安装 Windows 版 Google 凭据提供程序

作为管理员,您可以设置 Windows 版 Google 凭据提供程序 (GCPW),让用户使用组织或学校的 Google 账号登录 Windows 10 或 11 设备。对于公司自有设备,您或您组织中的其他 IT 专业人员需要在这些设备上设置 GCPW。对于用户拥有管理员权限的个人设备,您可以让用户安装 GCPW。

要求

许可要求

  • GCPW(独立式产品)- 支持此功能的版本:“Frontline Starter”和“Frontline Standard”;商务新手版、商务标准版和商务 Plus 版;企业标准版和企业 Plus 版;教育基础版、教育标准版、教与学升级版、教育 Plus 版和教育端点管理升级;EssentialsEnterprise EssentialsEnterprise Essentials Plus;G Suite 基本版和 G Suite 商务版;Cloud Identity 免费版和 Cloud Identity 专业版。 比较您的版本
  • 支持 Windows 设备管理的 GCPW 设备 - 支持此功能的版本:“Frontline Starter”和“Frontline Standard”;商务 Plus 版;企业标准版和企业 Plus 版;教育标准版、教育 Plus 版和教育端点管理升级;“Enterprise Essentials”和“Enterprise Essentials Plus”;Cloud Identity 专业版。 比较您的版本

系统要求

  • Windows 10 或 11(专业版、工作站专业版、企业版或教育版)。
  • Chrome 浏览器 81 版或更高版本(稳定版),安装时已获得管理员权限。
  • Google Chrome (100 MB) 和 GCPW (3 MB) 的可用磁盘空间。
  • 您需要设备的管理员权限才能运行安装程序,您也可以使用软件部署工具将安装程序部署到设备。
  • GCPW 与移动设备管理的第三方提供商不兼容。

准备工作 - 为部署做好准备

  1. 如果您尚未安装,请准备安装 GCPW 并在设备上安装 Chrome 浏览器。
  2. 如果您打算使用 Chrome 浏览器云管理,请先设置它,然后再安装 GCPW。有关详情,请参阅设置 Chrome 浏览器云管理

第 1 步:下载 GCPW

以下步骤介绍了如何手动设置 GCPW,您也可以使用应用分发工具或 PowerShell 脚本分发和安装 GCPW。有关详情,请参阅 PowerShell 示例脚本

  1. 登录您的 Google 管理控制台

    请使用您的管理员帐号(不是以“@gmail.com”结尾的帐号)登录。

  2. 在管理控制台中,依次点击“菜单”图标 接着点击 设备接着点击移动设备和端点接着点击设置接着点击Windows
  3. 点击 点击 Windows 版 Google 凭据提供程序设置 接着点击 下载 GCPW
  4. 下载 64 位或 32 位 GCPW 安装文件并将其分发到设备。

第 2 步:设置 GCPW 允许的网域和可选设置

根据您的目标,使用对应的配置方法:

  • 要将相同的设置应用到贵组织中的所有 Windows 设备,最简单的方法就是使用管理控制台。
  • 要将不同的设置应用到不同的设备,请将管理控制台中的设置保留为未配置,然后在每台设备上修改注册表设置。

注意:如果您同时配置了管理控制台中的设置,则管理控制台设置会覆盖注册表设置。

在管理控制台中配置 GCPW 设置(推荐)

要使用 GCPW,您必须设置允许的网域。要在管理控制台中设置允许的网域,设备必须拥有注册令牌。设置令牌有几种方式:

  • 如果您从管理控制台下载了 GCPW,您的安装文件会自动设置令牌,您可以继续操作。
  • 如果您之前为 Chrome 浏览器云管理设置了注册令牌,则您可以通过这些令牌在管理控制台中管理 GCPW 设置。
  • 如果您是通过传统下载页面 (https://tools.google.com/dlpage/gcpw/) 下载的 GCPW,则您的安装文件不包含令牌。如果没有令牌,您将无法在管理控制台中更改允许的网域,但可以修改以下位置的设置:设备 接着点击 移动设备和端点 接着点击 设置 接着点击 Windows 设置 接着点击 GCPW 设置。如果需要,请在设备上设置 GCPW 令牌

在管理控制台中修改设置

准备工作:如果您需要为此设置设定部门或团队,请参阅添加组织部门

  1. 登录您的 Google 管理控制台

    请使用您的管理员帐号(不是以“@gmail.com”结尾的帐号)登录。

  2. 在管理控制台中,依次点击“菜单”图标 接着点击 设备接着点击移动设备和端点接着点击设置接着点击Windows
  3. 点击 Windows 版 Google 凭据提供程序 (GCPW) 设置 接着点击 允许的网域
  4. 输入允许使用 GCPW 登录的网域。如果您不添加任何网域,则所有用户都无法通过 GCPW 登录。
  5. 点击保存。最长可能需要一小时允许的网域的设置才会同步至设备。

    “允许的网域”是唯一一个必填的设置。如需配置其他 GCPW 设置,请接着执行后续步骤。

  6. 在页面顶部的面包屑导航中,点击 Windows 设置
  7. 点击 GCPW 设置
  8. (可选)要将设置应用于某个部门或团队,请在侧边选择一个组织部门显示具体方法
  9. 点击以下任一设置并根据需要进行更新:
    设置 说明和设置
    自动更新 GCPW

    要在 Windows 设备上自动安装新版本的 GCPW,请勾选自动更新 GCPW 对应的复选框(默认情况下处于选中状态)。

    要仅允许更新到特定版本,请勾选更新到特定版本后,禁止继续更新对应的复选框,然后输入允许更新的最新版本。如果您想先测试最新版本然后再为所有用户部署,则建议您采用此方法。

    注意:您必须在批准版本后更新此设置,用户才能获得新功能和安全更新。如果您输入的版本早于设备上安装的版本,系统不会将 GCPW 回滚到旧版本。

    要停用 GCPW 自动更新功能(不推荐),请取消选中自动更新 GCPW 对应的复选框。
    管理多个账号

    要允许多个 Google Workspace 帐号通过 GCPW 登录设备,请选择已启用。如果您使用 Window 设备管理,即使您允许多个帐号使用 GCPW,每台设备也只能有一位用户注册 Windows 设备管理。

    要仅允许单个 Google Workspace 帐号通过 GCPW 登录设备,请选择已停用

    如果将该值设置为尚未配置,除非您在设备上将 enable_multi_user_login 注册表设置设为 0,否则系统将允许多个 Google Workspace 帐号登录设备。
    注册设备管理服务

    如果贵单位使用 Windows 设备管理服务,您可以让设备在用户首次通过 GCPW 登录时自动注册。

    如果您未勾选自动注册设备管理服务对应的复选框,而贵单位使用了 Windows 设备管理服务,除非您在设备上将 enable_dm_enrollment 注册表项设为 1,否则就必须手动注册设备
    离线访问

    要限制用户能够通过 GCPW 离线登录其设备的时长,请将该值更改为已启用,然后设置天数。

    设置的期限到期后,用户必须连接到互联网才能登录设备。

    如果将该值设置为尚未配置,除非您在设备上设置了 validity_period_in_days 注册表设置,否则用户可以无限期离线登录。
  10. 点击保存。或者,您也可以针对 组织部门 点击覆盖

    如果之后要恢复继承的值,请点击继承

系统会每隔 1 小时将 GCPW 设置同步到设备上,因此最长可能需要 1 小时您的设置才能应用于设备,用户才能通过 GCPW 登录。

使用设备的注册表设置配置 GCPW

如果您不是通过管理控制台中的设置管理 GCPW,或者想为不是在管理控制中配置的设置设定值,您可以在每台设备上的注册表中设置。

以下说明介绍了如何手动设置注册表项,但您或拥有管理员权限的用户也可以使用 PowerShell 脚本设置注册表项。

注意:如果您在管理控制台和设备的注册表中配置了 GCPW,则管理控制台设置会覆盖注册表设置。

  1. 配置允许指定网域中的用户使用 GCPW 登录的必需注册表项,以及贵组织所需的任何其他注册表项。

    注意:以下说明介绍了如何手动设置注册表项,但您或用户也可以使用 PowerShell 脚本设置注册表项。

    设置 默认行为和手动设置

    必需:指定允许使用 GCPW 登录的网域。

    注意:设置此注册表项后,用户才能使用 GCPW 登录。

    默认:不允许任何网域使用 GCPW 登录

    设置

    1. 在 Windows 的“开始”菜单中,点击运行
    2. 在“运行”对话框中,输入 regedit
    3. 在注册表编辑器中,转到 HKEY_LOCAL_MACHINE\Software\Google,右键点击 Google,然后点击新建 接着点击 以创建文件夹。
    4. 将文件夹命名为 GCPW
    5. 右键点击 GCPW文件夹,然后点击新建 接着点击 字符串值
    6. 输入 domains_allowed_to_login 作为名称。
    7. 双击该名称,然后在数值数据框中输入允许的域名(以英文逗号分隔)。例如:example.com, example.org, example.net
    8. 点击确定
    在 Windows 设备管理中关闭自动注册

    默认:1(自动注册设备)

    设置

    1. 在注册表编辑器中,右键点击 GCPW 文件夹,然后点击新建 接着点击 DWORD
    2. 输入 enable_dm_enrollment 作为名称。
    3. 双击名称,然后在数值数据框中输入 0。如果您想要重置该项以允许自动注册,请将值更改为 1
    4. 点击确定
    要求用户在设备离线一段时间后在线登录

    默认:没有值(不强制要求在线登录)

    设置

    1. 在注册表编辑器中,右键点击 GCPW 文件夹,然后点击新建 接着点击 DWORD
    2. 输入 validity_period_in_days 作为名称。
    3. 双击名称,然后在数值数据框中输入两次使用 GCPW 在线登录之间间隔的天数。

      例如,如果您输入 5,则用户需要在设备离线 5 天后在线登录。如果您输入 0,则用户在设备与互联网断开连接后便需立即在线登录。

    4. 点击确定
    仅允许一位用户使用 Google 账号登录设备

    默认:允许多位用户使用自己的 Google 账号登录设备。如果您使用 Window 设备管理,即使您允许多个账号使用 GCPW,每台设备也只能有一位用户注册 Windows 设备管理。

    设置

    1. 在注册表编辑器中,右键点击 GCPW 文件夹,然后点击新建 接着点击 DWORD
    2. 输入 enable_multi_user_login 作为名称。
    3. 双击名称,然后在数值数据框中输入 0。如果您想要重置该项以允许在设备上自动支持多个账号,请将值更改为 1
    4. 点击确定
    允许用户在借助 GCPW 首次登录时使用其现有的本地 Windows 配置文件(无需点击添加工作账号

    默认:使用 GCPW 登录时不使用现有的本地配置文件。用户在首次登录时必须点击添加工作账号

    设置

    1. 在注册表编辑器中,右键点击 GCPW 文件夹,然后点击新建 接着点击
    2. 将该项命名为 Users
    3. 右键点击 Users 文件夹,然后点击新建 接着点击
    4. 将该项命名为用户的 Windows 账号 SID(安全标识符)。要查找用户的 SID,请参阅相关 Microsoft 文档。
    5. 右键点击 SID 文件夹,然后点击新建 接着点击 字符串值
    6. 输入 email 作为名称。
    7. 双击该名称,在数值数据框中,输入您要与用户的本地 Windows 账号关联的工作账号。请使用用户的完整电子邮件地址,例如 <用户名>@<您的公司名称>.com
    8. 点击确定
    让 GCPW 设置一个新的 Windows 账号名称,该名称仅为相应用户的工作或学校账号的用户名部分。

    默认:在用户首次登录(您未将 Google 账号与现有 Windows 配置文件相关联或者不存在 Windows 配置文件)时,GCPW 会创建 Windows 配置文件,然后系统会采用“用户名_域名”这样的格式从用户电子邮件地址提取账号名称。

    设置

    1. 在注册表编辑器中,右键点击 GCPW 文件夹,然后点击新建 接着点击 DWORD
    2. 输入 use_shorter_account_name 作为名称。
    3. 双击该名称,然后在数值数据框中输入 1。
    4. 点击确定
  2. 重新启动设备。

第 3 步. 安装 GCPW

您可以通过以下几种方式安装 GCPW:

  • 手动安装,如本部分所述。
  • 使用 PowerShell 脚本。有关详情,请参阅 PowerShell 示例脚本
  • 使用第三方应用分发工具或作为 PC 系统映像的组成部分安装。

手动安装 GCPW

  1. 在设备上,运行安装程序。您可以双击安装文件,也可以通过命令提示符运行该文件:
    1. 打开命令提示符。
    2. 要安装 64 位客户端,请以管理员身份运行 gcpwstandaloneenterprise64.exe。要安装 32 位客户端,请以管理员身份运行 gcpwstandaloneenterprise.exe。要在静默模式下运行安装程序,请添加参数 /silent /install

    安装过程将创建 4 个文件:

    • C:\Program Files\Google\CredentialProvider\<版本号>\Gaia.dll
    • C:\Program Files\Google\CredentialProvider\<版本号>\gcp_setup.exe
    • C:\Program Files\Google\CredentialProvider\<版本号>\gcp_eventlog_provider.dll
    • C:\Program Files\Google\CredentialProvider\<版本号>\extension\gcpw_extension.exe
  2. (可选)要帮助 Google 改进 GCPW,您可以在设备上为 GCPW 启用自动报错功能

第 4 步:管理 GCPW 设备

用户体验

管理员管理

  • 用户首次登录后,您可以在管理控制台中查看设备详细信息
  • 如果您需要重置用户密码,我们强烈建议您在管理控制台中为用户重置其密码。如果您要求通过 AD 或其他工具重置密码,他们就必须更新自己的 Windows 密码,然后再更新 Google 账号密码以使两者相匹配。无权更新自己密码的用户(例如学生)将无法访问自己的账号。

使用 PowerShell 脚本设置 GCPW

您可以使用 Microsoft PowerShell 脚本下载并安装 GCPW,以及视情况设置注册表项。我们建议您使用管理控制台管理 GCPW 设置。

注意:如果您使用示例脚本,Google 将不会对此提供支持。在使用 PowerShell 示例脚本之前,您应该具备使用该脚本的经验。

示例脚本

此脚本会从传统的公开网站下载并安装 GCPW(不含组织专有令牌),然后配置必需的注册表项(仅允许特定网域中的账号登录设备)。要使用该脚本,请将其复制到文本编辑器中,然后在第 11 行中输入允许的网域。如果您想通过管理控制台管理 GCPW 设置,请从管理控制台获取令牌,然后使用相应脚本来设置包含该令牌的注册表项

<# 该脚本将从 https://tools.google.com/dlpage/gcpw/ 下载 Windows 版 Google 凭据提供程序,然后进行安装和配置。
必须拥有 Windows 管理员访问权限才能使用该脚本。#>

<# 将以下项设置为您想要允许用户登录的网域。

例如:
$domainsAllowedToLogin = "solarmora.com,altostrat.com"
#>

$domainsAllowedToLogin = ""

Add-Type -AssemblyName System.Drawing
Add-Type -AssemblyName PresentationFramework

<# 检查是设置了一个还是多个网域 #>
if ($domainsAllowedToLogin.Equals('')) {
    $msgResult = [System.Windows.MessageBox]::Show('网域列表不能为空!请修改此脚本。', 'GCPW', 'OK', 'Error')
    exit 5
}

function Is-Admin() {
    $admin = [bool](([System.Security.Principal.WindowsIdentity]::GetCurrent()).groups -match 'S-1-5-32-544')
    return $admin
}

<# 检查当前用户是否为管理员,如果不是则退出。#>
if (-not (Is-Admin)) {
    $result = [System.Windows.MessageBox]::Show('请以管理员身份运行!', 'GCPW', 'OK', 'Error')
    exit 5
}

<# 选择要下载的 GCPW 文件。在 32 位和 64 位版本中,该文件的名称不同 #>
$gcpwFileName = 'gcpwstandaloneenterprise.msi'
if ([Environment]::Is64BitOperatingSystem) {
    $gcpwFileName = 'gcpwstandaloneenterprise64.msi'
}

<# 下载 GCPW 安装程序。#>
$gcpwUrlPrefix = 'https://dl.google.com/credentialprovider/'
$gcpwUri = $gcpwUrlPrefix + $gcpwFileName
Write-Host 'Downloading GCPW from' $gcpwUri
Invoke-WebRequest -Uri $gcpwUri -OutFile $gcpwFileName

<# 运行 GCPW 安装程序,然后等待安装完成 #>
$arguments = "/i `"$gcpwFileName`""
$installProcess = (Start-Process msiexec.exe -ArgumentList $arguments -PassThru -Wait)

<# 检查是否安装成功 #>
if ($installProcess.ExitCode -ne 0) {
    $result = [System.Windows.MessageBox]::Show('安装失败!', 'GCPW', 'OK', 'Error')
    exit $installProcess.ExitCode
}
else {
    $result = [System.Windows.MessageBox]::Show('已顺利完成安装!', 'GCPW', 'OK', 'Info')
}

<# 设置必需的注册表项,将其值设为允许的网域 #>
$registryPath = 'HKEY_LOCAL_MACHINE\Software\Google\GCPW'
$name = 'domains_allowed_to_login'
[microsoft.win32.registry]::SetValue($registryPath, $name, $domainsAllowedToLogin)

$domains = Get-ItemPropertyValue HKLM:\Software\Google\GCPW -Name $name

if ($domains -eq $domainsAllowedToLogin) {
    $msgResult = [System.Windows.MessageBox]::Show('已顺利完成配置!', 'GCPW', 'OK', 'Info')
}
else {
    $msgResult = [System.Windows.MessageBox]::Show('无法写入注册表。配置未完成。', 'GCPW', 'OK', 'Error')

}

相关主题


“Google”、Google Workspace 以及相关标志和徽标是 Google LLC 的商标。其他所有公司名和产品名是其各自相关公司的商标。

该内容对您有帮助吗?

您有什么改进建议?

需要更多帮助?

请尝试以下步骤:

向帮助社区发帖 向社区成员寻求答案
与我们联系 向我们提供更多信息,以便我们帮您解决问题
true
立即开始免费试用 14 天

专业电子邮件地址、在线存储空间、共享日历、视频会议等工具一应俱全。立即开始免费试用 G Suite

搜索
清除搜索内容
关闭搜索框
主菜单
3884473692480884895
true
搜索支持中心
true
true
true
true
true
73010
false
false