在设备上安装 Windows 版 Google 凭据提供程序 (GCPW) 之前,您需要先确定 Google 与 Windows 之间的密码同步方式、为支持团队授予设备访问权限,并确定如何处理现有的 Windows 配置文件。
注意:GCPW 不支持 USB 安全密钥。如果您强制使用安全密钥,用户仍可以通过 Android 和 iOS 内置安全密钥登录自己的设备。或者,当系统提示进行两步验证时,用户可以点击“试试其他方式”,然后使用其他两步验证方法(如有的话)。如果没有其他可用的方法,用户将无法登录设备。如需修改两步验证方法,请参阅两步验证设置指南。
完成这些初始设置步骤后,您可以在 Windows 设备上安装 GCPW。
第 1 步:确定密码管理策略
在 Windows 10 或 11 设备上安装 GCPW 后,用户需要使用其 Google 账号密码登录。随后,GCPW 会自动将用户登录到其 Windows 配置文件和 Chrome 浏览器。要让此自动登录方式生效,Google 账号密码和 Windows 密码必须保持同步。
您可以通过以下两种方式保持密码同步:使用 Google(推荐)或使用同步工具将密码更新从 Active Directory、Microsoft Entra ID 或其他第三方工具推送到 Google。
无论采用哪种方法,用户都只需管理 Google 密码。用户无法通过设备上的 Ctrl+Alt+Delete 屏幕重置密码,因为 GCPW 屏蔽了该功能。
如果不允许某些用户(例如学生)管理自己的密码,您必须在管理控制台中重置和更新用户密码。
使用 Google 管理控制台管理密码
将本地 Windows 配置文件与 Google 账号相关联时的推荐做法
如果您使用 Google 管理控制台管理密码,并且用户通过 Google 账号更改其密码,则您无需执行任何操作。GCPW 会自动将 Google 账号密码与 Windows 密码同步。如果用户在连接到互联网时使用新密码登录设备,则系统会进行同步。
注意:
- 如果用户将 Windows 配置文件与 Microsoft 账号(例如 @outlook.com 和 @hotmail.com)相关联,那么 GCPW 将无法在 Microsoft 账号和 Google 账号之间同步密码。用户更改 Microsoft 账号密码后,必须手动更改 Google 账号密码。否则,系统会显示密码同步错误。
- 如果用户使用受 AD 支持的 Windows 配置文件,且设备无法连接到 AD 服务器,则可能无法通过此方法同步密码。我们建议您改为采用另一方法。
使用 Active Directory、Entra ID 或第三方工具管理密码
将受 AD 支持的 Windows 配置文件与 Google 账号关联时的推荐做法
如果您使用 Active Directory、Entra ID 或其他工具管理 Windows 设备上的密码,请通过 G Suite Password Sync (GSPS) 或其他工具同步 Google 账号密码和 Windows 密码。
注意:使用此方法时,用户仍应在 Google 账号中管理自己的密码。我们建议您在要求用户重置密码时使用 Google 管理控制台,而不是 AD 或其他工具。您仍然可以使用 AD 或其他工具,但用户必须重置其 Microsoft 密码,然后重置其 Google 密码以使两者相匹配。
如果不允许某些用户更改自己的密码,您必须在管理控制台中为用户重置其密码。如果您在 AD 或其他工具中重置用户的密码,则用户将无法消除“密码不正确”错误,因为其无法更改自己的 Google 账号密码。
第 2 步:确保密码复杂度等级兼容
设置用户 Google 账号的密码复杂度要求,使其不低于 Active Directory 或 Windows 密码的要求。如果 Google 密码要求比 Windows 密码要求低,用户就可以将密码改为达不到 Windows 密码要求的密码。这样的话,用户在重新更改 Google 密码以符合 Windows 的密码要求前,就无法访问自己的 Windows 账号。
第 3 步:确定如何管理 GCPW 设置
您在设置 GCPW 后,必须先设置允许哪些网域登录,然后用户才能通过 GCPW 登录。您也可以在 Windows 设备管理中关闭自动注册、管理自动更新,以及要求用户在一段时间后进行在线登录。您可以在管理控制台或每台设备上的注册表设置中管理这些设置。
- 管理控制台 - 如果贵组织中的所有人都拥有相同的允许登录的网域,则可以使用此方法。您可以根据组织部门设置其他选项。通过此方法,您不仅能轻松查看 GCPW 的设置方式,还能更高效地更改各种设置,因为这些设置会自动推送到所有的设备。
- 注册表设置:如果您想在不同设备上允许不同的网域登录,则可以使用此方法。在此情况下,您无法通过管理控制台查看设备的设置方式,因此需要自行保留相关记录。如需更新或添加设置,您必须分别更新每一台设备。
第 4 步:将用户的 Google 账号与现有 Windows 配置文件相关联
如果 Windows 设备上已存在为用户的工作账号设置的 Windows 配置文件,则您可以设置 GCPW,以便将现有配置文件和 Google 账号相关联。
如果您未将 Windows 配置文件与 Google 账号相关联,则 GCPW 会为 Google 用户/账号登录创建新的 Windows 配置文件。拥有本地配置文件的用户仍可通过其他配置文件登录 Windows,但 Active Directory 用户则无法访问其他配置文件。了解用户在安装 GCPW 后如何使用现有的 Windows 配置文件登录 Windows。
了解如何将 Google 账号与现有 Windows 配置文件相关联。
第 5 步:如果使用 Windows 设备管理,请向您的支持团队授予设备访问权限
请确保您的支持团队(Active Directory 用户、Active Directory 群组和本地用户)已获得正确的本地管理员权限。有关详情,请参阅管理 Windows 10 或 11 设备的账号设置。
第 6 步:如果使用 Windows 设备管理,请制定自动注册计划
如果您自动部署了 GCPW,则可以跳过这一步。
默认情况下,GCPW 会自动为第一位通过 GCPW 登录设备的用户注册 Windows 设备管理(前提是已为该用户启用 Windows 设备管理)。如果贵组织手动部署软件,则设置设备的用户可能不是您希望通过 Windows 设备管理服务来管理的对象。如果设置设备的用户通过 GCPW 登录,系统可能会注册该用户,而不是您的目标用户。由于 Microsoft Windows 管理的限制,每台设备只能有一位用户注册 Windows 设备管理服务,因此如果设置设备的用户已完成注册,系统就无法应用目标用户的设置。
您可以通过以下方式管理设置设备的用户或阻止其自动注册:
- 如果设置设备的用户使用本地管理员账号(而不是通过其 Google 账号)登录,就无法注册 Windows 设备管理。
- 如果设置设备的用户通过 GCPW 登录(使用具有特权的账号或工作账号设置设备),您可以为这类账号所属的组织部门停用自动注册功能。
- 如果您允许自动注册设置设备的用户,则可以先取消注册该用户,然后再将设备交由目标用户使用。了解操作方法
Google、Google Workspace 以及相关标志和徽标是 Google LLC 的商标。其他所有公司名和产品名是其各自相关公司的商标。