在设备上安装 Windows 版 Google 凭据提供程序 (GCPW) 之前,您需要先确定 Google 与 Windows 之间的密码同步方式、为支持团队授予设备访问权限,并确定如何处理现有的 Windows 配置文件。
注意 :GCPW 不支持 USB 安全密钥。如果您强制使用安全 密钥,用户仍然可以使用 Android 和 iOS 内置 的安全密钥登录设备。或者,当系统提示进行两步验证时,用户可以点击“试试其他方式”,然后使用其他两步验证方法(如有的话)。如果没有其他方法可用,用户将无法登录设备。要修改您的两步验证 方法,请参阅两步验证设置 指南。
完成这些初步设置步骤后,您就可以在 Windows 设备上安装 GCPW 了。
第 1 步:确定密码管理策略
在 Windows 10 或 11 设备上安装 GCPW 后,用户可以使用其 Google 账号密码登录。随后,GCPW 会自动将用户登录到其 Windows 配置文件和 Chrome 浏览器。为了使此自动登录功能正常运行,Google 账号密码和 Windows 密码必须保持同步。
您可以通过以下两种方式保持密码同步:使用 Google(推荐)或使用同步工具将密码更新从 Active Directory、Microsoft Entra ID 或其他第三方工具推送到 Google。
无论采用哪种方法,用户都只需管理 Google 密码。用户无法通过设备上的 Ctrl+Alt+Delete 屏幕重置密码,因为 GCPW 屏蔽了该功能。
如果不允许某些用户(例如学生)管理自己的密码,您必须在管理控制台中重置和更新用户密码。
使用 Google 管理控制台管理密码
将本地 Windows 配置文件与 Google 账号关联时的推荐做法
如果您使用 Google 管理控制台管理 密码,并且用户通过 Google 账号更改其 密码,则您无需执行任何操作。GCPW 会自动将用户的 Google 账号密码与其 Windows 密码同步。当用户使用新密码登录设备(设备已连接到互联网)时,系统会进行同步。
注意 :
- 如果用户将 Windows 配置文件与 Microsoft 账号(例如 @outlook.com 和 @hotmail.com)关联,那么 GCPW 将无法在 Microsoft 账号和 Google 账号之间同步密码。当用户更改其 Microsoft 账号密码时,必须手动更改其 Google 账号密码。否则,系统会显示密码同步错误。
- 如果用户使用受 AD 支持的 Windows 配置文件,且设备无法连接到 AD 服务器,则可能无法通过此方法同步密码。我们建议您改用下一种方法。
使用 Active Directory、Entra ID 或第三方工具管理密码
将受 AD 支持的 Windows 配置文件与 Google 账号关联时的推荐做法
如果您使用 Active Directory、Entra ID 或其他工具管理 Windows 设备上的密码,请通过 G Suite Password Sync (GSPS) 或其他工具同步 Google 账号密码和 Windows 密码。
注意 :采用此方法时,用户仍应在其 Google 账号中管理密码。我们建议您在要求用户重置密码时使用 Google 管理控制台,而不是 AD 或其他工具。您仍然可以使用 AD 或其他工具,但用户必须先重置其 Microsoft 密码,然后再重置其 Google 密码以保持一致。
如果某些用户不允许更改自己的密码,您必须重置 其密码,以便他们在管理 控制台中进行更改。如果您在 AD 或其他工具中重置用户的密码,用户将无法通过“密码不正确”错误,因为他们无法更改自己的 Google 账号密码。
第 2 步:确保密码复杂度等级兼容
设置用户 Google 账号的密码复杂度 要求,使其不低于 Active Directory 或 Windows 密码 的要求。如果 Google 密码的要求较低,用户可能会将密码更改为不符合 Windows 密码要求的密码。用户必须再次更改其 Google 密码以满足 Windows 密码要求,才能访问其 Windows 账号。
第 3 步:确定如何管理 GCPW 设置
设置 GCPW 后,用户必须等到您设置允许登录的网域后,才能通过 GCPW 登录。您还可以停用 Windows 设备管理中的自动注册功能、管理自动更新,以及要求用户在设定的时间后进行在线登录。您可以在管理控制台或每台设备上的注册表设置中管理这些设置。
- 管理控制台 \- 如果贵单位所有人都拥有相同的允许登录的网域,则可以使用此方法。您可以根据单位部门设置其他选项。通过此方法,您不仅能轻松查看 GCPW 的设置方式,还能更高效地更改设置,因为系统会自动将设置推送到所有设备。
- 注册表设置 \- 如果您想在不同设备上允许不同的 网域登录,则可以使用此方法。在此情况下,您无法通过管理控制台查看设备的设置方式,因此需要自行保留相关记录。如果您需要更新或添加设置,则必须更新每台设备。
第 4 步:将用户的 Google 账号与现有 Windows 配置文件相关联
如果 Windows 设备上已存在为用户的工作账号设置的 Windows 配置文件,则您可以设置 GCPW,以便将现有配置文件和 Google 账号相关联。
如果您未将 Windows 配置文件与 Google 账号相关联,则 GCPW 会为 Google 用户/账号登录创建新的 Windows 配置文件。拥有本地配置文件的用户仍然可以登录其他配置文件,但 AD 用户将无法访问其他配置文件。了解用户在安装 GCPW 后如何使用现有的 Windows 配置文件登录 Windows。
了解如何将 Google 账号与现有 Windows 配置文件相关联。
第 5 步:如果使用 Windows 设备管理,请向您的支持团队授予设备访问权限
请确保您的支持团队(Active Directory 用户、Active Directory 组和本地用户)已获得正确的本地管理员权限。如需了解详情, 请参阅管理 Windows 10 或 11 设备的账号设置。
第 6 步:如果使用 Windows 设备管理,请制定自动注册计划
如果您自动部署 GCPW,则可以跳过此步骤。
默认情况下,GCPW 会自动将通过 GCPW 登录设备的第一位用户注册到 Windows 设备管理(当为该用户启用 Windows 设备管理时)。如果贵组织手动部署软件,设置设备的人员可能不是您希望通过 Windows 设备管理进行管理的用户。如果设置设备的人员通过 GCPW 登录,则可能会注册该人员,而不是预期的用户。由于 Microsoft Windows 管理限制,每台设备只能有一位用户注册到 Windows 设备管理,因此如果设置设备的人员已注册,则不会应用预期用户的设置。
您可以通过以下方式管理或避免设置设备的人员自动注册:
- 如果设置设备的人员使用本地管理员账号(而不是通过其 Google 账号)登录,就无法注册 Windows 设备管理。
- 如果设置设备的人员通过 GCPW 登录(使用具有特权的账号或工作账号设置设备),您可以为这类账号所属的组织部门停用自动注册功能。
- 如果您允许设置设备的人员自动注册,则可以在将设备交给预期用户之前取消注册该用户。了解如何操作
Google、Google Workspace 以及相关标志和徽标是 Google LLC 的商标。其他所有公司名和产品名是其各自相关公司的商标。