Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Firefox mit AddOns - Verteilung und Steuerung über GPO in einer Windows 2003 Domäne

Mitglied: wannabe

wannabe (Level 1) - Jetzt verbinden

28.01.2010, aktualisiert 23:11 Uhr, 35994 Aufrufe, 6 Kommentare, 5 Danke

Es war soweit, ich stand vor dem Problem, Firefox in einer Domäne verteilen zu wollen, nein – sagen wir “zu müssen” das klingt dramatischer.

Meine Erfahrungen, Hilfsmittel und Ideen habe ich zusammengetragen, vielleicht hilft das dem ein oder anderen Admin, der vor dem gleichen Problem steht.
Letztlich konnte ich das Projekt in vertretbarer Zeit erfolgreich abschließen – und habe bisher auch nur positive Rückmeldungen von Usern erhalten – das hat man ja auch nicht allzu oft, wenn man sich mit Softwareverteilungen und msi-rumgefrickeleien beschäftigt. Irgendwer mault schließlich immer. Hier erfreulicher Weise nicht.

Um Firefox über Gruppenrichtlinien zu verteilen, sollten folgende Voraussetzungen erfüllt sein:
- Firefox Installationspaket als MSI-Paket, um eine problemlose Verteilungs- und Aktualisierungsinfrastruktur zur Verfügung zu haben
- Gruppenrichtlinienvorlagen, um Einstellungen domänenweit vorzunehmen
- Möglichkeit AddOns zu verteilen, ohne dass Nutzer Installationsberechtigungen für AddOns haben

Folgende Anforderungen müssen im exemplarisch geführten Tutorial erfüllt werden, um Firefox für die Verteilung frei zu geben:
1) Zentrale Verwaltung der Programmversion; zentrales ausrollen neuer Versionen
2) Möglichkeit einzelne Programmeinstellungen zentral zu verwalten und für Nutzer zu sperren
3) AddOn und Plugin-Installation soweit einschränken, dass Nutzer keine Installationsberechtigung haben, aber AddOns zentral und automatisch verteilt werden können.


Da die Firefox-Installationsroutine von Mozilla lediglich als .exe bereitgestellt wird, bestehen die beiden Möglichkeiten entweder selbst eine MSI zu erstellen, oder eine für die Weiterverteilung gedachte MSI eines Drittanbieters zu verwenden.

Da das Erstellen von MSIs besondere Systeme erfordert und zeitaufwendig ist, fällt die Entscheidung am besten auf vorbereitete Installationsroutinen von „FrontMotion“ (http://www.frontmotion.com), die bereits nötige Plugins, sowie die aktuelle Version des Adobe Flash-Players und des aktuellen Sun Java-Frameworks, enthalten.

Diese Installationsroutine kann mit Microsoft ORCA (MSDN) insoweit angepasst werden, dass eine bessere Akzeptanz der Nutzer durch ein gewohntes Erscheinungsbild erreicht werden kann.

Hierfür werden die von FrontMotion getätigten Änderungen in Applikations- und Pfadnamen entsprechend Rückgängig gemacht, um Firefox unter „Start – Programme – Mozilla Firefox – Mozilla Firefox“ anbieten zu können, statt dem vorgegeben Pfad von „Start – Programme – FrontMotion Firefox Community Edition – Front Motion Firefox“.

Hierfür wird die MSI am einfachsten mit ORCA durchsucht und die entsprechenden Einstellungen in den gewünschten Wert geändert.

Nach einer Testinstallation auf einem Test-Client und einer Kontrolle der geänderten Einstellungen kann die MSI per Softwareverteilung grundsätzlich auf Clients verteilt werden.
Hierzu wird eine Test-OU angelegt, in der die neue Softwareverteilungs-Gruppenrichtlinie erstellt wird. Innerhalb der Organisationseinheit befinden sich lediglich der oder die Test-Clients.

Um Einstellungen festlegen und für Nutzer zentral sperren oder freigeben zu können, werden Gruppenrichtlinien-Vorlagen benötigt. Die Überlegung diese selbst zu erstellen, wird aufgrund der Komplexität sicher verworfen. FrontMotion bietet zu den MSI Paketen auch Gruppenrichtlinien-Vorlagen, die die Möglichkeit bieten, viele Einstellungen, die in Firefox mit dem Befehl about:config manuell gesetzt werden können, zentral festzulegen oder als default-Wert vorzugeben.

Nach der Überprüfung der heruntergeladenen Vorlage habe ich die Vorlage noch um einige fehlende Einstellungen erweitert und die Beschreibungstexte vervollständigt.

Um AddOns (=extensions) zentral zur Verfügung zu stellen, ist grundlegendes Wissen über die Verwaltung von AddOns in Firefox nötig:

Vom Nutzer installierte AddOns sind stets nutzerspezifisch und werden demnach im Profilordner von Firefox abgelegt. Dieser befindet sich auf Windows XP Systemen unter „%userprofile%\Anwendungsdaten\Mozilla\Firefox\Profiles\[profilname]\extensions\“.
Wird über die Gruppenrichtlinien die Installation von AddOns verboten, kann von dort kein AddOn mehr installiert werden.

Globale AddOns, sprich AddOns die für jeden Nutzer eines Computers verfügbar sind, hingegen, werden im Programmverzeichnis von Firefox abgelegt: „%ProgramFiles%\Mozilla Firefox\Extensions\“ und müssen nicht installiert werden, sofern sie bereits entpackt zur Verfügung stehen.

Da Benutzer keine Schreibberechtigungen im Programmverzeichnis haben (sollten), ist also sichergestellt, dass AddOns nur von Administratoren mit dem entsprechenden Hintergrundwissen hinzugefügt werden können.

Bei den Firefox AddOn-Installationsdateien „*.xpi“ handelt es sich eigentlich um zip-Archive, die einfach in .zip umbenannt und dann entpackt werden können. Die entpackten Dateien müssen in einen Ordner verschoben werden, der mit der eindeutigen ID des AddOns benannt ist.
Dieser Ordner muss nun per Script in das Extensions-Verzeichnis im Firefox Programmordner kopiert werden und steht daraufhin beim nächsten Start von Firefox zur Verfügung.

Folgendes beschreibt die Vorgehensweise, um Adblock Plus für alle Nutzer zentral zur Verfügung zu stellen.

Zunächst wird die aktuelle Version der Installation heruntergeladen, hier „adblock_plus-1.1.3-fx+sm+tb+fn.xpi“.
Diese Datei wird nun in „adblock_plus-1.1.3-fx+sm+tb+fn.zip“ umbenannt und in einen neuen Ordner entpackt.
Das Archiv enthält die Dateien des AddOns und nun muss der Ordner mit der eindeutigen ID des AddOns benannt werden. Um diese ID herauszufinden, installiert man entweder auf einem Test-Client das AddOn manuell und kopiert den Namen, der im Profilverzeichnis von Firefox liegt, oder öffnet die im Archiv enthaltene Datei „install.rdf“, in der die ID ebenfalls auftaucht:
{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}

Der Ordner wird folglich „{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}“ genannt.

Nun muss dieser Ordner natürlich an einen für jedes Computer- und Benutzerkonto lesbaren Bereich verschoben werden, hier: „%LOGONSERVER%\netlogon\Softwareverteilung\Firefox\Extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}“.

Daraufhin muss auf einem Test-Client AdBlock Plus manuell installiert, und die gewünschten Filterlisten ausgewählt werden. Daraufhin erzeugt AdBlock Plus im Nutzer-Profil von Firefox den Ordner „adblockplus“ der die Filterlisten-Datei „patterns.ini“ enthält, in der alle Filterlistenabbonnements enthalten sind.
Diese Datei wird besten in den bereitgestellten Ordner des AddOns verschoben.

Um die Änderung des Pfades der pattern-Datei AdBlock Plus bekannt zu geben, werden folgende Änderungen an der Datei „{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}\defaults\preferences\adblockplus.js“ vorgenommen:

pref(“extensions.adblockplus.currentVersion”, “1.0″); 
// „1.0“ unterdrückt das Dialogfeld zur Auswahl einer Filterliste beim ersten Start 
 
pref(“extensions.adblockplus.patternsfile”, “C:\Programme\Mozilla Firefox\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}\patterns.ini”); 
// verlegt den Pfad zum Pattern-File vom Firefox Profil in das Programmverzeichnis, in dem Nutzer keine Änderungsberechtigung haben
Mit einem Startup Script wird nun geprüft, ob Firefox installiert ist, dann ob der Ordner bereits vorhanden ist und falls nicht, wird er von dem Bereitstellungsort in das Firefox Programmverzeichnis kopiert. Dieses Script wird als Startup Script hinterlegt, damit es mit Systemrechten ausgeführt wird.

Die Pattern-Datei wird zentral von diesem Ort aus verteilt, es ist lediglich von Zeit zu Zeit notwendig eine aktualisierte Version dort abzulegen, die erneut beim Starten kopiert wird, sobald sie neuer ist. Hierfür empfiehlt sich robocopy aus dem Ressource Kit.

Nach abschließenden Tests kann Firefox innerhalb der Domäne verteilt werden.


Dies habe ich auf einer Webseite noch etwas detailierter ausgeführt, dort sind noch einige Hintergrundinfos und die verwendeten Scripte und Gruppenrichtlinienvorlagen zu finden.

Bei Interesse kann also gerne http://howto.deploy-firefox.de besucht werden.
Hier auch die Direktlinks:
Vorüberlegungen zur Verteilung von Firefox
Firefox und MSI
Firefox und Gruppenrichtlinien
Firefox Gruppenrichtlinienvorlage .adm

AddOns - Vorüberlegungen zum Verteilen von AddOns
AddOns - Hintergrundwissen über die AddOn-Behandlung in Firefox
AddOns - explarisch dargestellte Verteilung von AdBlockPlus
AddOns - Bereitstellung eines eigenen Firefox AddOn-Repositorys

Scripte:
Logon cmd Script zur AddOn-Installation
AddOn - Repository Beispiel: Repository.xml

So ich hoffe das hilft dem ein oder anderen - oder kann zumindest helfen, das Rad nicht neu erfinden zu müssen. Wer im Internet nach Tutorials oder Hilfestellungen zu dem Thema sucht, findet selten wirklich hilfreiche Infos.

Cheers,
wannabe
Mitglied: DerWoWusste
08.02.2010 um 14:50 Uhr
Hi.
Wie ich sehe, hast Du die ADMs von Frontmotion soweit durchschaut, dass Du selber auch modifiziert hast.
Könntets Du ein adm bereitstellen, das startup.homepage_welcome_url konfigurierbar macht?
...nur, wenn's für Dich ein Klacks ist, sonst arbeite ich mich selbst ein.
Bitte warten ..
Mitglied: wannabe
08.02.2010 um 21:40 Uhr
Hi,

gerne, hab das oben verlinkte aktualisiert, auch wenn ichs grade erst von zuhause aus gemacht hab - und es demzufolge noch nicht getestet ist. Ich seh aber keinen Grund, aus dem es nicht funktionieren sollte. Morgen werd ich das aber noch testen, wenns nicht eilt, kannst ja bis dahin warten.
Ist einmal als locked setting und einmal als default setting hinterlegt. Ich habs mal in die "browser" Kategorie geworfen, weil ich jetzt extra dafür keine eigene Kategorie anlegen wollte.

Findest es unter dem oben angegebenen Link "Firefox Gruppenrichtlinienvorlage .adm".
Bitte warten ..
Mitglied: DerWoWusste
09.02.2010 um 09:31 Uhr
Hab's probiert. About:config zeigt den richtigen Wert als locked an, er wird aber nicht verwendet (dieser Wert kommt nur bei jedem Browserupdate/Erststart zum Tragen - beim ersten Start will er auf die Mozillaseite - wir nutzen den Browser jedoch nur im Intranet, raus darf er nicht)
Hast Du eine Idee oder klappt's bei Dir?
Bitte warten ..
Mitglied: wannabe
09.02.2010 um 14:06 Uhr
Hey,

irgendwie hatte es die Konvertierung zu "UNIX" geändert - mag am Bearbeiten mittels eines Unix-Systems zuhause liegen - mein AD wollte die Vorlage jedenfalls gar nicht mehr. Nachdem ichs es wieder in der richtigen Konvertierung hatte, habe ich dann doch noch eine neue Kategorie "Startup" angelegt und bei mir funktioniert das auch so. Ist jetzt nurnoch als "locked setting", sprich MachinePolicy drin, für deine Belange ja ausreichend - bei mir öffnet sich beim ersten Start die gewünschte Seite.

Wenn du nach einem Update eine andre Seite anzeigen willst, wäre hier ohnehin "startup.homepage_override_url" die richtige Wahl - und bevor du fragst oder suchst, den Flag hab ich auch gleich hinzugefügt, funktioniert bei mir auch ;)
Bitte warten ..
Mitglied: DerWoWusste
09.02.2010 um 16:48 Uhr
Klasse, funktioniert! Herzlichen Dank.
Bitte warten ..
Mitglied: wannabe
09.02.2010 um 17:29 Uhr
Freut mich!

Gern geschehen.
Bitte warten ..
Ähnliche Inhalte
Router & Routing
PfSense als Addon auf QNAP
Information von magicteddyRouter & Routing7 Kommentare

Moin, für Spielereien eine ganz nette Idee aber ich fürchte das soetwas auch als echte Firewall genutzt wird: In ...

Virtualisierung

Docker Monitoring und Steuerung per "sen"

Tipp von FrankVirtualisierung

Um Docker schnell über die Shell zu steuern oder zu überwachen gibt es das sehr nützliche Tool mit dem ...

Windows 10

Windows 10 per GPO mundtot machen

Anleitung von Looser27Windows 109 Kommentare

Nachdem ich in einem anderen Thread umfangreiche Hilfe bekommen habe um Windows 10 mundtot zu machen (soweit es eben ...

Webbrowser

Firefox 52 und Java (Workaround)

Tipp von ChriBoWebbrowser12 Kommentare

Hi, falls jemand auch dringend Java in Firefox 52 benötigt gibt es zwei Workarounds: 1. Wechsel von Firefox Standard ...

Neue Wissensbeiträge
iOS
IOS 11.2.6 verfügbar
Information von sabines vor 4 StundeniOS

Mit dem Update soll der Bug behoben werden, bei dem eine bestimmte Zeichenkette IOS zum Absturz gebracht hat.

Sicherheit
Sicherheitsrisiko: Die Krux mit 7-Zip
Information von kgborn vor 18 StundenSicherheit2 Kommentare

Bei vielen Anwendern ist das Tool 7-Zip zum Entpacken von Archivdateien im Einsatz. Die Software ist kostenlos und steht ...

Internet

Datendealing im WWW Tracking Methoden immer brutaler

Information von sabines vor 1 TagInternet

Interessanter Artikel zum Thema Tracking im WWW und die immer "besseren" Methoden des Trackings. Professor Arvind Narayanan (Princeton-Universität) betreibt ...

Erkennung und -Abwehr

Ups: Einfaches Nullzeichen hebelte den Anti-Malware-Schutzt in Windows 10 aus

Information von kgborn vor 1 TagErkennung und -Abwehr

Windows 10 ist das sicherste Windows aller Zeiten, wie Microsoft betont. Insidern ist aber klar, das es da Lücken, ...

Heiß diskutierte Inhalte
Server
Route-Befehl Unterstützung (unter CMD)
gelöst Frage von FKRR56Server38 Kommentare

Guten Tag , i.M. habe ich Probleme über den CMD-Route-Befehl ein Routing auf einen entfernten Server zuzulassen. Der Server ...

LAN, WAN, Wireless
VPN Cisco ASA5505 PaloAlto PA-200
gelöst Frage von YannoschLAN, WAN, Wireless19 Kommentare

Hallo zusammen, ich würde gerne ein Site-to-Site VPN zwischen den beiden Standorten aufbauen. PaloAlto PA200 Internetanschluss Deutsche Telekom GK ...

Microsoft
TV-Tipp: Das Microsoft-Dilemma
Information von kgbornMicrosoft17 Kommentare

Aktuell gibt es in Behörden und in Firmen eine fatale Abhängigkeit von Microsoft und dessen Produkten. Planlos agieren die ...

Server-Hardware
Server für Exchange 2016, Kaufberatung
Frage von MazenauerServer-Hardware15 Kommentare

Guten Tag werte Gemeinde, Vorab: Ich dachte es gab mal einen separaten Bereich für solche Anfragen, habe ich leider ...