作为 Microsoft Windows 管理员,您可以使用 Google 更新为用户管理 Chrome 浏览器和 Chrome 应用的更新方式,并可通过组策略管理编辑器来管理 Google 更新设置。
您可以转到 chrome://policy,通过 Chrome 政策列表查看为计算机设置的 Google 更新政策的值。
注意:系统只会为已加入网域或通过移动设备管理 (MDM) 服务进行管理的计算机应用组策略为计算机设置的政策。因此,您必须确保所有设备都已加入 Windows 域控制器或 Microsoft Entra ID 网域,或是通过 MDM 进行管理。
第 1 步:安装 Google 更新
您可以使用管理模板安装和指定 Google 更新政策。Microsoft Windows 7 及更高版本支持 ADM 和 ADMX 模板。请根据您的 Windows 网络下载合适的 Google 更新政策模板:
Microsoft Windows Vista 及更高版本:
- 下载并解压缩基于 XML 的管理模板 (ADMX)。
- 打开 GoogleUpdateAdmx 文件夹。
- 将 google.admx 和 GoogleUpdate.admx 复制到 Policy Definitions(策略定义)文件夹(例如:C:\Windows\PolicyDefinitions)。
- 将 GoogleUpdateAdmx/en-US 文件夹中的 google.adml 和 GoogleUpdate.adml 文件复制到 Policy Definitions(策略定义)文件夹下的 en-US 文件夹(例如:C:\Windows\PolicyDefinitions\en-US)。
- 打开组策略,然后转到计算机配置
策略
Microsoft XP
- 下载管理模板 (ADM)。
- 将 GoogleUpdate.adm 文件复制到 Policy Definitions(策略定义)文件夹中(例如:C:\Windows\PolicyDefinitions)。
- 打开组策略,然后转到计算机配置
第 2 步:配置自动更新
适用于 Chrome 浏览器以及通过 Google 更新管理的所有应用。
使用组策略
我们建议您让自动更新功能保持启用状态,以便用户能及时收到重要的安全修复程序和新功能。
在组策略(计算机配置文件夹)中:
- 转到 Google
Google Update(Google 更新)
- 启用 Update policy override default(更新政策覆盖默认值)政策。
- 在 Options(选项)下方,选择 Allow Updates (recommended)(允许更新 [推荐])。
- 前往 Google
Google Update(Google 更新)您可以使用具体应用文件夹中的更新政策覆盖政策,视情况为个别应用覆盖此设置。
如果您需要停止 Chrome 浏览器更新,可以停用自动更新功能,并禁止用户自行手动更新浏览器。 即使您停用更新功能,Google 更新仍会继续检查是否有新的更新。
重要提示:我们不建议您停用浏览器更新功能。这会使系统无法将软件修复程序和安全补丁程序应用至 Chrome 浏览器。同时,您还会面临崩溃和安全漏洞的风险。如果您必须停用更新功能,请确保您配备为整个网络及时进行更新的流程。然而,最好还是制定方案来尽快重新启用更新功能。
在组策略(计算机配置文件夹)中:
- 转到 Google
- 启用 Update policy override(更新政策覆盖)。
- 在 Options(选项)下方,选择 Disable updates(停用更新)。
如果您已停用 Chrome 浏览器更新功能,请确保用户的计算机也已停用此功能:
- 在每位用户的计算机上,打开 Chrome 浏览器,然后点击顶部的更多图标
- 点击左侧的菜单图标
您应该会看到一条提示,告知您管理员已停用更新功能。
注意:停用所有应用更新后,系统不会将软件修复程序和安全补丁程序自动应用至所有 Google 软件。
在组策略(计算机配置文件夹)中:
- 转到 Google
- 启用 Update policy override default(更新政策覆盖默认值)。
- 在 Options(选项)下方,选择 Disable updates(停用更新)。
即使停用了应用更新,Google 更新仍会自行更新。
仅适用于 Chrome 浏览器组件
即使您停用 Chrome 浏览器的更新功能,浏览器组件(如 Widevine DRM)也不会自动停止更新。
在组策略(计算机配置文件夹)中:
- 转到 Google
- 停用 Enables component updates in Google Chrome(允许更新 Google Chrome 中的组件)。
- 点击 Apply(应用)。
注意:此政策并不适用于所有组件。如需例外组件的完整列表,请参阅 ComponentUpdatesEnabled。
第 3 步:自定义更新
适用于 Chrome 浏览器以及通过 Google 更新管理的所有应用。
您可以禁止系统在特定时间段(例如您单位的工作高峰期)进行自动更新。
使用组策略
在组策略(计算机配置或用户配置文件夹)中:
- 转到 Google
- 启用 Time period in each day to suppress auto-update check(每天禁止自动更新检查的时间段)。
- 在“选项”下方,为时、分和时长设置所需的值,以禁止 Google 更新在您指定的时间段内检查更新。
注意:“时长”是唯一的必填字段,且必须至少输入 1。
仅适用于 Chrome 浏览器更新。
您可以指定要让 Windows 计算机将 Chrome 浏览器更新到哪个版本(主要里程碑版本或特定完整版本)。对于运行 Chrome 浏览器稳定渠道的计算机,Google 会在几周内逐步将浏览器更新到新版本。有时,更新可能需要更长时间。
- 使用 xx. 语法指定主要里程碑版本 - 只要您指定的里程碑版本属于稳定版的主要版本,计算机就可以继续接收此版本的安全更新。Chrome 浏览器会在次要版本全面推出后更新到最新的次要版本。这可能需要几周的时间。
- 使用 xx.xx.xx.xx 语法指定完整版本 - 计算机会在您指定的确切版本可用时更新到该版本。
一般来说,我们建议您使用适用于主要里程碑版本的语法 (xx.),确保设备始终为该里程碑版本的最新版本。不过,有时您可能需要使用适用于完整版本的语法 (xx.xx.xx.xx) 来指定特定版本。例如,您可能需要部署重要的安全修复,Google 更新的速度不符合业务需求,或者,特定版本已通过贵单位内部测试的验证。
有时由于出现错误或出于安全修复的需要,必须使用新的次要版本,因此旧的次要版本可能不会全面推出。如果您使用适用于完整版本的语法 (xx.xx.xx.xx),则您部署的版本可能不是最新版本或存在已知错误。
警告:将 Chrome 浏览器更新固定到特定版本只是临时做法,例如在测试新版 Chrome 浏览器时。请不要忘记为用户的计算机取消固定,否则用户将无法及时获取重要的安全更新,还会错过新功能。
使用组策略
在组策略(计算机配置文件夹)中:
- 转到 Google
- 启用 Target version prefix override(目标版本前缀覆盖)。
- 在“Options”(选项)下,输入您希望用户接收的 Chrome 浏览器版本。
如果您想将更新固定到已发布的最高主要版本,请在版本号后添加英文句点 (.)。例如,输入 90. 即可让浏览器更新到 Chrome 90 的已发布最高版本。
注意:版本号最多只能由 4 部分组成,例如 90.0.3945.117。
仅适用于 Chrome 浏览器更新。您必须自行承担使用此政策所带来的风险。
为了确保用户受到最新安全更新的保护,我们建议使用最新版本的 Chrome 浏览器。将 Rollback to Target version(回滚到目标版本)政策与 Target version prefix override(目标版本前缀覆盖)政策搭配使用,即可将 Windows 计算机上的 Chrome 浏览器临时回滚到特定版本。运行早期版本的 Chrome 浏览器会使您的用户面临已知的安全问题。
每次完成主要版本更新后,Chrome 浏览器会在设备本地存储一份用户信息快照。默认情况下,系统会保留最近的三个快照。您可以使用组策略指定要在用户设备上保留多少快照。有关详情,请参阅在版本降级期间保留数据。
如果您未在用户设备上保留快照(限制为供执行紧急回滚时使用而保留的用户数据快照的数量政策设为 0),则系统会自动删除每位用户的浏览数据,除非您执行下列操作之一:
- Turn on Chrome sync(启用 Chrome 同步):您可以使用组策略为所有用户启用 Chrome 同步功能,或建议他们自行启用。有关详细信息,请参阅强制要求用户登录 Chrome 浏览器。回滚后,用户需要重新登录 Chrome 浏览器才能查看已同步的信息。
- 启用漫游用户个人资料:如果您在 Chrome 浏览器中启用漫游个人资料政策,当您组织中登录 Windows 计算机的用户打开 Chrome 浏览器时,系统会自动显示相应的同步信息。有关详细信息,请参阅将 Chrome 浏览器与漫游用户个人资料搭配使用。
注意:您只能使用此政策回滚到 Chrome 浏览器的最新 3 个主要版本。要了解如何降级到较低的 Chrome 浏览器版本,请参阅降级 Chrome 版本。
使用组策略
在组策略(计算机配置文件夹)中:
- (推荐)为您单位内的所有用户启用 Chrome 同步功能。
- 转到 Google
- 启用 Rollback to Target version(回滚到目标版本)。
- 点击 OK(确定)。
- 启用 Target version prefix override(目标版本前缀覆盖)。
- 在“Options”(选项)下方的 Target version prefix(目标版本前缀)方框中,输入您希望用户回滚到 Chrome 浏览器的哪一个主要版本号。例如,如果您输入 89,系统就会将浏览器回滚到 89 版的最新版本。
- 点击 OK(确定)。
仅适用于 Chrome 浏览器更新。
从 Chrome 90 版开始,Google 更新支持选择 Chrome 浏览器的以下发布渠道:稳定渠道、扩展稳定渠道、Beta 渠道或开发者渠道。默认情况下,Chrome 会采用稳定渠道上的更新。
请参阅 Chrome 浏览器发布渠道了解相关信息,以便帮助您决定用户要采用哪个渠道。
注意事项
- 改用更稳定的渠道 - 当您为浏览器改用更稳定的渠道后(例如从 Beta 渠道改为稳定渠道),较稳定渠道的版本号可能会较低。
例如,稳定渠道的版本号为 90,而 Beta 渠道的版本号则是 91。默认情况下,Chrome 仅会在版本较高的 Chrome 推出时切换版本,而不会降级到较低版本。 - 改用扩展稳定渠道 - 当您改用扩展稳定渠道后,我们建议您使用回滚到目标版本政策,让 Chrome 浏览器回滚到先前版本。否则,Chrome 浏览器可能无法获得最新的安全修复程序。
例如,如果您使用的是 Chrome 95,并从稳定渠道改用扩展稳定渠道,那么浏览器不会再获取 Chrome 95 的安全修复程序。您必须回滚到 Chrome 94(之前的扩展稳定版),Chrome 才会获取安全修复程序。 -
要将 Chrome 切换到版本较低的渠道,请将 TargetChannel 设为所需渠道,并让 Chrome 回滚到您需要的版本。有关详情,请参阅上文中的将 Chrome 浏览器回滚到先前版本。
为 Chrome 浏览器设置稳定渠道或扩展稳定渠道
- (推荐)为您单位内的所有用户启用 Chrome 同步功能。
- 在组策略(计算机配置文件夹)中,转到 Google
- 启用 Target Channel override(目标版本覆盖)。
- 在“Options”(选项)下方,设置“Target Channel”(目标版本)。输入 stable(稳定)或 extended(扩展)。
- 点击 OK(确定)。
- 如要让 Chrome 立即切换到更稳定的版本,请启用 Rollback to Target version(回滚到目标版本)。
- 点击 OK(确定)。
适用于 Chrome 浏览器以及通过 Google 更新管理的所有应用。
您可以增加两次更新检查之间间隔的时间,帮助避免网络中出现带宽用量高峰。不过,如要尽可能减少更新所用的总带宽,我们建议您不要延迟更新。
使用组策略
在组策略(计算机配置或用户配置文件夹)中:
- 转到 Google
- 启用 Auto-update check period override(自动更新检查周期覆盖)。
- 在“Options”(选项)下方的 Minutes between update checks(更新检查间隔分钟数)文本框中,输入一个介于 1 到 43200 之间的值,以指定更新间隔的分钟数。
如果您单位的网络已设置中间代理缓存,您可以用其缓存 Chrome 浏览器更新。从 Google 下载的更新可缓存在大多数网络缓存代理服务器上。代理缓存可缓存和重复使用经常请求的网页,因此可以减少带宽占用并缩短响应时间。
但是,许多代理缓存的默认设置对 Chrome 浏览器更新而言并不是最优的。要确保您的代理缓存软件可以缓存 Chrome 浏览器更新,有经验的 IT 管理员可以配置以下设置:
- 文件大小上限 - 代理可缓存的单个文件的大小上限。系统会以单个文件的形式下载更新,因此请确保可缓存文件大小上限不低于 1 GB。
- 缓存目录大小 - 某些网络缓存代理服务器会将内容缓存在内存中。您也可以将这些服务器配置为缓存到磁盘。无论缓存在内存还是磁盘中,您都需要确保存储空间足够。浏览器从内存检索缓存内容的速度会比从硬盘检索快。
- 网址设置 - 如果服务器允许您为特定网域添加设置,请优先为 dl.google.com/* 和 www.google.com/dl/* 添加。这是设备获取 Chrome 浏览器更新的地方。
- 内存中的内容大小上限 - 服务器不会将大小超过指定值的内容保存在内存中。因此,该值不应设得过低,这样才能将 Chrome 浏览器更新保存在内存中,但也不应太高,从而防止过大的内容占用缓存内存。请将内存中的内容大小上限设为合理的数值,例如 2000 KB。
- 磁盘缓存空间 - 服务器可用于缓存内容的硬盘空间总量。如果您的硬盘空间较大(超过 30 GB),那么您可以提高该设置的值以缓存更多内容。
查看所有 Google 更新政策
您可以使用“偏好设置”政策控制 Google 更新的默认操作。
使用组策略
在组策略(计算机配置文件夹)中:
- 转到 Google
- 启用政策,并设置将应用于“组策略”中列出的所有应用的“选项”(示例如下)
注意:如果在应用层级设置了相冲突的政策,此处设置的政策会被覆盖。
| 政策 | 说明 |
|---|---|
| Auto-update check period override(自动更新检查周期覆盖) | 适用于 Google 更新 1.2.145.5 版 两次自动更新检查之间的最短时间(以分钟为单位)。启用后,此政策会覆盖默认周期。允许的值介于 1 到 43200 分钟之间。 我们建议您不要停用所有自动更新检查。停用后,Windows 注册表中 UpdatedDefault 的值会设为零 (0)。如果您停用了所有自动更新检查,则使用 Google 更新的应用都不再自动更新,并且您也无法更新不提供手动更新功能的应用。如要停止更新特定应用,请改为对该应用使用 Update policy override(更新政策覆盖)政策(详见下文)。 |
| Download URL class override(下载网址类别覆盖) | 适用于 Google 更新 1.3.26.1 版 针对更新响应中返回的有效负载的网址,为更新服务器提供相关提示。目前,您只能选择 cacheable(可缓存)。 启用后,此政策可能会使服务器在响应时提供包含可供下游代理(或类似的内容缓存解决方案)缓存的有效负载。服务器可能会出于负载和其他一些原因而忽略此政策。大多数情况下,更新有效负载都默认无法缓存。这对个人用户使用 Chrome 的情况而言,通常没有影响,但可能会对一些企业环境造成问题。 |
| Time period in each day to suppress auto-update check(每天禁止自动更新检查的时间段) | 适用于 Google 更新 1.3.33.6 版 启用此设置后,系统会每天在某一时刻(几点几分)后的指定时间段(以分钟为单位)内禁止检查更新。 该指定时间段不受夏令时的影响。例如,如果开始时间是 22 点,指定时间段为 480 分钟,则系统会在 8 小时内都禁止更新,而不受夏令时的影响。 |
| Cloud policy takes precedence over group policy(云政策优先级高于组策略) |
适用于 Google 更新 1.3.35.441 版 在管理控制台中启用云政策以覆盖组策略。 |
仅适用于 Google 应用。
您可以使用应用政策控制 Google 更新与某些 Google 应用的交互方式。为个别应用设置的政策会覆盖默认政策。
更改默认应用政策
- 在组策略中,转到 Google
- 为所有应用开放、启用和设置政策选项(详见下文)。
| 政策 | 说明 |
|---|---|
| Allow installation default(允许安装默认值) |
适用于 Google 更新 1.2.145.5 版 注意:为个别应用设置的 Allow installation(允许安装)政策可覆盖此政策。
此政策仅适用于已加入 Microsoft Active Directory 网域的 Windows 实例。 |
| Update policy override default(更新政策覆盖默认值) | 适用于 Google 更新 1.2.145.5 版 指定 Google 软件更新的默认政策。
Google 更新本身的更新不受此设置影响,会持续更新版本。 |
更改特定应用的政策
组策略的“应用”文件夹中包含了所有使用 Google 更新的 Google 应用,而您可以为特定应用设置政策。
- 在组策略中,转到 Google
- 启用您要更改的政策(详见下文)。
| 政策 | 说明 |
|---|---|
| 允许安装 |
适用于 Google 更新 1.2.145.5 版
此政策仅适用于已加入 Microsoft Active Directory 网域的 Windows 实例。 |
|
回滚到目标版本 |
指定 Google 更新应将安装的 Google 应用回滚到由 Target version prefix override(目标版本前缀覆盖)还是 Target channel override(目标版本覆盖)指定的版本。 启用此政策后,如果应用安装的版本高于目标覆盖政策所指定的版本,则应用会回滚到符合目标版本的最高可用版本。 如果未设置目标覆盖值,则此政策不会产生任何影响。 此政策仅适用于已加入 Microsoft Active Directory 网域的 Windows 实例。 |
| 目标版本覆盖 | 指定 Google 应用在收到更新时应遵循的发布版本名称。Google Chrome 支持稳定版、Beta 版和开发者版。 |
| 目标版本前缀覆盖 | 适用于 Google 更新 1.3.33.5 版 指定应将 Google 应用更新到哪个版本。启用此政策后,应用会更新至以政策值为前缀的版本。例如,对于 Google Chrome 来说,输入 90、55.24 或 90.24.34 都是有效值。相较另外两个值而言,输入 90 会让 Google 更新持续获得以 90 开头的发布更新,直到 91 版第一个版本推出为止。 |
| 更新政策覆盖 | 适用于 Google 更新 1.2.145.5 版 指定 Google 更新如何为特定应用处理可用更新。
|
问题排查
如果您在使用 Google 自动更新时遇到问题,请收集相关日志以排查问题。
创建日志文件
Windows:系统级安装
C:\Program Files (x86)\Google\GoogleUpdater\updater.log
Windows:每位用户的安装次数
%LOCALAPPDATA%\Google\GoogleUpdater\updater.log
[Ignoring group policy][machine is not part of a domain]([忽略组策略][设备不属于网域])- Google 更新认为您的计算机并未加入 Windows 域控制器。系统只会为已加入网域的计算机应用组策略为计算机设置的政策,如停用自动更新功能。
[Send][url=https://tools.google.com/service/update2][request=>?xml... - Google 更新向 Google 服务器发送了请求,以确认是否有可用的更新。该请求包含当前应用版本和平台在内的详细信息。Google 服务器根据该详细信息做出响应,提供正确的更新。
[Send response received][result 0x0][status code 200][<?xml... ...status="noupdate"... - 系统已成功完成更新检查,但是 Google 的服务器没有检测到符合客户端请求的更新。
[Send response received][result 0x0][status code 200][<?xml... ...<url codebase="... - 系统已成功完成更新检查,并且 Google 的服务器建议了此应用的更新版本。此响应包括更新版本号,以及可供客户端下载更新二进制文件的一些网址。
您应用任何 Google 更新政策后,用户都必须重启 Chrome 浏览器,相应设置才会生效。请检查用户的设备,确保您设置的 Google 更新政策已正确应用。
- 在受管理的设备上,转到 chrome://policy。
- 点击重新加载政策。
- 选中显示未设定值的政策复选框。
- 滚动到 Google Update Policies(Google 更新政策)。
- 对于您设置的政策,请确保相应状态已设置为正常。
- 对于您设置的政策,请确保政策值与您在政策中设置的值一致。
问题解答
根据管理员选择的安装类型,Google 更新会同时安装到以下两个位置或安装到其中一个位置:
- 按计算机:%ProgramFiles(x86)%\Google\Update
- 按用户:%LOCALAPPDATA%\Google\Update
Google 更新会每小时运行一次,以检查需要执行哪些任务。Google 更新会评估每项政策设置,以确定是否应在该小时内执行任务。
例如,如果您设置 Auto-update check period override(自动更新检查周期覆盖)政策,将检查更新的最短时间间隔改为 480 分钟,那么 Google 更新每个小时都会检查距离上次更新检查的时间是否超过 480 分钟。如果没有,Google Update 将等到下个小时再运行,并再次检查。
同样,您可以设置禁止更新时间段(每天禁止自动检查更新的时间段),Google 更新每小时都会检查当前时间是否在禁止时间段内;如果在,则不会执行更新。Google 更新将等到下个小时再运行,并再次检查。
检查和下载更新时,Chrome 浏览器会向多个网址发送请求。请求发送的顺序是在运行时动态确定的。无论是 HTTP 还是 HTTPS 协议,系统可能都会尝试。下列主机名和路径的网址列表随时可能更改:
- www.google.com/dl/*
- dl.google.com/*
- google.com/dl/*
- *.gvt1.com
- tools.google.com/service/update2
- clients2.google.com
- update.googleapis.com/service/update2
- clients4.google.com
- https://m.google.com/devicemanagement/data/api
- mobile.l.google.com
注意:尽管官方不支持使用缓存方式将 Chrome 浏览器下载到您组织的各台计算机上,您仍可以使用列表中前两个 HTTP 网址为您的组织缓存更新文件。
由于扩展程序平台和 Chrome 网上应用店不断变化,此网址列表可能会随时发生变化:
- clients2.googleusercontent.com/crx/blobs/*
Chrome 浏览器初始安装程序大约为 50 MB。后续每次更新到下一版本的文件大约为 10 - 15 MB。补丁更新通常是 3 - 5 MB。从某一主要版本更新到非连续的后续主要版本通常需要重新进行完整安装。
Google 更新大约每 5 小时检查一次是否有最新的更新版本。在拥有众多 Windows 计算机的大型单位内,系统会在这 5 小时内将各计算机错开更新。
Chrome 企业版安装程序 (MSI) 会为此计算机上的所有用户安装 Chrome。如果您要安装的版本与以前安装在计算机上的版本相同或较新,此安装程序将为所有用户更新 Chrome 浏览器。
如果单个用户的计算机已经安装了 Chrome 浏览器(在该用户的配置文件目录中),则 Chrome 企业版安装程序不会修改相应的安装信息。不过,用户下次在配置文件目录中启动 Chrome 安装程序时,Chrome 会检测已为所有用户安装的 Chrome,自行卸载先前版本,并为所有用户启动更新版本的 Chrome 浏览器。
已知问题
由于防病毒规则的原因,Chrome 浏览器可能无法安装。在安装过程中,安装程序会将文件复制到临时目录,然后将这些文件移动到相应的安装文件夹。在极少数情况下,当杀毒软件运行时,移动操作可能会失败。
相关主题
“Google”以及相关标志和徽标是 Google LLC 的商标。其他所有公司名和产品名是其各自相关公司的商标。