Applicare un criterio di gruppo a Mozilla Firefox

Chi amministra una rete scolastica con un dominio Windows 200x ed implementa i criteri di gruppo per la gestione dei permessi, sa che è possibile assegnare delle limitazioni a gruppi di utenti anche nell'utilizzo di Microsoft Explorer.

In tal senso è possibile definire i "Preferiti", non consentire le modifiche delle impostazioni, assegnare un proxy per la navigazione Internet ed in modo tale che l'utente non possa modificarlo.

Con una corretta configurazione di Internet Explorer, ed attivando ad esempio un firewall-proxy con il filtraggio degli URL, come ad esempio IPCop, di cui ho parlato in questo articolo, non sarà possibile all'utente, di norma allo studente, "bypassare" il controllo effettuato dal firewall-proxy stesso.

Con Internet Explorer i permessi sono gestiti in modo ottimale e sono integrati nei criteri di gruppo.

Ma se si vuole utilizzare un browser alternativo, quale ad esempio l'ottimo Mozilla Firefox 3, i criteri di gruppo di base bastano ? La risposta è no. Figurarsi se Microsoft implementava qualcosa per gestire il browser che negli ultimi anni ha eroso il mercato di IE....

Tuttavia ci viene incontro la possibilità di inserire nei criteri di gruppo un modello amministrativo che permetta la configurazione da criterio di gruppo di Active Directory di Firefox.

Per questo Frontmotion, una software house americana, ha creato una versione speciale di Firefox, disponibile anche nella versione 3 italiana, che accetta i criteri di gruppo.

FrontMotion Firefox Community Edition è un pacchetto .msi (Microsoft Installer) per cui è anche possibile il deploying in rete ed è disponibile per il download a questo indirizzo. Il programma è del tutto uguale alla versione standard con l'unica differenza che ingloba già il plugin Flash aggiornato e permette, come già detto, la configurazione da criterio di gruppo.

Una volta installato Frontmotion Firefox è necessario scaricare dallo stesso sito il file firefox.adm. Si tratta di un modello amministrativo che va salvato nella cartella /windows/inf del domain controller.

Una volta fatto questo è necessario eseguire la console di gestione dei criteri di gruppo, scegliere la policy nella quale si vuole integrare il modello amministrativo ed importare il file firefox.adm:

Ci si posiziona sulla voce "Modelli amministrativi" e col tasto destro si sceglie "Aggiungi modello" scegliendolo dalla cartella ove si era salvato il file.

Nel caso nell'immagine il modello è stato importato nel ramo di "Configurazione utente" in quanto si tratta di una policy relativa ad un gruppo di utenti.

Se tutto è stato fatto correttamente, apparirà tra i "Modelli amministrativi" la voce "Firefox":

Come si vede a tale voce sono correlate una serie di configurazioni:

Nell'impostazione "General settings" è possibile indicare la pagina che si vuole sia visualizzata al caricamento di Firefox. Con la configurazione "Enable Automatic Image Resizing" si può attivare il ridimensionamento automatico delle immagini:

"Disable Firefox Deafult Browser Check" se attivata impedisce che tutte le volte venga chiesto se definire Firefox come browser predefinito. L'impostazione "Cache" serve a definire una dimensione di cache personalizzata.

 "Set Default Download Location" permette di indicare una cartella predefinita per il download dei file, ad esempio il proprio homefolder. "Proxy Settings" è, probabilmente, l'impostazione più utile, in quanto si può impostare da server il proxy che Firefox dovrà utilizzare. E' possibile indicare, qualora sia necessario, più proxy per i diversi protocolli, anche se essenziale è quello utilizzato da HTTP:

L'ultima configurazione "Disable XPI Installs" inibisce l'installazione di file .xpi, ovvero delle estensioni di Firefox:

Una volta terminata la configurazione del criterio di gruppo è consigliabile dare il comando gpupdate per aggiornare la policy ed aspettare qualche minuto affinché si propaghi per la rete.

Facendo accesso da un client con un utente membro del gruppo per il quale è stato definito il criterio di gruppo e eseguendo Firefox si dovrebbe notare, se tutto è andato per il verso giusto, nelle finestre di configurazione alcune voci inattive, ovvero che l'utente non potrà modificare. Nelle immagini  si può osservare che la configurazione della pagina iniziale e del proxy non sono attive:

In tale modo non sarà possibile all'utente modificare alcunché e, soprattutto, bypassare il proxy-firewall.

Purtroppo non è possibile inibire completamente l'accesso al menu di configurazione di Firefox, ma è già molto così.

Nel caso non si disponesse di una rete a dominio ma di una paritetica, nello stesso sito è disponibile il modello mozilla.adm che può essere utilizzato per creare una policy locale su ciascuna macchina.