack des fichiers de configuration : GPO Google Chrome

Télécharger Google Chrome, en version complète ICI (Chrome pour les entreprises)

Résultat : Le dossier \\DC1\GPOlogs$ doit ressembler a l’image ci-dessous (Fusionner, adapter au besoin si des fichiers identiques sont déjà présents)

Cliquer sur “Startup – Raccourci” et déplacer a l’intérieur le fichier “logiciels.bat” (Fusionner, adapter au besoin si déjà présent)

Pour modifier le fichier “Logiciels.bat” faire clic droit, modifier

Ci dessous, le contenu de ce fichier “logiciels.bat”, a ADAPTER en fonction des versions que vous souhaitez installer :

Explication : (Attention aux guillemets lors d’un copier coller)

:: x64     (Commentaire pour info : Système 64 Bits)

if not exist “%programfiles%\Google\Chrome\Application\chrome.exe” msiexec /i “\\DC1\GPOlogs$\GoogleChromeStandaloneEnterprise64.msi” /quiet    (Si Chrome n’est pas présent, alors il sera installé) – Note : Vous pouvez supprimer cette ligne si Chrome est déjà installé sur les postes clients

for /f “tokens=3” %%a in (‘reg query “HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Google\Update\ClientState\{8A69D345-D564-463C-AFF1-A69D9E530F96}” ^| find “pv”‘) do if %%a NEQ 85.0.4183.83 msiexec /i “\\DC1\GPOlogs$\GoogleChromeStandaloneEnterprise64.msi” /quiet   (Vérification dans la base de registre de la version de Chrome, si la version n’est pas égale a 85.0.4183.83 alors il sera mis a jour a cette version)

regedit /S “\\DC1\GPOlogs$\regx64.reg”     (Modification de la base de registre pour système 64 bits, voir détail plus bas dans le guide)


Information : pour connaitre la version de Google Chrome : Clic droit, Propriétés, Détails


Ci dessous, le contenu du fichier “regx64.reg” : modification du registre pour système 64 bits. (Identique pour système 32 bits)

Pour modifier le fichier “regx64.reg” faire clic droit, modifier

Explication :

Windows Registry Editor Version 5.00     (Base de registre Windows)

(Suppression des taches planifiées de mise a jour Google Update)
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\GoogleUpdateTaskMachineCore] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\GoogleUpdateTaskMachineUA]


Configuration des GPO de Google Chrome

Tuto configuration magasin central : Intégrer GPO Windows 8.1 ou Windows 10 au Serveur 2008 R2, 2012 R2, 2016 ou 2019

Copier les GPO ADMX Google Chrome dans votre Magasin Central

\\serveur\SYSVOL\Nom_de_domaine\Policies\PolicyDefinitions

Copier les traductions ADML des GPO Google Chrome dans le dossier fr-FR de votre Magasin Central

\\serveur\SYSVOL\Nom_de_domaine\Policies\PolicyDefinitions\fr-FR


Création d’un nouvel Objet GPO “Google Chrome”. Après création, faire clic droit modifier

ACTIVER :

  • Activer la barre des favoris (Activé)
  • Définir Google Chrome comme navigateur par défaut (Windows 7 et 8) (Activé)
  • Forcer Google SafeSearch (filtrage des recherches) (Activé)
  • Facultatif : Importer les favoris du navigateur par défaut a la première exécution (Activé)
  • Facultatif : Importer les mots de passe enregistrés du navigateur par défaut a la première exécution (Activé)
  • Toujours demander ou enregistrer les fichiers (Activé)

DESACTIVER :

  • Activer Chrome Cleanup sur Windows (Désactivé)
  • Activer la collecte des données anonymes incluant les URL (Désactivé)
  • Facultatif : Activer la mise à jour des composants de Google Chrome (Désactivé) – (Laisser “Non configuré” pour utiliser certains composants)
  • Facultatif : Activer la suppression de l’historique du navigateur et de l’historique des téléchargements (Désactivé)
  • Activer le mode Invité dans le navigateur (Désactivé)
  • Afficher le raccourci des applications dans la barre de favoris (Désactivé)
  • Autoriser l’envoi de statistiques d’utilisation et de rapports d’erreur (Désactivé)
  • Contrôler comment Chrome Cleanup transmet des données a Google (Désactivé)
  • Autoriser l’ajout de personnes dans le gestionnaire d’utilisateurs

Activer : Afficher le bouton Accueil sur la barre d’outils

Activer : Disponibilité du mode navigation privée : Mode de navigation privée désactivé

Activer : Permet de créer des copies itinérantes pour les données de profil Google Chrome

Les paramètres stockés dans les profils Google Chrome, comme les favoris, les données de saisie automatique et les mots de passe, entre autres, sont également enregistrés dans un fichier stocké dans le dossier des profils utilisateur itinérants.

Les informations relatives au profil itinérant de chaque utilisateur sont conservées dans un fichier nommé “profile.pb”. Par défaut, ce fichier se trouve dans le dossier “%APPDATA%\Google\Chrome”.

Activer l’enregistrement des mots de passe dans le gestionnaire de mots de passe

Activer : Paramètres de connexion au navigateur (Autoriser la connexion a Chrome) : Désactiver la connexion au navigateur

l’utilisateur ne peut pas utiliser la synchronisation Chrome mais peut toujours se connecter aux services Web Google comme Gmail.

Configuration de la page de “Démarrage”, “Accueil” et “Nouvel Onglet”

1ere Solution - Utiliser une URL

Activer : Configurer l’URL de la page d’accueil

Désactiver : Utiliser la page “Nouvel onglet” comme page d’accueil

Activer : Configurer l’URL de la page “Nouvel onglet”

2eme Solution - Utiliser Nouvel Onglet

Activer : Action au démarrage : Ouvrir la page “Nouvel Onglet”

Activer : Utiliser la page “Nouvel onglet” comme page d’accueil


Paramètres de Contenu

Activer : Paramètre de Géolocalisation par défaut : Interdire a tous les sites de suivre la position géographique des utilisateurs

Activer : Paramètre de Notification par défaut : Interdire a tous les sites d’afficher des notifications sur le bureau

Activer : Paramètre de fenêtres pop-up par défaut : Interdire a tous les sites d’afficher des fenêtres pop-up

Activer : Autoriser les fenêtres pop-up sur ces sites (ou les notifications)

Pour autoriser le domaine et ses sous-domaines, utilisez “[*.]” devant le “Nom de Domaine”.

Exemple :   [*.]pc2s.fr     [*.]adobe.com

Note : le paramétrage est identique pour Autoriser les notifications sur ces sites


Définir Google Chrome comme navigateur par défaut (Windows 10)

Suivre ce Tuto : GPO – Configurer les Associations de Fichiers par défaut

Autre solution en version autonome

Configuration ordinateur, Stratégies, Modèles d’administration, Composants Windows, Explorateur de fichiers

Définir un fichier de configuration des associations par défaut : \\DC1\GPOlogs$\chromedefault.xml


Désactiver les mises a jour

Activer : Update policy override default : Updates disabled

Activer : Auto-update check period override : 0


Ajouter automatiquement des extensions

information pour connaitre l’ID d’une extension :

Aller sur le Chrome Web Store, choisissez votre extension et notez son identifiant en fin de la barre d’adresse, sans ” ?hl=fr “

Exemple : https://chrome.google.com/webstore/detail/adblock-plus-free-ad-bloc/cfhdojbkjhnklbpkdaibdccddilifddb

Activer : Configurer la liste des applications et des extensions dont l’installation est forcée

Exemple pour AdBlock Plus, ajouter la valeur de l’ID : cfhdojbkjhnklbpkdaibdccddilifddb

Facultatif, si l’installation échoue : Ajouter ” ;https://clients2.google.com/service/update2/crx ” après l’identifiant : cfhdojbkjhnklbpkdaibdccddilifddb;https://clients2.google.com/service/update2/crx

Activer : Configurer la liste de blocage concernant l’installation des extensions

Ajouter “*” bloque l’installation de toutes les extensions, sauf si elles sont spécifiquement répertoriées dans la liste d’autorisation


Legacy Browser Support permet de basculer automatiquement vers un autre navigateur. Si un site Web nécessite un autre navigateur, l’URL s’ouvre automatiquement dans ce dernier.

ACTIVER :

  • Activer la fonctionnalité “Legacy Browser Support” (Activé)
  • Navigateur secondaire a lancer pour les sites Web configurés (Activé) – Exemple : ${ie} , ${firefox} , ${safari} or ${opera}
  • Sites Web a ouvrir dans le navigateur secondaire (Activé) – Exemple : “https://www.pc2s.fr/”


Commandes utiles et résultat sur poste client :

Chrome://policy : permet de vérifier les GPO utilisées dans Chrome


Importer des mots de passe :

  • 1ère Solution : Chrome://flags – Password import – Enabled : Permet d’importer les mots de passe après une exportation

  • 2ème Solution : Lancer Chrome.exe avec la commande ” –enable-features=PasswordImport “

Télécharger la commande : Google Chrome – Password Import

“%ProgramFiles%\Google\Chrome\Application\chrome.exe” –enable-features=PasswordImport


Note : Les informations sur les règles ci dessous sont pour l’historique. Ne pas les utiliser !

Règles Obsolètes

Facultatif : Activer : Restreindre les comptes Google autorisés a être définis comme comptes de navigation principaux

Seul les comptes Google se terminant par “@pc2s.fr” pourront se connecter et utiliser la synchronisation de profil de compte.

Pour utiliser cette stratégie, configurer “Paramètres de connexion au navigateur” sur “Non configuré”

Activer : Définir le répertoire de données utilisateur – (Attention au anti-slash : ” \ ” )

${roaming_app_data}\ChromeData

Activer : Définir le répertoire du cache disque – (Attention au anti-slash : ” \ ” )

${local_app_data}\ChromeCache

Activer : Configurer la liste noire d’installation des extensions

Ajouter “*” revient a bloquer l’installation de toutes autres applications non forcée

Règles Supprimées

Activer : Paramètre par défaut pour le plug-in “Flash” : Bloquer le plug-in “Flash”

Activer : Autoriser le plug-in “Flash” sur ces sites