Firefox Einstellungen per Gruppenrichtline steuern

Kurzes Vorwort:

Hier eine kurze Übersicht, wie ich in unserem Unternehmen den Firefox per GPO steuer. Eine ADMX-Datei gibt es vielleicht irgendwo, aber die haben oft das Problem, nicht aktuell genug zu sein. Deswegen steuer ich das Ganze über eine CFG-Datei, welche ich im Programmverzeichnis von Firefox platziere. Diese definiert die Einstellungen in Form der Parameter, die man unter about:config auch hinterlegen kann und legt auch fest, ob diese Richtlinie nun erzwungen wird, oder ob sie vom Benutzer verändert werden darf. Bestes Beispiel: als Admin möchte man das Auto-Update ggf. deaktivieren, da man Firefox selbst verteilen möchte.

Meine Informationen zu diesem Thema habe ich über andere Blogs und Internetseiten zusammengetragen. Sehr aufschlussreich dabei war diese Seite von Mozilla selbst: https://developer.mozilla.org/de/Firefox/Nutzung_in_Unternehmen

Die folgenden Konfigurationsschritte beschreiben eine Installation von Firefox x64 auf einem 64 Bit System. Wer die x86 Version auf einem 64 Bit System verwendet, muss statt "C:\Program Files" eben "C:\Program Files (x86)" verwenden. Für die Bearbeitung der Textdateien empfehle ich Notepad++.

Aktivierung der Konfiguration über eine CFG-Datei:

Um eine "Remotekonfiguration" von Firefox über die Konfig-Datei zu aktivieren, muss zunächst eine "autoconfig.js" im Ordner "C:\Program Files\Mozilla Firefox\defaults\pref" abgelegt werden. Diese sieht bei mir wie folgt aus:

pref("general.config.filename", "mozilla.cfg");
pref("general.config.obscure_value", 0);

Der hier in der ersten Zeile angegebene Dateiname muss später auch verwendet werden, darf laut Mozilla aber auch abweichen. Standard ist aber mozilla.cfg.

Konfiguration festlegen mithilfe der "mozilla.cfg"

Die Einstellungen selbst definieren wir in der mozilla.cfg, welche im Root-Installationsordner von Firefox liegt, also "C:\Program Files\Mozilla Firefox". Hier ein Beispiel, wie der Inhalt dieser Datei aussehen könnte. Hinweis: Zeilen mit // am Anfang kommentieren den Inhalt aus und dienen hier der Dokumentation. Jede Zeile muss mit Semikolon abgeschlossen werden!


// Deaktiviert den Updater
lockPref("app.update.enabled", false);
lockPref("app.update.auto", false);
lockPref("app.update.mode", 0);
lockPref("app.update.service.enabled", false);
lockPref("app.update.autoUpdateEnabled", false);

Wer also das Auto-Update definitiv deaktivieren möchte, der solte diese Einstellungen setzen. Nach einem Neustart wird im Fenster "Über Mozilla Firefox" anstelle der normalen Updateanzeige der Text "Updates von Ihrem System-Administrator deaktiviert" angezeigt (kann je nach Firefox-Version abweichen).

Erklärung zum Pref-Präfix seitens Mozilla:

pref
nimmt eine Einstellung vor, als hätte der Benutzer sie eingestellt, jedes Mal wenn der Browser gestartet wird. Nutzer können zwar Änderungen an den Einstellungen vornehmen, jedoch werden diese beim nächsten Start überschrieben. Wenn Sie auf diese Weise Einstellungen vornehmen, wird die Einstellung in about:config als "vom Benutzer eingestellt" angezeigt.

defaultPref
wird gebraucht um die Standardeinstellung zu ändern, jedoch kann jeder Nutzer die Einstellungen ändern. Die Einstellungen werden zwischen Sitzungen gespeichert. Sollten alle Werte auf ihren Ursprung zurückgesetzt werden, werden die so geänderten Einstellungen auf den von Ihnen gesetzten Wert geändert. Taucht in about:config als "standard" auf.

lockPref
wird genutzt um Einstellungen zu blockieren, sodass sie nicht mehr vom Nutzer umgestellt werden können, weder über die Einstellungen, noch über about:config. Das Fenster mit den Einstellungen wird sich ändern um dies zu reflektieren, indem es nicht verstellbare Optionen weglässt oder grau färbt.Taucht in about:config auf als "blockiert". Manche Einstellungen benötigen lockPref um geändert zu werden, wie beispielsweise app.update.enabled. Es funktioniert nicht, wenn es nur mit pref geändert wird.

clearPref
kann benutzt werden um einige Einstellungen auszublenden. Dies kann nützlich sein, um einige Funktionen zu deaktivieren, die darauf basieren Versionsnummern zu vergleichen.

Also: pref nimmt man eher selten, der User könnte zwar etwas ändern, aber beim nächsten Browserstart wäre die Einstellung wieder hinfällig. Deswegen verwende ich meist lockPref, damit wird dem User gleich die Möglichkeit zum Ändern genommen. defaultPref eignet sich z. B. gut für Dinge wie die Standard-Startseite, die man zwar vorgeben kann, aber der User kann sie ändern, wenn er möchte.

Verteilen per GPO

Um die Dateien nun noch an ihren richtigen Platz zu kopieren und dort auch immer wieder anwenden zu lassen, kopiere ich die Dateien zum einen über das Installationskript vom Server in ihre Verzeichnisse. Ich habe zudem in meiner Installations-GPO noch festgelegt, dass die Dateien per GPO ebenfalls kopiert werden, das geht unter "Computerkonfiguration > Einstellungen > Windows-Einstellungen > Dateien". Die Kopieraktion binde ich an den "Zielgruppenadressierungseditor" (Zielgruppenadressierung auf Elementebene) und gebe als Bedinung das Vorhandensein des Ordners von Mozillla Firefox an oder von der firefox.exe. Die autoconfig.js kopiere ich mit der Aktion "Aktualisieren" und die mozilla.cfg mit der Aktion "Ersetzen". So ist sichergestellt, dass bei jedem GPO Polling die Datei wieder in dem Zustand ist, in welchem ich sie gerne hätte. Wünscht man verschiedene Konfigratuionen für verschiedene AD-Gruppen oder OUs bzw. Abteilung, kann man das natürlich noch beliebig variieren.

Eigene Einstellungen erzwingen

Möchte man nun noch andere Einstellungen verteilen, empfiehlt es sich, die korrekten Einstellungen in about:config herauszufinden und dann in die zentrale mozilla.cfg einzupflegen, die man regelmäßig auf die Clients kopiert. Beim nächsten GPO Poll ist die Einstellung dann am Client hinterlegt. Google hilft im Zweifelsfall dabei, die richtige Einstellung aus einem Menü auch in about:config zuzuordnen.

Hier geht es zu einem weiteren Beitrag, bei dem es darum geht, sämtliche Pocket-Funktionen aus Firefox 57 (und höher) zu entfernen.