Firefox per Gruppenrichtlinie steuern

Von
Tobias Steinicke
-

Ihr wisst, ich bin kein Fan vom Firefox, aber da er sicherlich bei vielen von Euch in den Unternehmen anstatt des Internet Explorers eingesetzt wird, könnte die Möglichkeit, Firefox per GPO zu steuern,  interessant für Euch sein.

Beachtet bitte auch meinen Artikel “Best Practise: Gruppenrichtlinien-Einstellungen (GPO) für Firefox in einer Enterprise-Umgebung“, in welchem ich empfehlenswerte Einstellungen vorstelle. Admins, die Tipps für die Administration einer Google Chrome Umgebung suchen, werden ebenfalls in einem separten Artikel fündig: Best Practise: Google Chrome per Gruppenrichtlinie steuern

Mittels GPO for Firefox könnt ihr so die z.B. Standardeinstellungen für die Startseite und Proxy festlegen, könnt aber genauso auch bestimmte Features nach Beliebigen und flexibel sperren.

Um GPO for Firefox zu verteilen sind im Wesentlichen drei Komponenten notwendig

  1. Ein ADM-Template für den Gruppenrichtlinieneditor, über den ihr die zentralen Einstellungen festlegt
  2. Eine Firefox-Extension, damit Firefox “weiß”, dass er Einstellungen per GPO erhält
  3. Ein Skript oder eine Alternativmethode, um die Extension automatisch an alle Clients zu verteilen.

Um die Extension sauber als globale Erweiterung auf den Clients zu installieren, habe ich die “entpackte” XPI-Datei (Ordner mit den Extension-Dateien) aus “\Programme\ Firefox\ Extensions\” kopiert und im NETLOGON-Verzeichnis der Domain Controller in einen separaten Ordner abgelegt.

Per Startscript erhalten die User anschließend den entsprechenden Ordner in ihr Programmverzeichnis kopiert, sofern dieser noch nicht (in der aktuellen Version) vorhanden ist.

Wurde die Extension erfolgreich installiert, seht ihr auf Euren Clients folgendes Icon im rechten Bereich der Statusleiste:

GPO for FirefoxPer GPO könnt ihr nun die verfügbaren Einstellungen steuern:

GPO for Firefox

30 Kommentare

  4. So einfach und sauber sehe ich das leider nicht.

    Bei mir liegt die Extension unter %%APPDATA%\Mozilla\Firefox\Profiles\53laznyx.default\extensions\gpofirefox@extensions.org\

    Bei Kollegen heißt das default Profile anders (zb. default.rem).

    Wohin ich das Teil kopieren muss, damit es jeder bekommt, weiß ich jetzt immer noch nicht.

    Wie soll denn das Script aussehen?!

    • Die entpackte Extension (Ordner gpofirefox@…) unter “%ProgramFiles%\[FIREFOX-Verzeichnis]\Extensions” ablegen, dann wird diese als globale Extension für alle User installiert.

      • hi Tobbi, schöne Anleitung, ich bastel grad am Rollout für 18.0.1 und will kontrolliert Extensions mitgeben. MSI Wrapper Rollout funzt soweit, bei installierter Rohversion des Firefox wird der Benutzer jedoch nach der Erlaubnis gefragt, die Extension (globale extension im Firefox Programmpfad(win7)) zu installieren. kann man das aushebeln, quasi silent die extensions installieren? Gibts da nen Ansatz?

        • Hi, nicht so richtig.
          Versuch mal, ob es klappt, wenn Du ein “Default” Profile erzeugst und dies dann unter im Default Verzeichnis unter \Programme\Firefox liegst.

  5. Hallo,

    genial gemacht! Danke

    Ein Problem habe ich, ich trage in den GPO´s die Startseite ein, in den Einstellungen der “Clients” steht die auch drin, nur leider wird eine leere Seite aufgemacht!
    Wenn ich dann auf das “Haus” klicke, kommt die Seite.

    • Hi, hast Du die Startseite im Maschinen- oder Benutzerteil eingetragen? Wie sah Deine Initialinstallation vom Firefox (per Deployment oder wie auch immer) aus? Hier irgendwelche Einstellungen schon vorab vorgenommen?

  6. Hallo
    Wie kann ich in der aktuelle Firefox Version 4.0 unter
    Extras->Einstellungen->Allgemein
    die Option Add-ons über GPOs deaktivieren.
    In den GPOs Optionen unter Mozilla Advanced Option->xpinstall gibt es zwar den Eintrag xpinstall.enabled den man setzen kann aber in der Version 4.0 unter about:config gibt es diesen Eintrag nicht mehr.
    Danke

    • Hallo Lars,
      leider ist das Addon bis dato von dem Entwickler noch nicht entsprechend für die Version 4.0 angepasst worden – hoffe, dass dies bald geschieht.
      Derzeit gibt es nur eine von Frontmotion optimierte Version (Community Version), die zwar auch als ADMX-Datei der Gruppenrichtlinie vorliegt, dafür aber leider nur wenige Einstellungsmöglichkeiten bietet. Schau Sie Dir aber vlt. trotzdem mal an, vielleicht ist deine gesucht Option dabei.

  7. Hallo,
    wir haben das Problem, dass sich unser Firefox in der Citrix Umgebung selbstständig aktualisiert und anschließend einen Neustart benötigt. In der Zeit, bis der Neustart erfolgt, können die Citrix-Benutzer den Firefox nicht mehr starten, weil der Firefox einen Neustart benötigt.

    Kann ich zentral die automatische Updatefunktion des Firefox’s deaktivieren und nur z.B. am Wochenende das Update manuell starten? Geht das mit dem ADM Template?

    • Hallo Markus,

      ja das geht.

      Das Update-Häkchen lässt sich über die ADM-Datei abschalten bzw. lässt sich die Option deaktivieren. Gerade in der Citrix-Umgebung aus meiner Sicht ein Muss.

      Je nachdem, über welche Deploymentvariante Du ggf. verwendest, könnt vlt. auch die MSI-Variante von Frontmotion für Dich interessant sein.

  8. Hallo Tobbi,

    danke, das hat soweit geklappt nach deiner Anleitung.

    Wichtig war auch noch, das ich dem Hinweis von folgender Seite nachgegangen bin: http://www.windows-faq.de/2010/02/20/ereignis-1054-im-ereignisprotokoll-der-domaenencontrollername/

    Sonst hat er meine Domäne nicht gefunden bzw. hat eine Fehlermeldung im Ereignislog generiert.

    Frage: Wie kann ich speziell verhindern, das irgendwelche Toolbars oder Erweiterungen vom Benutzer installiert werden?

    Ich habe in der Gruppenrichtlinie “Locked Settings” und einmal den Reiter “Default Settings” sowie einmal den Punkt “Computerkonfiguration” sowie “Benutzerkonfiguration”. Wo liegt hier der Unterschied?

  9. Ich bekomme das nicht hin. Ich habe das entpackt im netlogon verzeichnis einen odner angelegt der heisst firefox. Dorthinein habe ich das entpackte zeug hineinkopiert. Dann gruppenrichtliene geöffnet und unter windows einstellungen scripte den Pfad angegeben zur script datei. In der Datei habe ich geschrieben xcopy /e \\server\netlogon\firefox\ “c:\programme\mozilla firefox\extensions\”
    aber es klappt nicht. Hat jemand ne gute Idee?
    Danke im Voraus!

    • versuch es mal von \\DOMÄNE\SYSVOL\DOMÄNE\SCRIPTS\… zu kopieren

      Wenn Du bereits mit Srv 2008 arbeitest, kannst Du die Dateien auch bequem über die Group Policy Extensions kopieren.

  10. Was muss man tun damit es läuft?
    .adm(x) einbinden reicht bei mir nicht.
    Hast Du noch ein Startskript laufen oder das PlugIn installiert? Das wollte ich vermeiden. Hoffe es geht auch ohne. Obwohl ich nicht wüsste wie. Die GRL müsste ja dann die prefs.js ändern und das macht sie ja sicher nicht ohne weiteres. Oder holt sich die prefs.js die Einstellungen aus der Registry?
    Gruß,
    tim.business (skeipe;)

    • Hi,
      es gibt zwei Möglichkeiten:
      1. Du installierst die Extension
      2. Du nimmst den Setup von Frontmotion.com

      Ohne eine der beiden Alternativen funktioniert es nicht.

  11. Hi, danke erstmal. Aber wie funktoniert die Extension, eine Idee? Weißt Du ob sie für 10.04esr funktioniert? Werd es morgen mal probieren. Grüße PS: es ist echt der Wahnsinn, dass sie die GPO Unterstützung immer noch nicht mitliefern. Hatte versucht zur derzeit im Entwicklerkreis mittels Mailingsliste enterprise@mozilla.org dies durchzusetzen aber die Entwickler sind am längeren Hebel und haben ihre eigenen Vorstellungen, sie sich nicht zwingend mit denen der geschäftl. Kunden decken. Schade. Vlt. bald.

    • Ob sie mit Firefox 10 funktioniert? Jein, der Entwickler hat ja schon einige Zeit nichts mehr gemacht. Du kannst Die aber selbst anpassen.

      Dazu musst Du die XPI mit 7-Zip öffnen und (ich meines es war) Install.rdf modifizieren. Hier steht nämlich an einer Stelle, für welche Version die Extension geeignet ist. Ersetze die bestehende Version (7?) durch 10, dann klappts.

      Oder halt die Version von Frontmotion nehmen, dann musst du keine Extension zusätzlich installieren. Die bieten auch die ESR-Version an.

      Ansonsten: Stimmt, das Mozilla das immer noch nicht gebacken bekommen hat. Ein gutes Beispiel ist Chrome, die haben das schon lang von Haus aus.

  13. Hallo Tobby,

    ich moechte die Firefox Version ESR 17.0.x auf Citrix XenApp 6.5 bereitstellen.
    Die Veroeffentlichungen werden fuer verschiedene Lokationen gemacht, z.B. Deutschland, Oesterreich, Niederlande, usw. Dafuer soll jede Lokation ihr eigenes Profil erhalten. Diese sollen waehrend dem Sessionlogin von einem Fileserver in das jeweilige Homelaufwerk eines Users kopiert werden. Der Kopiervorgang funktioniert, allerdings wird immer Defaultprofil verwendet.

    Koenntest Du mir eventuell einen Tipp geben wie ich den Usern das lokationsbezogene Profil zuwesien kann?

    VG – Christoph

    • Hi,
      siehe mein Kommentar vom 23. Januar 2013.

      Hast Du damit schonmal rumgespielt? Dieser Pfad gilt eigentlich generell seit Version 10? um ein Standardprofil zu erzeugen.

      Du sagtest aber, dass eigentlich beim Starten auf XenApp ein Skript im Hintergrund läuft, das vor dem Starten von firefox.exe das Profil in das TSE-Profil unter Appdata vom User kopiert? Dann sollte es dort eigentlich auch gezogen werden, es sei denn im jeweiligen Benutzerkontext befinden sich noch andere Anwendungsdaten, welche eine weitere Firefox-Profil ID besitzen.

      Ist das Verzeichnis vorher denn komplett frisch erzeugt?

      Um das zu prüfen vlt. mal im Userkontext den Parameter “firefox -p” aufrufen, um den Profilmanager anzuzeigen. (s. http://support.mozilla.org/de/kb/firefox-profile-erstellen-und-loeschen)

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein