Best Practise: Gruppenrichtlinien-Einstellungen (GPO) für Firefox in einer Enterprise-Umgebung

Bereits 2010 hatte ich von der Möglichkeit berichtet, den Firefox in einer Unternehmensumgebung mittels Gruppenrichtlinien zu steuern.

Grundsätzlich gibt es zwei Möglichkeiten, den Firefox mit Gruppenrichtlinien zu steuern:

  1. Man greift auf die damals beschriebene Extension zurück, die nach wie vor verfügbar ist. Allerdings muss diese per Hand (modifizieren der install.rdf innerhalb der xpi-Datei) angepasst werden, um auch noch mit Firefox 9 zu laufen (evtl. folgt eine Anleitung mal bei Gelegenheit)
  2. Man greift auf die Pakete von Frontmotion zurück, die ebenfalls ADM(X)-Dateien zur Steuerung der (Community)-Edition bereitstellen.

Anhand eben dieser Version von Frontmotion möchte ich auf meine Best Practise Einstellungen der Gruppenrichtlinien eingehen. Die meisten (wenn auch nicht alle neueren Einstellungen) bietet auch die Extension GPO for Firefox, teilweise anderes benamst.

Computereinstellungen

Firefox.adm

Im Folgenden meine gesetzten Einstellungen, die im Computer-Kontext allgemeingültig sind (geladen über die Firefox.adm):

  • Disable Firefox Default Browser Check
    Wert: Aktiviert
    Schaltet die “Default Browser”-Überprüfung ab. Diese Entscheidung nehme ich dem Anwender ab, ganz einfach. Besonders auf einem Terminal/Citrix-Server will ich die Meldung überhaupt nicht sehen 😉
  • Disable XPI-Installs
    Wert: Aktiviert
    Selber Ansatz wie bei der “Default-Browser”-Überprüfung. Nichts ist schlimmer als zig installierte Extensions in einer homogenen Umgebung, sei es auf Clients oder auf Terminal-/Citrix-Servern. Also verbieten.
  • Proxy Settings
    Wert: Aktiviert
    Grundsätzlich wird wahrscheinlich in jeder größeren Umgebung, der Webtraffic über einen Proxy geschickt. Sei es zwecks Filterung bestimmter Seiten oder aufgrund der Caching-Funktionalitäten.
    Je nachdem, wie ihr das Thema bei Euch abdeckt (PAC-Datei, WPAD), gibt es hier verschiedene Einstellungen. Ich greife z.B. alt bewährt auf eine PAC-Datei zurück – und wähle entsprechend “Automatic Proxy Configuration URL”
  • Set Default Location
    Wert: Set Manually (User-Homelaufwerk)
    Eine “Kann”-Option. Ich “schicke” alle Downloads z.B. auf das Home-Laufwerk des Users.

Mozilla.adm

Zusätzliche (tiefergehende Einstellungen) erfolgen per Mozilla.adm.

Während die vorigen Einstellungen dem Admin eine etwas leichter zu konfigurierende (fast schon assistentenartige Einstellungsoberfläche bietet, geht die Mozilla.adm wesentlich tiefer, sie bietet nämlich (fast) alle (?) Einstellungen, die man im Firefox per about:config konfigurieren “könnte”. Warum könnte? Die mittels GPO scharfgeschalteten Einstellungen lassen sich später vom Anwender nicht mehr ändern, da gesperrt (siehe dazu auch der Eintrag bei Mozilla: Locking preferences). Dies gilt übrigens auch für die bereits oben genannten Einstellungen.

Die folgenden Einstellungen sind alle in der Kategorie “Locked Settings” gesetzt

  • Browser > Browser.Feeds.ShowFirstRunUI
    Wert: Deaktiviert
    Zeigt nicht mehr das initiale RSS-Intro an
  • Browser > browser.rights.3.shown
    Browser > browser.rights.version

    Wert: Deaktiviert
    Zeigt nicht den Lizenzvereinbarungsdialog (“Know your rights”) u.ä. beim ersten Start des Firefox an.
  • Browser > browser.shell.checkDefaultBrowser
    Wert: Deaktiviert
    Siehe oben, bewirkt selbiges: Keine Überprüfung auf Standard-Browser
  • lightweightThemes > lightweightThemes.update.enabled
    Wert: Deaktiviert
    Nein, ich will keine aktivierten Update-Funktionalitäten für Anwender 🙂 In diesem Fall die Lightweight-Themes.
  • services > services.sync.clients.lastSync
    services > services.sync.engine.history
    services > services.sync.engine.prefs   
    services > services.sync.tabs.lastSync

    Werte: Deaktiviert
    Dito, soweit wie möglich auch die Synchronisations-Funktion abschalten, hier gibt es noch weitere Parameter und Einstellungen, die ich gerade teste.
    Eine Möglichkeit, den gesamten Reiter “Sync” auszublenden, habe ich bis dato leider noch nicht gefunden.
  • startup.homepage_override_url
    Wert: Eure festgelegte Startseite
    Diese Einstellung habe ich wieder deaktiviert. Soviel Freiheit darf der Anwender dann doch haben – seine Startseite festzulegen.
    Wenn das bei Euch nicht gewünscht ist, aus welchen Gründen auch immer, ist hier z.B. die Internet- oder Intranet-Adresse Eures Unternehmens einzutragen.
  • startup.homepage_welcome_url
    Wert: Eure festgelegte Startseite

    Mit dieser Einstellung verhält sich etwas anders, als bei startup.homepage_override_ url. Diese zieht nämlich nur einmal, bzw. nach jedem Update/Upgrade, welches ihr vom Firefox einspielt. Damit die Willkommensseite oder auch “What’s new in Firefox X.X” nicht angezeigt zu bekommen, am besten mit der Webadresse Eures Unternehmen überschreiben.

Kommen wir noch zu einigen Spezialfällen, die insgesamt noch nicht so rund laufen, wie ich es mir vorstelle. Üblicherweise prüft Firefox nach der Installation einer neuen Version alle Extensions hinsichtlich Kompatibilität der installierten Addons.

Dies bekommt man als Anwender mittels Wizard präsentiert und kann auswählen, was aktiviert werden soll und was nicht.

So kann es nun aber sein, dass – obwohl bei Euch offensichtlich keine Extensions im Einsatz sind – sich ja z.B. irgendwo noch die Microsoft .NET Framework oder Java-Extension verirrt hat; Die Folge, der Anwender bekommt den Wizard angezeigt, obwohl sonst eigentlich keine Extensions installiert sind.

Oder ihr verteilt zusätzliche Extensions, von denen ihr nicht wollt, dass der Anwender sie deaktivierten könnte. Wie z.B. das GPO for Firefox Addon, wenn ihr das übliche Setup-Paket vom Firefox nutzt und nicht die Community-Edition, in welcher die GPO-Extension schon integriert ist.

Folgende Einstellungen habe ich bereits aktiviert, in nicht allen Fällen klappte es, sodass ich zusätzlich versucht habe, zunächst z.B. sämtliche Leichen der .NET- und Java-Extension zu löschen.

  • extensions > extensions.checkCompatibility
    extensions > extensions.checkCompatibility.7.0b

    Werte: Deaktiviert
    Prüfe nicht hinsichtlich Kompatibilität. Hier ist die ADM allerdings etwas veraltet, der “Versioneintrag” geht nur bis 7.0b
  • extensions.shownSelectionUI
    Werte: Aktiviert
    Deaktiviert den Extensions-Wizard beim erstmaligen Start nach einem Update
  • extensions.ui.locale.hidden Werte: Deaktiviert
    dito, ebenfalls eine Einstellung zum Ausblenden.
  • extensions.update.autoUpdateDefault
    extensions.update.enabled
    extensions.update.notifyUser

    Werte: Deaktiviert
    Diverse Einstellungen zum Deaktivieren von Extensions-Updates.
  • extensions.autoDisableScopes
    Wert: 11
    Damit werden globale Extensions, die unter %ProgramFiles%\Firefox liegen erlaubt, Extensions von irgendwo anders nicht.

Fazit

Zusammengefasst schnürt die Gruppenrichtlinienmethode für mich ein (fast) perfektes Paket, den Firefox zentral steuern zu können. Wenn Mozilla sich nun endlich dazu durchringt, auch im Enterprise-Bereich einen sauberen Support zu bringen, sprich diese Optionen von Haus aus mitkommen und nicht über Drittprodukte (Extension, Frontmotion-Pakete) gelöst werden müsste, wäre diese noch besser und einfacher.

Probiert die Möglichkeiten aus, hoffentlich helfen Sie Euch in Eurer Umgebung. Habt Ihr noch andere Einstellungen, die ich erwähnen bzw. bei mir setzen sollte? Gerne her damit 🙂

Weblinks

8 Kommentare

  1. Hallo Tobbi,
    was hier fehlt sind ist die Möglichkeit Firefox Updates an sich zu deaktivieren. Wie hast Du das umgesetzt? Sehr schöne Seite. Hier mal meine Einstellungen:
    Mozilla Firefox Locked Settings
    Allow Update and Auto Update Firefox – Deaktiviert
    Viele Grüße

    • Ich muss die Einstellung mal heraussuchen, die gab es mW irgendwo…
      Generell kann ich auch die ESR-Versionen empfehlen, die sind was das Update-Verhalten angeht, auch für den Admin etwas bequemer.

  2. Hallo,

    ich habe mich heute erstmalig mit dem Thema “GPO für Firefox” befasst – ich bin überzeugter Chrome-Benutzer, weil man dem im Enterprise-Umfeld ohne großes Tam-Tam so schön konfigurieren kann.

    Auf jeden Fall habe ich folgendes Szenario:
    * die aktuellsten mozilla.adm und firefox.adm von Frontmotion gezogen
    * Firefox in Version 34.0.5 (ich weiß, nicht brandaktuell)
    * GPO for Firefox installiert

    Ich habe in dem Gruppenrichtlinienobjekt einige Einstellungen gesetzt (u. a. auch die oben beschriebenen). Der Firefox scheint das auch zu merken – bspw. bei browser.shell.checkDefaultBrowser wechselt er in den Modus “gesperrt”, wenn ich die Einstellung konfiguriere. Allerdings bleibt der Wert der Einstellung immer “true” – egal, ob ich die Einstellung “nicht konfiguriere”, “aktiviere” oder “deaktiviere”. Hast du das schon einmal gehört?

    Es betrifft neben der angesprochenen Einstellung – so weit ich das überblicke – auch alle anderen. Startseite greift bspw. auch nicht.

    LG
    Philipp

  3. Hallo Tobias,

    habe mir schon gedacht, dass da etwas nicht stimmen kann.

    Leider gibt es bei Chrome seit dieser Version auch ein Problem: Google hat im September 2013 ja angekündigt, den Support für NPAPI bzw. NPAPI-basierende Erweiterungen einzustellen. Mittlerweile sind wir in dem Stadium, dass NPAPI standardmäßig deaktivert ist. Java-Applets melden “Dieses Plug-in wird nicht unterstützt”. Fertig. *Noch* kann man es in den Flags wieder aktivieren, aber ab September 2015 geht auch das nicht mehr – dann ist Schicht im Schacht, wenn Oracle nicht reagiert. Die empfehlen lapidar, einen anderen Browser zu verwenden.

    Nur mal zum Hintergrund, warum ich geschrieben habe: Ich für meinen Teil betreue unter anderem auch öffentlich zugängliche Computer in einer Universitätsbibliothek – ich bin also auf einen Browser angewiesen, den man (per Gruppenrichtlinien) administrieren kann. Leider bewegt sich der einzige Browser, den man dafür vernünftig verwenden kann, in die falsche Richtung, denn ich brauche *unbedingt* auch Java-Applets für diverse Online-Fachdatenbanken etc.

    Hoffentlich reagiert Oracle… 🙁

    • Jepp, da gebe ich dir Recht. Zum Thema Browser-Administration im Unternehmensumfeld gibt es da auch noch (das) A&O, die alles komplizierter machen – Stichwort Flashplayer und Java… 😉

  4. Hallo Tobias,

    ich bin auch auf der Suche nach Einstellungsmöglichkeiten für Firefox via GPO gewesen und zum Teil schon erfolgreich gewesen. Die Gründe hierfür sind wie weiter oben auch schon beschrieben.
    Leider finde ich eine für mich relevante Einstellung nicht in den Richtlinieneinstellungen.
    Ich will per GPO dafür sorgen, dass der Browsercache beim beenden des Browsers geleert wird.
    Der Inhalt des Caches von zig Mitarbeitern zehrt am Speicherplatz und beschäftigt den Virenscanner.
    Ich nutze eine aktuelle firefox.adm. Kennst du eine Einstellung, die mir weiterhelfen würde?

    Vielen Dank schon mal

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein