Come aggiornare Chrome automaticamente via GPO in un dominio Windows

Perché è importante mantenere Chrome aggiornato

Google Chrome è il browser più utilizzato al mondo e proprio per questo è uno dei bersagli preferiti dagli attaccanti. Le vulnerabilità su Chrome vengono scoperte e pubblicate regolarmente — il CVE database conta decine di falle critiche ogni anno legate proprio a Chrome.

Il problema nelle realtà aziendali è che gli utenti raramente aggiornano il browser manualmente. Spesso cliccano “Ricorda dopo” per settimane, lasciando i PC esposti a vulnerabilità già note e documentate. In un ambiente con un Domain Controller Windows, la soluzione più efficace è forzare l’aggiornamento automatico tramite Group Policy (GPO) — in modo trasparente, senza dipendere dall’utente.

Mantenere Chrome aggiornato significa:

• Correggere vulnerabilità di sicurezza note prima che vengano sfruttate
• Garantire compatibilità con i siti e le web app aziendali
• Avere una gestione centralizzata e verificabile

Prerequisiti

• Windows Server con Active Directory e ruolo Group Policy Management installato
• Accesso al Central Store in SYSVOL
• Permessi di amministratore di dominio
• Chrome già installato sui client (o distribuito via GPO/software deployment)

Step 1 — Scaricare i template ADMX di Google

Windows non include nativamente i template per gestire Chrome o Google Update. Bisogna scaricarli dal sito ufficiale di Google.

• Vai su: https://chromeenterprise.google/browser/download/
• Scarica il pacchetto Chrome Enterprise Bundle (il file .zip)
• Estrai il contenuto — troverai la cartella Configuration\admx

All’interno troverai questi file che ci interessano:

Nota: il pacchetto contiene anche i template per le policy di Chrome (chrome.admx) che permettono di gestire molte altre impostazioni del browser. Vale la pena tenerli per usi futuri.

Step 2 — Copiare i file nel Central Store

Il Central Store è una cartella in SYSVOL che permette di rendere i template ADMX disponibili a tutti i Domain Controller del dominio.

Il percorso è:

\\<tuodominio>\SYSVOL\<tuodominio>\Policies\PolicyDefinitions\

Cosa copiare e dove

• Copia GoogleUpdate.admx e Google.admx direttamente in PolicyDefinitions\
• Copia GoogleUpdate.adml e Google.adml nella sottocartella della lingua:

PolicyDefinitions\
  ├── GoogleUpdate.admx       ← qui
  ├── Google.admx             ← qui
  └── en-US\
        ├── GoogleUpdate.adml ← qui
        └── Google.adml       ← qui

Attenzione: se nella cartella en-US hai già altri file .adml (ad esempio di Edge o delle policy di Chrome), non preoccuparti — i file di Google Update hanno nomi diversi e non sovrascrivono nulla. Verifica solo che Windows non ti chieda di sovrascrivere file con lo stesso nome prima di confermare.

Se il tuo server è in italiano e cerca la cartella it-IT, puoi semplicemente creare la cartella it-IT e copiarci gli stessi file .adml. I template saranno in inglese ma funzioneranno perfettamente.

Step 3 — Creare e configurare la GPO

• Apri Group Policy Management (gpmc.msc)
• Crea una nuova GPO collegata alla OU dei tuoi PC

• Oppure collegala come nell’esmepio a OU Computer. Fai click destro sulla GPO → Edit

Naviga fino alla sezione Google Update

Computer Configuration
└── Policies
└── Administrative Templates
└── Google
└── Google Update
└── Applications
└── Google Chrome

Non vedi la sezione Google? Significa che i file ADMX non sono stati copiati correttamente nel Central Store oppure stai usando l’editor locale invece di quello collegato a SYSVOL. Ricontrolla il percorso al passo precedente.

Impostazione da configurare

Apri la voce Update policy override e impostala così:

• Stato: Enabled
• Valore nel menu a tendina: Always allow updates

Lascia tutte le altre voci su Not Configured per evitare conflitti.

Step 4 — Applicare la GPO ai client

Collega la GPO alla OU che contiene i computer da gestire (se non l’hai già fatto).

Sui client puoi forzare l’applicazione immediata con:

gpupdate /force

Step 5 — Verificare che tutto funzioni

Verifica le policy applicate

Apri Chrome su un client e vai sulla barra degli indirizzi e copia il codice sottostante:

chrome://policy

Dovresti vedere tutto in fondo:

Il valore 1 corrisponde a updatePolicy. Se lo stato è OK e non ci sono conflitti, la GPO è applicata correttamente.

Verifica con gpresult

Da cmd come amministratore sul client:

gpresult /r

Controlla che il nome della tua GPO compaia sotto Applied Group Policy Objects.

Verifica nel tempo

Annota la versione attuale di Chrome andando su:

chrome://version

Dopo qualche giorno ricontrolla — se il numero di versione è salito, gli aggiornamenti automatici funzionano.

Errori comuni e soluzioni

“An appropriate resource file could not be found”

Hai copiato il file .admx ma manca il corrispondente .adml nella cartella della lingua (en-US o it-IT). Copia i file .adml come descritto al passo 2.

La sezione “Google” non compare nel GPO Editor

I file ADMX non sono nel Central Store corretto oppure stai modificando una GPO in locale invece che da SYSVOL. Verifica il percorso \\<tuodominio>\SYSVOL\....

Stato “Conflitto” su una policy

Significa che due GPO impostano la stessa voce con valori diversi. Usa gpresult /h report.html per identificarle e lascia attiva solo una delle due.

Conclusione

Con questa configurazione tutti i PC del dominio manterranno Chrome aggiornato automaticamente, senza intervento degli utenti. Google Update controllerà la disponibilità di nuove versioni ogni poche ore e le installerà in background, riducendo significativamente la superficie di attacco esposta da browser obsoleti.

Una piccola GPO, un grande vantaggio per la sicurezza aziendale.