Die Erweiterung per Active-Directory-GPO verteilen

Verteilen Sie die Zeuslock-Browser-Erweiterung per Gruppenrichtlinie auf domänengebundene PCs. Die Erweiterung wird auf Ihrem eigenen Webserver gehostet (kein Store) und funktioniert für Edge und Chrome.

Kein Intune oder Google Workspace? Sie können die Erweiterung per Gruppenrichtlinie (GPO) verteilen. Hier liegt die Erweiterung auf Ihrem eigenen Webserver (kein Store), und die Gruppenrichtlinie weist jeden PC an, sie zu installieren. Das funktioniert für Edge und Chrome. Die Einrichtung dauert länger, ist aber nur einmal nötig.

Was Sie benötigen

Eine Active-Directory-Domäne mit der Gruppenrichtlinien-Verwaltungskonsole (gpmc.msc).
Windows 10/11-PCs, die der Domäne beigetreten sind, in einer OU.
Ein Webserver in Ihrem Netzwerk (IIS eignet sich gut), um zwei Dateien zu hosten.
Ihr API-Schlüssel sowie Edge und/oder Chrome auf den PCs.

Schritt 1 — Die Erweiterungsdateien holen

Laden Sie zeus-extension.crx (die Erweiterung), zeus-extension.pem (einen privaten Schlüssel — sicher aufbewahren für künftige Updates) und extension-id.txt herunter. Überall verwenden Sie einen Wert wieder, die Erweiterungs-ID:

hgooghpcnalhpjbemnnmdoabfjhchoip

Schritt 2 — Die Update-Datei erstellen

Browser benötigen eine kleine update.xml, die auf die Erweiterung verweist:

<?xml version='1.0' encoding='UTF-8'?>
<gupdate xmlns='http://www.google.com/update2/response' protocol='2.0'>
  <app appid='hgooghpcnalhpjbemnnmdoabfjhchoip'>
    <updatecheck codebase='http://YOUR_SERVER/zeus/zeus-extension.crx' version='3.24.0' />
  </app>
</gupdate>

Ersetzen Sie YOUR_SERVER durch den Namen oder die IP-Adresse Ihres Servers.

Schritt 3 — Die Dateien auf Ihren Webserver legen

Installieren Sie IIS und erstellen Sie den Ordner C:\inetpub\wwwroot\zeus.
Kopieren Sie zeus-extension.crx und update.xml hinein.
Erlauben Sie IIS, die Erweiterung auszuliefern, indem Sie einen MIME-Typ hinzufügen — Erweiterung .crx, Typ application/x-chrome-extension. (Ohne dies schlägt der Download fehl.)
Testen Sie von einem anderen PC: Öffnen Sie http://YOUR_SERVER/zeus/update.xml (Sie sollten XML sehen) und der .crx-Link sollte heruntergeladen werden.

Schritt 4 — Die Browser-Richtlinienvorlagen hinzufügen

Damit die Gruppenrichtlinie die Erweiterungseinstellungen anzeigt, kopieren Sie die ADMX-Vorlagen von Edge und Chrome in den Central Store Ihrer Domäne (den Ordner PolicyDefinitions). Öffnen Sie dann gpmc.msc, bearbeiten Sie eine GPO und prüfen Sie, dass Microsoft Edge und Google Chrome nun unter Computerkonfiguration → Administrative Vorlagen erscheinen, jeweils mit einem Abschnitt Erweiterungen.

Schritt 5 — Den PCs sagen, dass sie die Erweiterung installieren sollen

Erstellen Sie eine neue GPO, die mit Ihrer Arbeitsplatz-OU verknüpft ist, und aktivieren Sie die erzwungene Installation:

Edge: Computerkonfiguration → Administrative Vorlagen → Microsoft Edge → Erweiterungen → „Steuern, welche Erweiterungen unbeaufsichtigt installiert werden“ → Aktiviert → Anzeigen → fügen Sie hinzu:

hgooghpcnalhpjbemnnmdoabfjhchoip;http://YOUR_SERVER/zeus/update.xml

Chrome: Computerkonfiguration → Administrative Vorlagen → Google → Google Chrome → Erweiterungen → „Liste der zwangsweise installierten Apps und Erweiterungen konfigurieren“ → Aktiviert → Anzeigen → fügen Sie dieselbe Zeile hinzu.

Schritt 6 — Ihre Zeuslock-Einstellungen hinzufügen

Dies gibt der Erweiterung Ihren API-Schlüssel, damit sie sich automatisch verbindet. Fügen Sie unter Computerkonfiguration → Einstellungen → Windows-Einstellungen → Registrierung die folgenden Werte hinzu, unter dem Schlüssel für jeden genutzten Browser:

Edge: HKLM\SOFTWARE\Policies\Microsoft\Edge\3rdparty\extensions\hgooghpcnalhpjbemnnmdoabfjhchoip\policy
Chrome: HKLM\SOFTWARE\Policies\Google\Chrome\3rdparty\extensions\hgooghpcnalhpjbemnnmdoabfjhchoip\policy

Einstellung	Typ	Wert
`apiUrl`	REG_SZ	`https://api.zeuslock.ai`
`apiKey`	REG_SZ	`YOUR_API_KEY`
`orgName`	REG_SZ	Ihr Organisationsname
`enabled`	REG_DWORD	`1` (Schutz an)
`blockMode`	REG_DWORD	`1` = blockieren, `0` = nur warnen
`showNotifications`	REG_DWORD	`1` (Hinweise anzeigen)
`allowUserConfig`	REG_DWORD	`0` (Einstellungen sperren)

Tipp: Erstellen Sie den ersten Registrierungseintrag und kopieren Sie ihn dann für die übrigen — ändern Sie jeweils nur Name und Wert.

Schritt 7 — Ausrollen und prüfen

Führen Sie auf einem Test-PC gpupdate /force aus und starten Sie den Browser neu.
Öffnen Sie edge://extensions oder chrome://extensions — Zeuslock zeigt „Von Ihrer Organisation installiert“ und kann nicht abgeschaltet werden.
Schnelltest: Fügen Sie 4111 1111 1111 1111 in ChatGPT ein und senden Sie — Sie sollten das rote Banner „SENDEN BLOCKIERT“ sehen und den Vorfall in Ihrem Dashboard.

Sobald es auf einem PC funktioniert, führen Sie gpupdate /force in der gesamten OU aus (oder lassen Sie die Richtlinie bei der nächsten Anmeldung greifen).