Mise a jour le 27/06/2019 : Modèles GPO ADMX
Cette procédure décrit comment l’administrateur d’un domaine peut déployer (installer et mettre a jour) Google Chrome automatiquement aux membres de son domaine.
A l’aide d’une GPO de déploiement logiciels, un administrateur pourra attribuer lui même le logiciel Google Chrome à des groupes d’utilisateur pour qui l’application s’installera automatiquement au démarrage de leur Ordinateur.
Information Importante : Strategies GPO Essentielles et Arborescence Active Directory (Unité d’Organisation)
Création du dossier partagé sur le Serveur Controleur de Domaine Active Directory qui contiendra les logiciels et les fichiers de configurations
Créer un dossier “GPOlogs” et partager ce dossier en tant que « GPOlogs$ » (partage administratif = invisible dans le voisinage réseau).
Droits du partage : tout le monde = contrôle total
Modification de la Sécurité du dossier : Utilisateurs authentifiés = contrôle total
Ce groupe est autorisé dans une GPO, (vérification lors de la création de la GPO, plus bas dans le guide)
Onglet sécurité, Avancé, Désactiver l’héritage,
Convertir les autorisations héritées en autorisations explicites sur cet objet
Supprimer les 2 lignes Utilisateurs et Créateur Propriétaire.
Cliquer Sélectionnez un principal, inscrire utilisateur puis Vérifier les noms.
Choisir Utilisateurs authentifiés, OK.
OK
Cocher Contrôle total, OK.
Cocher Remplacer toutes les entrées d’autorisations des objets enfants ….. puis Appliquer et OUI.
OK et Fermer
Voila, nous venons de créer le partage réseau UNC suivant : \\Dc1\GPOlogs$
Créer un raccourci de ce dossier sur le bureau :
Création d’un nouvel Objet GPO :
Exemple du nom a donner :
Une fois l’objet créé, Utilisateurs authentifiés est autorisé dans le filtrage de sécurité :
Clic droit sur cette GPO, puis modifier : (suivre le screen) et double clic sur “Démarrage” :
Cliquer sur ajouter puis donner un nom a ce script “logiciels.bat”, puis OK :
Cliquer sur “Afficher les fichiers” :
Créer un raccourci sur le bureau du dossier “Startup” (comme ci-dessous) :
Fermer la fenêtre puis Appliquer, OK et Fermer l’éditeur de cette GPO.
Résultats :
ATTENTION : GPO Ordinateur ! Donc vérifier que le ou les ordinateurs sont bien dans le groupe Utilisateurs de l’Active Directory (ou dans un de ses dossiers enfants)
Déploiement, configuration et personnalisation de Google Chrome
Ouvrir “\\Dc1\GPOlogs$” en cliquant sur le raccourci du bureau et déplacer le raccourci du dossier “Startup” a l’intérieur :
Copier dans ce dossier (\\Dc1\GPOlogs$) les fichiers nécessaires a l’installation des logiciels :
Télécharger le pack des fichiers de configuration : GPO Google Chrome
Les installeurs “msi” x86 et x64 de Google Chrome, sont a télécharger en version complète ICI (Chrome pour les entreprises)
Résultat : Le dossier \\DC1\GPOlogs$ doit ressembler a l’image ci-dessous
Cliquer sur “Startup – Raccourci” et déplacer a l’intérieur le fichier “logiciels.bat” :
Pour modifier le fichier “Logiciels.bat” faire clic droit, modifier
Ci dessous, le contenu de ce fichier “logiciels.bat”, a ADAPTER en fonction des versions que vous souhaitez installer :
Explication :
if exist “%programfiles(x86)%” goto x64 (Détection du système 32 bits ou 64 bits : si 64 bits aller a x64 (Système 64 Bits))
goto x86 (Sinon, aller a Système 32 Bits)
:x86 (Système 32 Bits)
if not exist “%programfiles%\Google\Chrome\Application\75.0.3770.100” msiexec /i “\\DC1\GPOlogs$\googlechromestandaloneenterprise.msi” /quiet (Vérification de la version de Chrome. Si le dossier 75.0.3770.100 n’existe pas, alors il sera mis a jour ou installé si Chrome n’est pas présent)
regedit /S “\\DC1\GPOlogs$\regx86.reg” (Modification de la base de registre pour système 32 bits, voir détail plus bas dans le guide)
goto END (Aller a la FIN)
:x64 (Système 64 Bits)
if not exist “%programfiles(x86)%\Google\Chrome\Application\75.0.3770.100” msiexec /i “\\DC1\GPOlogs$\GoogleChromeStandaloneEnterprise64.msi” /quiet (Vérification de la version de Chrome. Si le dossier 75.0.3770.100 n’existe pas, alors il sera mis a jour ou installé si Chrome n’est pas présent)
regedit /S “\\DC1\GPOlogs$\regx64.reg” (Modification de la base de registre pour système 64 bits, voir détail plus bas dans le guide)
goto END (Aller a la FIN)
:END (FIN)
Information : pour connaitre la version de Google Chrome : Clic droit, Propriétés, Détails
Ci dessous, le contenu du fichier “regx64.reg” : modification du registre pour système 64 bits. (Identique pour système 32 bits)
Pour modifier le fichier “regx64.reg” faire clic droit, modifier
Explication :
Windows Registry Editor Version 5.00 (Base de registre Windows)
(Suppression des taches planifiées de mise a jour Google Update)
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\GoogleUpdateTaskMachineCore]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\GoogleUpdateTaskMachineUA]
Configuration des GPO de Google Chrome
Tuto configuration magasin central : Intégrer GPO Windows 8.1 ou Windows 10 au Serveur 2008 R2, 2012 R2, 2016 ou 2019
Copier les GPO ADMX Google Chrome dans votre Magasin Central
\\serveur\SYSVOL\Nom_de_domaine\Policies\PolicyDefinitions
Copier les traductions ADML des GPO Google Chrome dans le dossier fr-FR de votre Magasin Central
\\serveur\SYSVOL\Nom_de_domaine\Policies\PolicyDefinitions\fr-FR
Création d’un nouvel Objet GPO “Google Chrome”. Après création, faire clic droit modifier
ACTIVER :
- Activer la barre des favoris (Activé)
- Définir Google Chrome comme navigateur par défaut (Windows 7 et 8) (Activé)
- Facultatif : Forcer Google SafeSearch (filtrage des recherches) (Activé)
- Facultatif : Importer les favoris du navigateur par défaut a la première exécution (Activé)
- Facultatif : Importer les mots de passe enregistrés du navigateur par défaut a la première exécution (Activé)
- Toujours demander ou enregistrer les fichiers (Activé)
DESACTIVER :
- Activer la collecte des données anonymes incluant les URL (Désactivé)
- Activer la mise à jour des composants de Google Chrome (Désactivé)
- Activer la suppression de l’historique du navigateur et de l’historique des téléchargements (Désactivé)
- Activer l’affichage de la page de bienvenue au premier lancement du navigateur suivant la mise a jour de l’OS (Désactivé)
- Activer le mode Invité dans le navigateur (Désactivé)
- Afficher le raccourci des applications dans la barre de favoris (Désactivé)
- Autoriser l’envoi de statistiques d’utilisation et de rapports d’erreur (Désactivé)
Activer : Afficher le bouton Accueil sur la barre d’outils
Activer : Disponibilité du mode navigation privée : Mode de navigation privée désactivé
Activer : Définir le répertoire de données utilisateur
${roaming_app_data}/ChromeData
Activer : Définir le répertoire du cache disque
${local_app_data}/ChromeCache
Activer l’enregistrement des mots de passe dans le gestionnaire de mots de passe
Activer : Configurer l’URL de la page d’accueil
Désactiver : Utiliser la page “Nouvel onglet” comme page d’accueil
Activer : Configurer l’URL de la page “Nouvel onglet”
Définir Google Chrome comme navigateur par défaut (Windows 10)
Configuration ordinateur, Stratégies, Modèles d’administration, Composants Windows, Explorateur de fichiers
Définir un fichier de configuration des associations par défaut : \\DC1\GPOlogs$\chromedefault.xml
Désactiver les mises a jour
Activer : Update policy override default : Updates disabled
Activer : Auto-update check period override : 0
Ajouter automatiquement des extensions
information pour connaitre l’ID d’une extension :
Aller sur le Chrome Web Store, choisissez votre extension et notez son identifiant en fin de la barre d’adresse.
Puis ajouter “;http://clients2.google.com/service/update2/crx” après cet identifiant.
Exemple pour AdBlock Plus : cfhdojbkjhnklbpkdaibdccddilifddb;http://clients2.google.com/service/update2/crx
Activer : Configurer la liste des applications et des extensions dont l’installation est forcée
Ajouter AdBlock Plus : cfhdojbkjhnklbpkdaibdccddilifddb;http://clients2.google.com/service/update2/crx
Activer : Configurer la liste noire d’installation des extensions
Ajouter “*” revient a bloquer l’installation de toutes autres applications non forcée
Commandes utiles et résultat sur poste client :
Chrome://policy : permet de vérifier les GPO utilisées dans Chrome
Chrome://flags – Password import – Enabled : Permet d’importer les mots de passe après une exportation
Pour aller plus loin, vous pouvez combiner ce tuto avec celui ci : Deploiement et mise a jour de logiciels par GPO sur Serveur AD
