Recherche

Déployer l'extension LockSelf via GPO sur Chrome

⏱️ Temps estimé : 15-20 minutes

Ce guide vous explique comment déployer automatiquement l'extension LockSelf sur tous les postes Google Chrome de votre domaine Active Directory via les stratégies de groupe (GPO).

Prérequis

  • Contrôleur de domaine Active Directory
  • Modèles d'administration (ADMX) Google Chrome installés sur votre contrôleur de domaine
  • Droits d'administrateur sur le domaine
  • Google Chrome version 88 ou supérieure sur les postes clients

1. Installer les modèles ADMX Chrome

Si ce n'est pas déjà fait, vous devez installer les modèles d'administration Chrome sur votre contrôleur de domaine.

Télécharger les modèles ADMX

  1. Téléchargez les fichiers ADMX Chrome depuis :
  2. Extrayez le contenu du fichier ZIP

Installer les fichiers ADMX

  1. Dans le dossier extrait, naviguez vers windows\admx\
  2. Copiez les fichiers .admx dans :
 
   C:\Windows\PolicyDefinitions\

(ou dans votre Central Store si vous en utilisez un : \\domaine.local\SYSVOL\domaine.local\Policies\PolicyDefinitions\)

  1. Copiez les fichiers .adml du dossier fr-FR dans :
 
   C:\Windows\PolicyDefinitions\fr-FR\

(ou \\domaine.local\SYSVOL\domaine.local\Policies\PolicyDefinitions\fr-FR\)

  1. Redémarrez la console de gestion des stratégies de groupe pour charger les nouveaux modèles

2. Récupérer l'ID de l'extension LockSelf

L'ID de l'extension LockSelf sur le Chrome Web Store est nécessaire pour la configuration GPO.

Méthode 1 : Via l'URL du Chrome Web Store

  1. Allez sur la page de l'extension : https://chromewebstore.google.com/detail/lockself-professional-pas/keafkoopbkbjlbbedmonhnfgfciaphdb
  2. L'ID est visible dans l'URL après /detail/ : keafkoopbkbjlbbedmonhnfgfciaphdb

Méthode 2 : Via chrome://extensions

  1. Sur un poste de test, installez l'extension manuellement
  2. Dans Chrome, tapez chrome://extensions dans la barre d'adresse
  3. Activez le Mode développeur en haut à droite
  4. L'ID s'affiche sous le nom de l'extension : keafkoopbkbjlbbedmonhnfgfciaphdb

ID de l'extension LockSelf

 
keafkoopbkbjlbbedmonhnfgfciaphdb

💡 Note : Utilisez cet ID exact dans votre configuration GPO.

3. Créer ou modifier la GPO

Créer une nouvelle GPO

  1. Ouvrez la console Gestion des stratégies de groupe (gpmc.msc)
  2. Dans l'arborescence, faites un clic droit sur l'OU contenant vos postes → Créer un objet GPO dans ce domaine, et le lier ici
  3. Nommez la GPO : Deploy_Chrome_LockSelf_Extension
  4. Faites un clic droit sur la nouvelle GPO → Modifier

Navigation dans l'éditeur GPO

Dans l'éditeur de stratégie de groupe, naviguez vers :

 
Configuration ordinateur
  └─ Stratégies
      └─ Modèles d'administration
          └─ Google
              └─ Google Chrome
                  └─ Extensions

⚠️ Important : Si vous ne voyez pas le dossier Google ou Google Chrome, c'est que les modèles ADMX n'ont pas été correctement installés. Retournez à l'étape 1.

4. Configurer l'installation forcée de l'extension

Méthode A : Utiliser "Liste d'extensions à installer de manière forcée"

C'est la méthode recommandée pour Chrome.

  1. Dans le dossier Extensions, double-cliquez sur Configure the list of force-installed apps and extensions (ou Configurer la liste des extensions et applications installées de manière forcée)
  2. Sélectionnez Activé
  3. Cliquez sur Afficher... pour ajouter l'extension
  4. Dans la fenêtre qui s'ouvre, ajoutez une nouvelle ligne avec la valeur suivante :
 
   keafkoopbkbjlbbedmonhnfgfciaphdb;https://clients2.google.com/service/update2/crx

Format : ID_EXTENSION;URL_MISE_A_JOUR

  • keafkoopbkbjlbbedmonhnfgfciaphdb : ID de l'extension LockSelf
  • https://clients2.google.com/service/update2/crx : URL de mise à jour du Chrome Web Store
  1. Cliquez sur OK pour valider
  2. Cliquez sur Appliquer puis OK pour fermer la stratégie

Méthode B : Utiliser ExtensionSettings (configuration avancée)

Pour un contrôle plus fin (bloquer la désinstallation, gérer les mises à jour, etc.) :

  1. Dans le dossier Extensions, double-cliquez sur Extension management settings (ou Paramètres de gestion des extensions)
  2. Sélectionnez Activé
  3. Dans le champ Extension management settings, saisissez le JSON suivant :
 
json
{
  "keafkoopbkbjlbbedmonhnfgfciaphdb": {
    "installation_mode": "force_installed",
    "update_url": "https://clients2.google.com/service/update2/crx"
  }
}
  1. Cliquez sur OK, Appliquer, puis OK

Explication des paramètres

ParamètreValeurDescription
keafkoopbkbjlbbedmonhnfgfciaphdbID de l'extensionIdentifiant unique de l'extension LockSelf
installation_modeforce_installedForce l'installation et empêche la désinstallation par les utilisateurs
update_urlURL du Chrome Web StoreURL de mise à jour automatique depuis le Chrome Web Store

5. Configurer les permissions (optionnel mais recommandé)

Pour éviter que Chrome ne demande l'autorisation des permissions à chaque utilisateur :

  1. Toujours dans Extension management settings, ajoutez la section runtime_blocked_hosts et runtime_allowed_hosts :
 
json
{
  "keafkoopbkbjlbbedmonhnfgfciaphdb": {
    "installation_mode": "force_installed",
    "update_url": "https://clients2.google.com/service/update2/crx",
    "runtime_allowed_hosts": ["*://*/*"]
  }
}

Cela autorise l'extension à accéder à tous les sites (requis pour le fonctionnement de LockSelf).

6. Lier la GPO et forcer l'application

Lier la GPO

  1. Dans la console de gestion des stratégies de groupe
  2. Sélectionnez l'OU contenant vos postes de travail
  3. Vérifiez que la GPO Deploy_Chrome_LockSelf_Extension est bien liée

Forcer l'application sur un poste de test

Sur un poste client Windows :

  1. Ouvrez une invite de commandes en tant qu'administrateur
  2. Exécutez :
 
cmd
   gpupdate /force
  1. Attendez la fin de l'application des stratégies
  2. Redémarrez Chrome (fermez toutes les fenêtres Chrome puis rouvrez)

7. Vérifier le déploiement

Sur le poste client

  1. Ouvrez Chrome
  2. Tapez chrome://extensions dans la barre d'adresse
  3. Vérifiez que l'extension LockSelf apparaît dans la liste
  4. Elle doit afficher "Géré par votre organisation" et ne doit pas pouvoir être désactivée/supprimée

Vérifier l'application de la GPO

Sur le poste client, ouvrez une invite de commandes et exécutez :

 
cmd
gpresult /H rapport_gpo.html

Ouvrez le fichier rapport_gpo.html et vérifiez que votre GPO Deploy_Chrome_LockSelf_Extension apparaît dans les stratégies appliquées.

Vérifier dans Chrome

Tapez chrome://policy dans Chrome pour voir toutes les stratégies appliquées. Vous devriez voir :

  • ExtensionInstallForcelist ou ExtensionSettings avec l'ID de LockSelf

Dépannage

L'extension ne s'installe pas

Vérifier que les modèles ADMX sont chargés

  1. Dans l'éditeur GPO, vérifiez que vous voyez bien Google → Google Chrome → Extensions
  2. Si ce n'est pas le cas, les fichiers ADMX ne sont pas correctement installés

Vérifier la connectivité au Chrome Web Store

L'extension doit pouvoir se télécharger depuis :

  • https://clients2.google.com
  • https://chrome.google.com

Vérifiez que votre pare-feu/proxy autorise ces domaines.

Vérifier le format de la configuration

Pour la Méthode A :

  • Format : ID;URL (point-virgule, pas d'espace)
  • URL : https://clients2.google.com/service/update2/crx

Pour la Méthode B (JSON) :

  • Utilisez un validateur JSON : jsonlint.com
  • Guillemets droits " uniquement (pas de guillemets courbes)

La GPO ne s'applique pas

Forcer l'application

Sur le poste client :

 
cmd
gpupdate /force
gpresult /R

Vérifier le ciblage

  1. Dans la console GPO, vérifiez que la GPO est bien liée à l'OU contenant les postes
  2. Vérifiez qu'il n'y a pas de filtre de sécurité bloquant l'application

Vérifier les logs

Consultez l'Observateur d'événements Windows :

  • Applications et services → Microsoft → Windows → GroupPolicy → Operational

L'extension apparaît mais ne fonctionne pas

Vérifier les permissions

Si l'extension s'affiche mais ne peut pas accéder aux sites, ajoutez la configuration des permissions (voir étape 5).

Vérifier dans chrome://policy

  1. Tapez chrome://policy dans Chrome
  2. Cliquez sur Recharger les stratégies
  3. Vérifiez que ExtensionInstallForcelist ou ExtensionSettings contient bien l'ID LockSelf

Chrome ne démarre pas après l'application de la GPO

Vérifier la syntaxe JSON

Un JSON mal formaté peut empêcher Chrome de démarrer. Vérifiez :

  • Pas de virgule en trop
  • Toutes les accolades sont fermées
  • Guillemets droits uniquement

Mode sans échec Chrome

Démarrez Chrome en mode sans échec pour désactiver les extensions :

 
cmd
"C:\Program Files\Google\Chrome\Application\chrome.exe" --disable-extensions

Configuration avancée

Autoriser la désactivation mais bloquer la désinstallation

Si vous souhaitez que les utilisateurs puissent désactiver temporairement l'extension sans la supprimer :

 
json
{
  "keafkoopbkbjlbbedmonhnfgfciaphdb": {
    "installation_mode": "normal_installed",
    "update_url": "https://clients2.google.com/service/update2/crx"
  }
}

Bloquer les mises à jour automatiques

Pour déployer une version spécifique sans mises à jour :

 
json
{
  "keafkoopbkbjlbbedmonhnfgfciaphdb": {
    "installation_mode": "force_installed",
    "update_url": "https://clients2.google.com/service/update2/crx",
    "override_update_url": false
  }
}

Déployer depuis un serveur interne

Si vous souhaitez héberger le fichier .crx en interne :

  1. Téléchargez le fichier .crx depuis le Chrome Web Store
  2. Hébergez-le sur un serveur web interne
  3. Configurez la GPO :
 
json
{
  "keafkoopbkbjlbbedmonhnfgfciaphdb": {
    "installation_mode": "force_installed",
    "update_url": "https://intranet.entreprise.local/extensions/lockself/updates.xml"
  }
}

Vous devrez créer un fichier updates.xml au format Omaha.

Configurer les permissions spécifiques

Pour autoriser uniquement certains domaines :

 
json
{
  "keafkoopbkbjlbbedmonhnfgfciaphdb": {
    "installation_mode": "force_installed",
    "update_url": "https://clients2.google.com/service/update2/crx",
    "runtime_allowed_hosts": [
      "*://*.entreprise.com/*",
      "*://*.lockself.com/*"
    ],
    "runtime_blocked_hosts": ["*://*/*"]
  }
}

FAQ

Puis-je déployer l'extension uniquement à certains utilisateurs ?

Oui, utilisez les filtres de sécurité sur la GPO :

  1. Clic droit sur la GPO → Propriétés → onglet Filtrage de sécurité
  2. Supprimez Utilisateurs authentifiés
  3. Ajoutez un groupe de sécurité spécifique (ex : GRP_Chrome_LockSelf)

L'extension se met-elle à jour automatiquement ?

Oui, Chrome téléchargera automatiquement les nouvelles versions depuis le Chrome Web Store.

Puis-je déployer l'extension sur Chromium, Brave ou Edge ?

  • Chromium : Oui, même configuration
  • Brave : Oui, même configuration (Brave utilise le Chrome Web Store)
  • Edge : Non, utilisez la documentation spécifique Edge (Edge a son propre store)

Comment retirer l'extension de tous les postes ?

Deux méthodes :

  1. Méthode 1 : Supprimez la GPO ou déliez-la de l'OU
  2. Méthode 2 : Modifiez la stratégie pour bloquer l'extension :

Méthode A : Supprimez la ligne dans Liste d'extensions à installer de manière forcée

Méthode B : Modifiez ExtensionSettings :

 
json
{
  "keafkoopbkbjlbbedmonhnfgfciaphdb": {
    "installation_mode": "blocked"
  }
}

La GPO s'applique-t-elle aux profils utilisateurs existants ?

Oui, la GPO s'applique au démarrage de Chrome, même pour les profils existants.

Puis-je forcer l'épinglage de l'extension dans la barre d'outils ?

Oui, utilisez la stratégie ExtensionSettings avec le paramètre toolbar_pin :

 
json
{
  "keafkoopbkbjlbbedmonhnfgfciaphdb": {
    "installation_mode": "force_installed",
    "update_url": "https://clients2.google.com/service/update2/crx",
    "toolbar_pin": "force_pinned"
  }
}

Ressources complémentaires

Exemple de configuration complète

Voici un exemple complet de configuration GPO avec LockSelf :

Méthode A : ExtensionInstallForcelist

Configure the list of force-installed apps and extensions

Valeurs à ajouter (une par ligne) :

 
keafkoopbkbjlbbedmonhnfgfciaphdb;https://clients2.google.com/service/update2/crx

Méthode B : ExtensionSettings (recommandée)

Extension management settings

 
json
{
  "keafkoopbkbjlbbedmonhnfgfciaphdb": {
    "installation_mode": "force_installed",
    "update_url": "https://clients2.google.com/service/update2/crx",
    "runtime_allowed_hosts": ["*://*/*"],
    "toolbar_pin": "force_pinned"
  }
}

Cette configuration :

  • ✅ Force l'installation de LockSelf sur tous les Chrome du domaine
  • ✅ Empêche la désinstallation par les utilisateurs
  • ✅ Autorise les mises à jour automatiques depuis le Chrome Web Store
  • ✅ Autorise l'extension à accéder à tous les sites web
  • ✅ Épingle l'extension dans la barre d'outils Chrome