GCPW 问题排查

如果某个用户尝试登录某台设备，而您没有为该设备设置任何允许的网域，系统便会显示此消息。

作为管理员，您可以将该用户的网域添加到允许的网域的列表：

• 如果您通过管理控制台管理 GCPW，请前往允许的网域设置，然后输入允许的网域。了解操作方法

  最长可能需要 1 小时，您的更新才会同步至设备。如果您有权使用设备，则可以手动同步设备：

  1. 在设备上，打开“任务计划程序”。
  2. 在任务计划程序库中，右键点击 GoogleUpdateTaskMachineUA，然后点击运行。
  3. 等待几分钟，静候政策更新。
• 如果您通过注册表项管理 GCPW，请将 domains_allowed_to_login 注册表项设为允许的域名。了解操作方法

如果用户仍无法登录，请与 Google 支持团队联系。

如果用户的 Google 密码未与其 Windows 密码同步，系统便会显示此消息。用户可以输入自己的 Windows 密码，以便 GCPW 能够恢复同步。

如果用户的 Google 账号密码与 Windows 密码不同步，GCPW 便会要求用户提供目前使用的 Windows 密码。如果用户输入的 Windows 密码不正确，系统便会显示此消息。

当 Google 登录屏幕因 Chrome 浏览器问题或设备政策问题而无法打开时，系统便会显示此消息。

修正方法：

1. 确认设备上已安装 Chrome 浏览器。如未安装，请安装。
2. 如果设备已安装 Chrome 浏览器，则安装位置可能不正确。请确认 Chrome 浏览器安装在以下目录中：C:\Program Files (x86)\Google\Chrome\Application\chrome.exe 或 C:\Program Files\Google\Chrome\Application\chrome.exe。如果位置不正确，请在正确的位置重新安装 Chrome 浏览器。
3. 如果设备安装了杀毒软件，请确认该软件不会阻止 Chrome 浏览器运行。
4. 如果设备拥有定义作为批处理作业登录政策的组政策对象 (GPO)，则该 GPO 可能会覆盖另一项 GPO，后者能让 GCPW 使用特殊的账号来请求获取用户的登录详情。如需解决此问题，请执行以下操作：
   1. 在设备上找到此 GPO，然后将 GAIA 作为用户添加到政策中。有关说明，请参阅 Windows 文档。
   2. 重新启动设备。
   3. 确认 GAIA 已列于本地政策中。

如果用户的 Google 账号密码已更改，但设备上的 Windows 密码未自动同步，则 GCPW 会询问用户是否要重置其 Windows 密码。如果无法重置密码，系统便会显示此消息。

当用户需要使用其 Google 凭据重新登录时，系统便会显示此消息。可能的原因包括：

• 根据管理控制台中的超时设置，出现了会话超时的情况。
• Google 账号密码发生更改。
• 在 Google 账号中检测到可疑活动。

用户可以使用自己的 Windows 账号登录设备，进而解决此问题。

如果设备试图自动注册 Windows 设备管理但并未成功，则系统可能会在用户每次登录 GCPW 时提示其完成第二步验证。

作为管理员，您可以设置期望的行为：

• 如果您希望设备自动注册，请执行以下操作：
  1. 确认您已启用 Windows 设备管理。了解操作方法
  2. 确认用户拥有支持 Windows 设备管理的许可。查看许可要求
• 如果您不希望设备自动注册（而只想允许该用户使用 GCPW），请执行以下操作：停用设备的自动注册。
  • 如果您通过管理控制台管理 GCPW，请前往注册设备管理服务设置，然后取消选中相应复选框。了解操作方法
  • 如果您通过注册表项管理 GCPW，请将 enable_dm_enrollment 注册表项设为 0。了解操作方法

如果在将 GCPW 设为仅允许使用 1 个工作账号后，有第二位用户尝试使用其他用户选项进行登录，系统便会显示此消息。

作为管理员，您可以允许使用多个账号（默认设置）：

• 如果您通过管理控制台管理 GCPW，请转到管理多个账号设置，然后选择已启用。了解操作方法
• 如果您通过注册表项管理 GCPW，请将 enable_dm_enrollment 注册表项设为 0。了解操作方法

如果用户在尝试更改 Windows 密码时输入错误的旧 Windows 密码过多次，系统便会显示此消息。

Windows 组策略对象 (GPO) 设置决定了系统允许用户输入错误登录凭据的次数，一旦超过该次数，系统便会锁定其 Windows 账号。

如果用户的设备未注册 Windows 设备管理，系统便会显示此消息。用户需要通过 GCPW 使用 Google 凭据进行登录。

如果用户无法使用 GCPW 登录 Windows，系统便会显示此消息。最有可能的情况是，在用户打开 Google 登录屏幕后，设备丢失了互联网连接。您需要检查设备的互联网连接。如有必要，请尝试将设备连接到其他网络。

如果在用户尝试打开 Google 登录屏幕后设备的互联网连接中断，便会出现此问题。您需要检查设备的互联网连接。如有必要，请尝试将设备连接到其他网络。

如果用户的 Google 账号密码要求不如 Windows 或 Active Directory 密码要求那么复杂，便会出现此问题。例如，Windows 可能要求使用特定数量的数字或大写字母，而 Google 账号则不需要。您可以通过检查 Windows 应用事件日志来验证此问题。

如需解决此问题，请让用户重置 Google 账号密码，使其符合贵组织的密码要求。

为避免此问题，请设置用户 Google 账号的密码复杂度要求，使其不低于 Active Directory 或 Windows 密码的要求。有关详情，请参阅管理用户的密码设置。

尽管有多位用户可以在同一台设备上通过 GCPW 登录，但不允许多位用户在同一台设备上注册 Windows 设备管理。

如果用户通过 GCPW 登录，且其 Windows 设备管理已启用，则相应设备会默认注册 Windows 设备管理。为该用户配置的 Windows 设备管理设置会应用到该设备。

当下一位用户登录时，系统会强制执行第一位用户的设备级设置，例如 Windows 更新、管理员权限和 BitLocker 加密。系统无法对其他用户强制执行用户级设置，例如某些自定义设置。

如果将 GCPW 设置为自动为用户注册 Windows 设备管理，则系统只会为第一位通过 GCPW 登录设备的用户注册该设备。作为管理员，您可以在用户登录前设置设备，并注册 Windows 设备管理，而不是让用户注册。

如需更改在设备上注册 Windows 设备管理的用户，您可以取消注册相应设备。了解具体方法。注意：取消注册设备可能无法移除已应用于设备的部分设置。如果下一位用户登录时，其某个 Windows 设置尚未配置，而第一位用户的该设置已配置，那么第一位用户的设置仍然适用。

如果某些 GCPW 功能不能正常运作，例如浏览器无法加载或密码无法同步，请检查是否有任何安全软件屏蔽了 GCPW 功能所需的网址。一些可能的拦截器包括 Windows Defender、桌面防火墙或其他第三方安全软件。

确认以下网址均可使用：

• accounts.google.com/*
• accounts.youtube.com/*
• android.clients.google.com/*
• clients2.google.com/*
• clients2.googleusercontent.com/*
• clients4.google.com/*
• clientservices.googleapis.com/*
• deviceenrollmentforwindows.googleapis.com/*
• devicemanagementforwindows.googleapis.com/*
• devicepasswordescrowforwindows-pa.googleapis.com/*
• dl.google.com/*
• firebaseperusertopics-pa.googleapis.com/*
• fonts.gstatic.com/*
• gcpw-pa.googleapis.com/*
• googleapis.com/*
• google.com/dl/*
• lh3.googleusercontent.com/*
• m.google.com/*
• m.google.com/devicemanagement/data/api/*
• mtalk.google.com/*
• optimizationguide-pa.googleapis.com/*
• play.google.com/*
• sb-ssl.google.com/*
• secureconnect-pa.clients6.google.com/*
• securitydomain-pa.googleapis.com/*
• ssl.gstatic.com/*
• tools.google.com/service/update2/*
• update.googleapis.com/*
• update.googleapis.com/service/update2/*
• www.googleapis.com/*
• www.google.com/*
• www.google.com/dl/*
• *.gvt1.com/*

向支持团队提供以下详细信息：

• 设备上的 Chrome 浏览器版本
  1. 打开 Chrome 浏览器。
  2. 依次点击右上角的“更多”图标 帮助 关于 Chrome。
• 受影响的账号
  1. 在“开始”菜单中，依次点击 Windows 系统 运行，然后输入 cmd。
  2. 在命令窗口中，输入 Get-LocalUser | Select-Object Name, SID
• 设备的序列号
  1. 在“开始”菜单中，依次点击 Windows 系统 运行，然后输入 cmd。
  2. 在命令窗口中，输入 Get-CimInstance -ClassName Win32_BIOS | Select-Object SerialNumber
• （可选）设备上使用的所有 Chrome 政策
  1. 打开 Chrome 浏览器。
  2. 在地址栏中输入 chrome://policy。
  3. 依次点击更多操作图标 导出为 JSON 格式。
• 所有错误消息的屏幕截图

1. 打开注册表编辑器：
   1. 在“开始”菜单中，依次点击Windows 系统 运行。

      注意：您也可以按 Windows 键 + R。

   2. 在运行对话框中，输入 regedit。
   3. 点击确定。
2. 在注册表编辑器中，前往 HKEY_LOCAL_MACHINE\Software\Google\GCPW。
3. 右键点击 GCPW 文件夹，然后选择新建 DWORD。
4. 对于名称，请输入 enable_verbose_logging。
5. 双击该名称，然后在数值数据框中输入 1。
6. 点击确定。

完成问题排查后，请将 enable_verbose_logging 的值更改为 0，以停用详细日志记录。

您可以使用事件查看器将日志导出为逗号分隔值 (CSV) 文本文件：

1. 在设备上，使用以下任一方法打开“事件查看器”：
   • 在“开始”菜单中，依次点击 Windows 管理工具 事件查看器。
   • 在“开始”菜单中，点击运行。在运行对话框中，输入 eventvwr.msc，然后按 Enter 键。
2. 在“事件查看器”文件浏览器中，依次前往 Windows 日志 应用程序。
3. 右键点击应用程序，然后选择过滤当前日志。
   1. 在事件来源部分，选择 GCPW。
   2. 点击确定。

   系统会刷新事件列表，仅显示与增强的 Windows 桌面设备安全性服务相关的事件。

4. 依次点击顶部的操作 将所有事件另存为。
   1. 在文件名部分，输入包含日志类型及导出日志的服务器的名称。
   2. 在保存类型部分，选择 CSV。
   3. 点击保存。
5. （可选）如需使用 Windows 设备管理从设备管理企业诊断提供程序收集信息，请执行以下操作：
   1. 在“事件查看器”文件浏览器中，依次选择应用程序和服务日志 Microsoft Windows DeviceManagement-Enterprise-Diagnostic-Provider 管理员。
   2. 右键点击管理员，然后选择将所有事件另存为。
   3. 在文件名部分，输入包含日志类型及导出日志的服务器的名称。
   4. 在保存类型部分，选择 CSV。

或者，您也可以定义文件路径来捕获 GCPW 事件日志：

1. 打开注册表编辑器：
   1. 在“开始”菜单中，依次点击Windows 系统 运行。

      注意：您也可以按 Windows 键 + R。

   2. 在运行对话框中，输入 regedit。
   3. 点击确定。
2. 在注册表编辑器中，前往 HKEY_LOCAL_MACHINE\Software\Google\GCPW。
3. 创建新的字符串值：
   1. 对于值名称，输入 log_file_path。
   2. 对于数值数据，请输入路径（例如 C:\GCPW.log）。
4. （可选）如需附加到日志文件而不是覆盖日志文件，请创建一个名为 log_file_append 的 DWORD 条目，并将该值设置为 1。