פתרון בעיות ב-GCPW

ההודעה הזו יכולה להופיע אם משתמש מנסה להיכנס למכשיר ולא הגדרתם דומיינים מורשים למכשיר.

אדמינים יכולים להוסיף את הדומיין של המשתמש לרשימת הדומיינים המורשים:

• אם אתם מנהלים את GCPW במסוף Admin, עוברים להגדרה דומיינים מותרים ומזינים את הדומיינים המותרים. איך עושים את זה

  יכול להיות שיחלפו עד שעה לפני שהעדכון יסונכרן עם המכשירים. אם יש לכם גישה למכשיר, אתם יכולים לסנכרן אותו באופן ידני:

  1. במכשיר, פותחים את מתזמן המשימות.
  2. בספרייה של מתזמן המשימות, לוחצים לחיצה ימנית על GoogleUpdateTaskMachineUA ואז על הפעלה.
  3. ממתינים כמה דקות עד שהמדיניות תתעדכן.
• אם אתם מנהלים את GCPW באמצעות מפתחות רישום, צריך להגדיר את מפתח הרישום domains_allowed_to_login עם הדומיינים המותרים. איך עושים את זה

אם המשתמש עדיין לא מצליח להיכנס, פנו לתמיכה של Google.

ההודעה הזו יכולה להופיע אם הסיסמה של המשתמש ב-Google לא מסתנכרנת עם הסיסמה שלו ב-Windows. המשתמש יכול להזין את הסיסמה שלו ב-Windows כדי ש-GCPW יוכל לשחזר את הסנכרון.

אם הסיסמאות של חשבון Google ושל Windows של המשתמש לא מסונכרנות, GCPW מבקש מהמשתמש את הסיסמה הנוכחית שלו ל-Windows. ההודעה הזו יכולה להופיע אם המשתמש מזין סיסמת Windows שגויה.

ההודעה הזו יכולה להופיע אם אי אפשר לפתוח את מסך הכניסה של Google בגלל בעיה בדפדפן Chrome או בעיה במדיניות המכשיר.

הפתרון:

1. מוודאים שדפדפן Chrome מותקן במכשיר. אם לא, מתקינים אותו.
2. אם דפדפן Chrome מותקן, יכול להיות שהוא לא נמצא במקום הנכון. מוודאים שהתוכנה מותקנת בנתיב C:\Program Files (x86)\Google\Chrome\Application\chrome.exe או בנתיב C:\Program Files\Google\Chrome\Application\chrome.exe. אם לא, צריך להתקין מחדש את דפדפן Chrome במיקום הנכון.
3. אם במכשיר מותקנת תוכנת אנטי-וירוס, צריך לוודא שהתוכנה הזו לא מונעת את ההפעלה של דפדפן Chrome.
4. אם למכשיר יש אובייקט מדיניות קבוצתית (GPO) שמגדיר את המדיניות Log on as batch job, יכול להיות שהוא יבטל את ה-GPO שמאפשר ל-GCPW להשתמש בחשבון מיוחד כדי לבקש פרטי כניסה מהמשתמש. כדי לפתור את הבעיה:
   1. מאתרים את ה-GPO במכשיר ומוסיפים את gaia כמשתמש למדיניות. הוראות מפורטות מופיעות במסמכי העזרה של Windows.
   2. מפעילים מחדש את המכשיר.
   3. מוודאים ש-gaia מופיע במדיניות המקומית.

אם הסיסמה של חשבון Google של המשתמש השתנתה אבל הסיסמה של Windows לא סונכרנה אוטומטית במכשיר, GCPW ישאל את המשתמש אם הוא רוצה לאפס את הסיסמה של Windows. ההודעה הזו מופיעה אם אי אפשר לאפס את הסיסמה.

ההודעה הזו יכולה להופיע כשמשתמש צריך להיכנס שוב באמצעות פרטי הכניסה שלו לחשבון Google. סיבות אפשריות:

• התרחש פסק זמן (timeout) של הפעילות, בהתאם להגדרת פסק הזמן במסוף Admin.
• הסיסמה לחשבון Google שלהם השתנתה.
• זוהתה פעילות חשודה בחשבון Google.

כדי לפתור את הבעיה, המשתמש צריך להיכנס למכשיר באמצעות חשבון Windows שלו.

יכול להיות שהמשתמש יתבקש להשלים שלב אימות שני בכל פעם שהוא נכנס ל-GCPW, אם המכשיר מנסה להירשם אוטומטית לניהול מכשירי Windows ולא מצליח.

אדמינים יכולים להגדיר את ההתנהגות הרצויה:

• אם רוצים שהמכשיר יירשם אוטומטית:
  1. מוודאים שניהול מכשירי Windows מופעל. כך עושים זאת
  2. מוודאים שלמשתמש יש רישיון שתומך בניהול מכשירי Windows. בדיקת הדרישות לגבי רישיונות
• אם לא רוצים שהמכשיר יירשם אוטומטית (רוצים להשתמש ב-GCPW רק בשביל המשתמש הזה): משביתים את הרישום האוטומטי של המכשיר.
  • אם אתם מנהלים את GCPW במסוף Admin, עוברים להגדרה הרשמה לניהול מכשירים ומבטלים את הסימון בתיבה. איך עושים את זה
  • אם אתם מנהלים את GCPW באמצעות מפתחות רישום, צריך להגדיר את מפתח הרישום enable_dm_enrollment לערך 0. איך עושים את זה

ההודעה הזו יכולה להופיע אם GCPW מוגדר כך שניתן להשתמש רק בחשבון עבודה אחד, ומשתמש שני מנסה להיכנס באמצעות האפשרות משתמש אחר.

אדמינים יכולים לאפשר שימוש בכמה חשבונות (הגדרת ברירת המחדל):

• אם אתם מנהלים את GCPW במסוף Admin, עוברים להגדרה ניהול של כמה חשבונות ובוחרים באפשרות מופעל. איך עושים את זה
• אם אתם מנהלים את GCPW באמצעות מפתחות רישום, צריך להגדיר את מפתח הרישום enable_dm_enrollment לערך 0. איך עושים את זה

ההודעה הזו יכולה להופיע אם המשתמש מנסה לשנות את הסיסמה שלו ל-Windows ומזין את הסיסמה הישנה ל-Windows יותר מדי פעמים בצורה שגויה.

הגדרה של אובייקט מדיניות קבוצתית (GPO) ב-Windows קובעת את מספר הפעמים שבהן משתמש יכול להזין פרטי כניסה שגויים לפני שהוא ננעל מחוץ לחשבון Windows שלו.

ההודעה הזו יכולה להופיע אם המכשיר של המשתמש לא רשום לניהול מכשירי Windows. המשתמש צריך להיכנס באמצעות פרטי הכניסה שלו ב-Google דרך GCPW.

ההודעה הזו יכולה להופיע אם המשתמש לא מצליח להיכנס ל-Windows באמצעות GCPW. ככל הנראה, החיבור של המכשיר לאינטרנט נותק אחרי שהמשתמש פתח את מסך הכניסה לחשבון Google. בודקים את החיבור לאינטרנט של המכשיר. אם צריך, מנסים לחבר את המכשיר לרשת אחרת.

הבעיה הזו מתרחשת אם החיבור לאינטרנט של המכשיר נותק אחרי שהמשתמש מנסה לפתוח את מסך הכניסה לחשבון Google. בודקים את החיבור לאינטרנט של המכשיר. אם צריך, מנסים לחבר את המכשיר לרשת אחרת.

הבעיה הזו יכולה לקרות אם דרישות הסיסמה בחשבון Google של המשתמש לא מורכבות כמו דרישות הסיסמה ב-Windows או ב-Active Directory. לדוגמה, יכול להיות שב-Windows נדרש מספר מסוים של ספרות או אותיות רישיות, ובחשבון Google לא. כדי לוודא שיש בעיה, בודקים את יומני האירועים של אפליקציית Windows.

כדי לפתור את הבעיה, צריך לבקש מהמשתמש לאפס את הסיסמה לחשבון Google שלו כך שתעמוד בדרישות הסיסמה של הארגון.

כדי למנוע את הבעיה הזו, צריך להגדיר את דרישות מורכבות הסיסמה לחשבונות Google של המשתמשים כך שיהיו זהות לדרישות הסיסמה ב-Active Directory או ב-Windows, או גבוהות מהן. פרטים נוספים זמינים במאמר בנושא ניהול הגדרות הסיסמה של המשתמשים.

אף על פי שמשתמשים רבים יכולים להיכנס באמצעות GCPW באותו מכשיר, כמה משתמשים לא יכולים להירשם לניהול מכשירי Windows באותו מכשיר.

כשמשתמש נכנס לחשבון באמצעות GCPW והתכונה 'ניהול מכשירי Windows' מופעלת עבורו, המכשיר נרשם כברירת מחדל לניהול מכשירי Windows. ההגדרות של ניהול מכשירי Windows שהוגדרו עבור המשתמש הזה יחולו על המכשיר.

כשמשתמש אחר נכנס לחשבון מאוחר יותר, ההגדרות ברמת המכשיר של המשתמש הראשון, כמו עדכוני Windows, הרשאות אדמין והצפנת BitLocker, נאכפות. אי אפשר לאכוף הגדרות ברמת המשתמש, כמו חלק מההגדרות המותאמות אישית, על המשתמש השני.

כשמגדירים את GCPW כך שמשתמשים יירשמו אוטומטית לניהול מכשירים ב-Windows, המכשיר נרשם רק עבור המשתמש הראשון שנכנס למכשיר דרך GCPW. אדמינים יכולים להגדיר מכשיר למשתמש לפני שהמשתמש נכנס לחשבון, ולרשום את המכשיר לניהול מכשירי Windows במקום המשתמש.

כדי לשנות את החשבון שאליו המכשיר רשום לניהול מכשירי Windows, אפשר לבטל את הרישום של המכשיר. כך עושים את זה. הערה: יכול להיות שביטול ההרשמה של המכשיר לא יסיר את כל ההגדרות שהוחלו על המשתמש הראשון. אם המשתמש הבא נכנס לחשבון והגדרת Windows שהוגדרה למשתמש הראשון לא מוגדרת, ההגדרה של המשתמש הראשון עדיין חלה.

אם חלק מהתכונות של GCPW לא פועלות, למשל הדפדפן לא נטען או שהסיסמאות לא מסתנכרנות, צריך לוודא שתוכנת אבטחה כלשהי לא חוסמת כתובות URL שנדרשות לפעולה של GCPW. חלק מהתוכנות שיכולות לחסום את ההתקנה הן Windows Defender, חומת אש במחשב או תוכנות אבטחה אחרות של צד שלישי.

מאשרים שכתובות ה-URL הבאות מותרות:

• accounts.google.com/*
• accounts.youtube.com/*
• android.clients.google.com/*
• clients2.google.com/*
• clients2.googleusercontent.com/*
• clients4.google.com/*
• clientservices.googleapis.com/*
• deviceenrollmentforwindows.googleapis.com/*
• devicemanagementforwindows.googleapis.com/*
• devicepasswordescrowforwindows-pa.googleapis.com/*
• dl.google.com/*
• firebaseperusertopics-pa.googleapis.com/*
• fonts.gstatic.com/*
• ‪gcpw-pa.googleapis.com/*
• googleapis.com/*
• google.com/dl/*
• lh3.googleusercontent.com/*
• ‫m.google.com/‎*
• m.google.com/devicemanagement/data/api/*
• mtalk.google.com/*
• optimizationguide-pa.googleapis.com/*
• play.google.com/*
• sb-ssl.google.com/*
• secureconnect-pa.clients6.google.com/*
• securitydomain-pa.googleapis.com/*
• ‪ssl.gstatic.com/*
• tools.google.com/service/update2/*
• ‪update.googleapis.com/*
• update.googleapis.com/service/update2/*
• www.googleapis.com/*
• ‫www.google.com/*
• ‫www.google.com/dl/*
• ‪*.gvt1.com/*

כדי שנוכל לספק תמיכה, עליך לציין את הפרטים הבאים:

• גרסת דפדפן Chrome במכשיר
  1. פותחים את דפדפן Chrome.
  2. בפינה השמאלית העליונה, לוחצים על סמל האפשרויות הנוספות עזרה מידע על Chrome.
• החשבון המושפע
  1. בתפריט 'התחלה', לוחצים על מערכת Windows הפעלה ומזינים cmd.
  2. בחלון Command, מזינים את הפקודה Get-LocalUser | Select-Object Name, SID
• המספר הסידורי של המכשיר
  1. בתפריט 'התחלה', לוחצים על מערכת Windows הפעלה ומזינים cmd.
  2. בחלון Command, מזינים את הפקודה Get-CimInstance -ClassName Win32_BIOS | Select-Object SerialNumber
• (אופציונלי) כל כללי המדיניות של Chrome שנעשה בהם שימוש במכשיר
  1. פותחים את דפדפן Chrome.
  2. בסרגל הכתובות, מקלידים chrome://policy.
  3. לוחצים על פעולות נוספות ייצוא אל JSON.
• צילום מסך של הודעות שגיאה

1. פותחים את עורך הרישום:
   1. בתפריט ההתחלה, לוחצים על מערכת Windows הפעלה.

      הערה: אפשר גם להקיש על מקש Windows + R.

   2. בתיבה הפעלה, מקלידים regedit.
   3. לוחצים על אישור.
2. ב-Registry Editor, עוברים אל HKEY_LOCAL_MACHINE\Software\Google\GCPW.
3. לוחצים לחיצה ימנית על התיקייה GCPW ובוחרים באפשרות New (חדש) DWORD.
4. בשדה Name (שם), מזינים enable_verbose_logging (הפעלה של רישום מפורט ביומן).
5. לוחצים פעמיים על השם ובתיבה Value data (נתוני ערך) מזינים 1.
6. לוחצים על אישור.

כשמסיימים לפתור את הבעיה, משנים את הערך של enable_verbose_logging ל-0 כדי להשבית את הרישום המפורט ביומן.

אתם יכולים להשתמש בכלי Event Viewer כדי לייצא את היומן לקובץ טקסט של ערכים מופרדים בפסיקים (CSV):

1. במכשיר, משתמשים באחת מהשיטות הבאות כדי לפתוח את כלי הצפייה באירועים:
   • בתפריט 'התחלה', לוחצים על Windows Administrative Tools (כלי ניהול של Windows)Event Viewer (צפייה באירועים).
   • בתפריט ההתחלה, לוחצים על הפעלה. בתיבה הפעלה, מזינים eventvwr.msc ואז מקישים על Enter.
2. בדפדפן הקבצים של מציג האירועים, עוברים אל Windows logs (יומני Windows) Application (אפליקציה).
3. לוחצים לחיצה ימנית על Application (אפליקציה) ובוחרים באפשרות Filter Current Log (סינון היומן הנוכחי).
   1. בקטע מקורות אירועים, בוחרים באפשרות GCPW.
   2. לוחצים על אישור.

   רשימת האירועים מתרעננת ומוצגים בה רק האירועים שרלוונטיים לאבטחה משופרת של שולחן העבודה ל-Windows.

4. למעלה, לוחצים על פעולה שמירת כל האירועים בתור.
   1. בשדה שם הקובץ, מזינים שם שכולל את סוג היומן ואת השרת שממנו הוא יוצא.
   2. בקטע שמור כסוג, בוחרים באפשרות CSV.
   3. לוחצים על שמירה.
5. (אופציונלי) כדי לאסוף מידע מספק האבחון של Device Management Enterprise באמצעות ניהול מכשירים ב-Windows:
   1. בדפדפן הקבצים של 'צפייה באירועים', בוחרים באפשרות יומני יישומים ושירותים Microsoft Windows DeviceManagement-Enterprise-Diagnostic-Provider Admin (אדמין).
   2. לוחצים לחיצה ימנית על ניהול ובוחרים באפשרות שמירת כל האירועים בשם.
   3. בשדה שם הקובץ, מזינים שם שכולל את סוג היומן ואת השרת שממנו הוא יוצא.
   4. בקטע שמור כסוג, בוחרים באפשרות CSV.

אפשר גם להגדיר נתיב קובץ כדי לתעד יומני אירועים של GCPW:

1. פותחים את עורך הרישום:
   1. בתפריט ההתחלה, לוחצים על מערכת Windows הפעלה.

      הערה: אפשר גם להקיש על מקש Windows + R.

   2. בתיבה הפעלה, מקלידים regedit.
   3. לוחצים על אישור.
2. ב-Registry Editor, עוברים אל HKEY_LOCAL_MACHINE\Software\Google\GCPW.
3. יוצרים ערך מחרוזת חדש:
   1. בשדה שם הערך, מזינים log_file_path.
   2. בשדה נתוני ערך, מזינים את הנתיב (לדוגמה, C:\GCPW.log).
4. (אופציונלי) כדי להוסיף ליומן במקום לדרוס אותו, יוצרים רשומה מסוג DWORD בשם log_file_append ומגדירים את הערך שלה ל-1.