Gästekonto, sicheres Profil, eingeschränkte Rechte

    Hallo zusammen,
    über die SuFu habe ich nichts gefunden..sollte es bereits einen Thread dieser Art geben entschuldige ich mich hiermit!
    Ich bin Administrator in einem mittelgroßen Betrieb und unter anderem auch verantworltich für Softwareinstallationen.
    Speziell mit dem Firefox stellen sich mir ein paar Probleme:
    In unseren PC-Pools erfolgt die Benutzeranmeldung über eine Domäne, kein Benutzer hat "seinen" festen Rechner, sondern es wird gewechselt. Daher sollte natürlich jeder Benutzer den Firefox an allen Rechnern so vorfinden, wie ich ihn konfiguriert habe. Momentan löse ich das Problem, indem ich bei jedem Startvon Firefox ein von mir definiertes Profil, über das bereits vorhandene kopiere. Das Problem hier liegt allerdings dabei, dass die Benutzer das Recht haben, den Firefox zu updaten.
    So wird dann bei jedem Start, wieder der Begrüßungsbildschirm angezeigt, wie es nach einem Update zu erwarten ist.
    Was ich also bräuchte wäre wirklich ein "sicheres" Profil, was lokal auf dem Rechner liegt und von den Benutzern in keinster Weise geändert werden kann, zudem dürfen Benutzer auch keine Einstellungen am Firefox vornehmen oder selber Updates durchführen.
    Bislang habe ich nichts in diese Richtung gefunden...ich wäre euch sehr dankbar, wenn einer einen Tipp für mich hat!

    Mit freundlichem Gruß,

    supervisor

    In deiner Frage stecken viele Einzelfragen.
    Wenn du das ganze mal richtig (und sauber) aufdrösseln würdest nach Teilproblemen wäre es sicher leichter für dich das Gesamtproblem zu lösen.

    Da niemand außer dir die komplette Konfiguration deiner Firma kennt hier nur ein paar Stichworte:

    Berechtigen User
    Berechtigungen Profil / Profilverzeichnis
    Gruppenrichtlinien

    Dazu:
    http://support.mozilla.com/de/kb/Nach+Upd…ist+deaktiviert

    In Anlehnung auch das hier:
    https://www.camp-firefox.de/forum/viewtopic.php?f=12&t=77724

    Es gibt im Internet zig Beiträge die in diese Richtung gehen, nur ohne Kenntnis euerer Konfiguration ...

    tschuldigung..ich versuche es nochmal. Also was ich eigentlich nur haben möchte, wäre folgendes:
    Ich als Admin konfiguriere den Firefox, wie ich es für die User am besten erachte unter einem Windows XP Prof.
    Die User sollen NICHT in der Lage sein, "eigene" Einstellungen vorzunehmen, sondern stets das selbe Profil zu nutzen.
    Im großen und Ganzen meine ich damit, dass ich ein Profil erstelle und konfiguriere, das bei jedem Start von Firefox geladen wird. Die User dürfen dieses Profil nicht verändern und zudem auch keine Updates bezgl. des Firefox durchführen.
    Das Problem mit dem Profil, löse ich momentan durch stetiges Ersetzen, mit dem Urpsrungsprofil...allerdings haben die User immer noch die Berechtigung, den Firefox zu updaten etc.
    Ich versuche es nochmals mit den Rechten rumzuspielen, kann mich aber noch daran erinnern, dass wenn ich Schreibrechte der Benutzer entferne, der Firefox nicht mehr ordnungsgemäß funktioniert.

    Zitat

    dass wenn ich Schreibrechte der Benutzer entferne

    Schreibrechte für den User sind im Programmverzeichnis nicht notwendig. Das sollte ein Update nachhaltig verhindern.
    Ansonsten gilt auch:
    https://developer.mozilla.org/en/Automatic_M…config_settings

    Das ganze sieht nicht so richtig gut aus. Aus dem hier ...

    Zitat von supervisor

    kein Benutzer hat "seinen" festen Rechner, sondern es wird gewechselt.
    ...
    Das Problem hier liegt allerdings dabei, dass die Benutzer das Recht haben, den Firefox zu updaten.


    folgt, daß die Benutzer lokale Admin-Rechte haben, anders geht das nicht (zumindest nicht bei standardmäßiger Konfiguration). Was erschwerend hinzu kommt, jeder der Benutzer hat auf jedem der Rechner in der Domäne diese lokalen Rechte. Eine sichere Konfiguration sieht anders aus, in einem Domänen-Netzwerk erst recht.

    Wenn es aber nun einmal so ist und - warum auch immer - so sein soll, so wirst du das gewünschte nicht erreichen können. (Eventuell(!) doch, wenn man ganz, ganz viel Erfahrung mit Sicherheitsoptionen des OS hat und die Erfahrung, auftretende Probleme zu analysieren und zu beheben.) Ein Admin ist nun einmal ein Admin, und als Admin hat er weitestgehend vollständige Rechte auf das System und die Programmdateien, umso mehr aber natürlich auf Benutzerdateien (FF-Profile sind letztlich nichts anderes). Das ganze Konzept scheint mir bedürftig überarbeitet zu werden.

    Im übrigen vermag ich die Logik nicht erkennen, daß Benutzer (die eigentlich Admins sind) einerseits nach Lust und Laune den FF updaten dürfen (als lokale Admins auch fast alles andere), andererseits den Benutzern so wenig Vertrauen entgegen gebracht wird, daß ...

    Zitat von supervisor

    Daher sollte natürlich jeder Benutzer den Firefox an allen Rechnern so vorfinden, wie ich ihn konfiguriert habe.


    mithin also die Konfiguration nicht ändern dürfen.

    Das Ganze wird im Übrigen daran scheitern, daß der FF grundsätzlich erwartet, daß er (beziehungsweise der aktive Benutzer) im aktiven Profil Schreibrechte hat, angefangen beim Cache, über die Chronik bis hin zu den Lesezeichen. Noch ärger wird es, wenn der Benutzer nun tatsächlich den Browser updatet und der FF eventuell feststellt, daß einzelne Erweiterungen (befinden sich ebenfalls im Profil) nicht kompatibel sind und deaktiviert oder ebenfalls upgedatet werden müssen. Ohne Schreibrechte wird das Ganze im Desaster enden, denn der upgedatete Fuchs dürfte ohne Schreibrechte im Profil weder das eine noch das andere. Ich habe so etwas nie probiert, weil es mir aberwitzig erscheint, aber ich wage zu behaupten daß der schönste Crash vorprogrammiert ist. Und selbst wenn alle Addons nach dem Programmupdate weiter kompatibel sind, der Browser will den Status, nach dem Programmupdate den ersten Start ausgeführt und alle relevanten Prüfungen durchgeführt zu haben, im Profil speichern und selbst das darf er nicht.

    Vielleicht teilst du einmal mit, was der Grund dafür sein soll, daß die Benutzer keine Einstellungen im Programm vornehmen können sollen; vielleicht wird es dann plausibler.

    Zitat von Cosmo

    Das Ganze wird im Übrigen daran scheitern, daß der FF grundsätzlich erwartet, daß er (beziehungsweise der aktive Benutzer) im aktiven Profil Schreibrechte hat, ...


    Dort darf er ja Schreibrechte haben.

    http://support.mozilla.com/de/kb/Nach+Upd…ist+deaktiviert

    Code
    Firefox könnte Software-Updates verhindern, wenn das Benutzerkonto, mit dem Firefox läuft, nicht die benötigten Berechtigungen besitzt, um das Installationsverzeichnis von Firefox zu verändern. Um ein Update durchzuführen, melden Sie sich an Ihrem Computer mit einem Konto an, das die erforderlichen Berechtigungen besitzt - zum Beispiel ein Administratorkonto. Nach Updates suchen... sollte dann aktiviert sein. Um Nach Updates suchen...  permanent zu aktivieren, ändern Sie die Berechtigungen des Firefox-Installationsverzeichnisses.


    Wenn FF im Installationsordner keine Schreibrechte hat wird auch kein Update erfolgen.

    Also wäre das dann kein Problem mehr:

    Zitat von supervisor

    Das Problem hier liegt allerdings dabei, dass die Benutzer das Recht haben, den Firefox zu updaten.

    Das ganze sieht so aus, dass ich als Admin für mehrere Pools verantwortlich bin.
    Bei der Domäne handelt es sich um eine einfache Sambadomäne und nicht um ein AD.
    Die Benutzer haben eigentlich auch nur Benutzerrechte..weshalb ein Update nicht hätte möglich sein sollen...habe aber vlt. den Fehler gefunden. Meine Konfiguration sieht jetzt folgendermaßen aus:
    1. Ich habe ein Profil angelegt, indem ich meine gewünschten Einstellungen vorgenommen habe.
    2. Skriptgesteuert, wird bei jedem Start von FiFo mein Profil als Kopie geladen.
    ...somit wird stets mein vorgegebenes Profil geladen.
    3. Die Gruppe Hauptbenutzer habe ich aus dem FiFo-Installationsordner entfernt; Benutzer haben lediglich Lese- und Ausführungsrechte.
    ...ich hoffe dass jetzt das Ziel erreicht ist, was ich mir erhofft habe.

    Jeder Benutzer soll das selbe Profil vorfinden, da es jetzt im nachhinein nicht möglich ist, Profile im Netzwerk abzulegen.

    Ich danke allen für die schnelle und kompetente Hilfe.

    P.S. für den FireFox2 gab es ein nettes Tool, das die gewünschte Arbeit erledigte. Wers sich ma angucken möchte:
    http://thomas.gloeckler-ulm.de/fhu-old/mozilla/starter2.html