使用组策略在 Chrome 中禁用密码保存

在本指南中，您将了解如何使用组策略阻止用户在 Chrome 浏览器中保存密码。

我将向您展示如何禁用所有用户和特定用户的密码保存。

目录：

• GPO 禁用所有用户的 Chrome 密码保存
• GPO 为特定用户禁用 Chrome 密码
• 删除现有的已保存 Chrome 密码（PowerShell 脚本）

GPO 禁用所有用户的 Chrome 密码保存

以下是禁用所有域用户的 Chrome 密码保存的步骤。

第 1 步：安装 Chrome 组策略模板

第一步是下载并安装 Chrome 组策略模板。

单击此处下载 ADM/ADMX 模板。

接下来，解压下载的 zip 文件并打开解压的文件夹。您应该会看到 adm/admx 文件的文件夹。

接下来，登录域控制器并按照以下步骤安装模板。

安装 ADMX 文件
在 admx 文件夹中，将两个 admx 文件（chrome.admx 和 google.admx）复制并粘贴到域控制器上的 c:\windows\PolicyDefinitions 中。

安装 ADML 文件
浏览到您的语言文件夹（我的是 en-US），将两个 adml 文件（chrome.adml 和 google.adml）复制并粘贴到 c: 中的同一语言文件夹中域控制器上的 \windows\PolicyDefinitions。

现在应该安装 Chrome GPO 模板。

打开组策略编辑器，并从新的或现有的 GPO 验证是否安装了 chrome 模板。它们将显示在计算机和用户配置的策略 -> 管理模板 -> google 下。

专业提示：使用组策略中央存储可以更轻松地管理和安装组策略模板。这还允许管理员使用相同的 GPO 模板并从多台计算机加载它们。要了解更多信息，请查看我的关于如何配置组策略中央存储的指南。

步骤 2：创建 Chrome 密码 GPO 策略

安装 Chrome GPO 模板后，下一步是创建禁用密码保存的策略。

1. 创建一个新的 GPO 并将其链接到包含所有用户的组织单位 (OU)。在我的域中，所有用户都位于 ADPRO 用户 OU 中。

为新 GPO 命名。我将我的设置称为“用户 - Chrome 设置”。

2. 设置以下用户配置策略：

允许将密码保存到密码管理器设置为禁用。

• 用户配置 -> 策略 -> 管理模板 -> Google Chrome -> 密码管理器

为地址启用自动填充设置为禁用。

• 用户配置 -> 策略 -> 管理模板 -> Google Chrome

启用信用卡自动填充设置为禁用

• 用户配置 -> 策略 -> 管理模板 -> Google Chrome

首次运行时从默认浏览器导入保存的密码设置为禁用。

• 用户配置 -> 策略 -> 管理模板 -> Google Chrome

禁用与 Google 的数据同步设置为启用。

• 用户配置 -> 策略 -> 管理模板 -> Google Chrome

这样就完成了 GPO 设置。

步骤 3：GPO 更新/重新启动

创建 GPO 后，在计算机上运行 gpupdate 或重新启动计算机以应用策略。

这是显示浏览器密码管理器已启用的屏幕截图，这是在应用 GPO 之前。

应用 GPO 后，我将检查 chrome 并查看密码管理器是否被禁用。通过 GPO 禁用它后，用户将无法在浏览器中保存密码或打开密码管理器。

GPO 禁用特定用户的 Chrome 密码保存

如果您想禁用特定用户或组的 Chrome 密码保存，请按照以下步骤操作。

注意：我使用与上一个示例相同的 GPO 策略。此示例中的唯一区别是我使用 GPO 安全筛选来限制 GPO 适用的用户。

步骤 1：创建新的 Active Directory 安全组。

例如，我将创建一个名为“GPO-Disable-Chrome-Password”的新安全组。

接下来，将用户添加到您想要应用 GPO 的组。

我添加了来自不同部门的三个用户。

• 亚伯埃文斯
• 亚当·里德
• 阿尔玛·马丁

步骤 2：将安全组添加到 GPO 安全过滤中。

在 GPO 的范围选项卡上，单击“安全过滤”下的“添加”按钮。

接下来，添加从步骤 1 创建的安全组。对于我来说，这是我的“GPO-disable-chrome-password”组。

然后，单击顶部的委派选项卡。

接下来，单击右下角的高级按钮。

选择“经过身份验证的用户”并取消选中“应用组策略”的允许

单击“确定”。

现在，GPO 已配置为仅应用于已配置的安全组。该组成员的任何用户都将应用 GPO，所有其他用户将被拒绝（安全过滤）GPO。

我来演示一下。

我将以“Adam S Reed”身份登录计算机（该用户是配置的安全组的成员）。我将使用 gpresult 命令来验证 GPO 是否已应用。

在上面您可以看到“用户 - Chrome 设置”GPO 已应用。

当我打开 Chrome 浏览器时，密码管理器被禁用。

现在，我将以不属于安全组的用户“Alan Keys”身份登录计算机。

您可以在下面的屏幕截图中看到 GPO“用户 - Chome 设置”未应用（被拒绝）。

当我在此用户登录名下打开 chrome 浏览器时，会启用 chrome 密码管理器。

这样您就可以轻松地将 GPO 应用于特定的用户组。

删除现有的已保存 Chrome 密码

不幸的是，禁用密码管理器不会删除现有存储的密码。对于新用户来说，这不是问题，但如果您将此策略应用于现有用户，您可能需要采取其他步骤。

要删除现有存储的密码，您需要从每个用户的个人资料中删除“登录数据”文件。这些文件位于 C:\Users\用户名\AppData\Local\Google\Chrome\User Data\Default。

坏消息是没有 GPO 设置来删除此文件。您将需要创建一个脚本并使用远程命令（例如 PsExec 或 PowerShell 调用命令）从远程计算机中删除此文件。

以下脚本将从计算机上的所有配置文件中删除登录数据文件。确保在生产计算机上运行之前对其进行测试。

$users = Get-ChildItem -Path c:\users -Directory
ForEach ($user in $users) {    
remove-item "C:\Users$user.name\AppData\Local\Google\Chrome\User Data\Default\Login Data" -Force 
}

如果您想知道为什么在浏览器中保存密码不好，请查看这两篇文章。

• Redline 恶意软件说明了为什么密码不应保存在浏览器中
• 浏览器密码管理器——设计上存在安全缺陷

如果您有疑问或反馈，请在下面发表评论。