Auf eine Reihe von Browser-Plugins und Utilities kann man auf einem PC kaum verzichten, weil sie zum Öffnen weit verbreiteter Dokumentformate benötigt werden. Die meisten dieser Programme sind jedoch standardmäßig auf die Nutzung durch Consumer zugeschnitten. Eines dieser Produkte ist der Acrobat Reader, der aber auch Techniken für das Enterprise-Deployment bietet und in der Version XI sogar GPO-Templates mitbringt.
Der Adobe Reader gehört als der Standard-Viewer für PDFs zur Ausstattung von Millionen PCs. Der Hersteller nutzt diese Position, um damit mehrere seiner Online-Dienste zu vermarkten, indem er diese als Funktionen in die Bedieneroberfläche einbaut. Außerdem hält Adobe an der häufig kritisierten Praxis fest, den Download per Voreinstellung mit Adware wie Toolbars oder Trial-Versionen von diverser Software zu kombinieren. Schließlich verfügt der Reader über einen eigenen Update-Service, so dass jeder PC individuell aktualisiert wird.
Adobe Reader standardmäßig nicht firmentauglich
Alle diese Faktoren machen den Reader nicht gerade zu einer Software, die sich gut in eine Firmen-IT einfügt. Weder ist dort die Installation von Adware erwünscht, noch die Weitergabe von internen Dokumenten an nicht genehmigte Cloud-Dienste. Die eigenmächtige Aktualisierung des Readers stört besonders auf Multiuser-Umgebungen wie dem Terminal-Server, vor allem wenn sie einen Neustart des Systems bewirkt.
Adobe bietet seit einigen Versionen des Readers mehrere Tools und Techniken, um die Software besser an die Anforderungen in Unternehmen anpassen zu können. Zur neuesten Errungenschaft gehört die Unterstützung für Gruppenrichtlinien. Allerdings ist der Adobe Reader damit noch weit von den Möglichkeiten einer zentralen Verwaltung entfernt, die etwa Office-Anwendungen bieten. Über GPOs lassen sich nur wenige Optionen steuern, so dass die zentrale Verwaltung weiterhin ein Nebeneinander mehrerer Tools erfordert.
Anpassung des Installationspakets
Die diversen Optionen zur zentralen Konfiguration des Produkts setzen in verschiedenen Stadien des Nutzungszyklus an. Da sich der Reader während der Laufzeit über GPOs nur sehr eingeschränkt steuern lässt, kommt der Anpassung des Installationspakets besondere Bedeutung zu. Für diese Aufgabe ist derCustomization Wizard zuständig, der in der jeweils passenden Version kostenlos von der Adobe-Website heruntergeladen werden kann.
Bevor er sich einsetzen lässt, muss man sich jedoch das komplette Setup-Paket für den Reader besorgen, weil der normale Installer auf der Download-Seite nur ein Rumpfprogramm ist, das nach seinem Aufruf die benötigten Dateien über das Internet nachlädt. Das vollständige Installationspaket findet sich auf dem FTP-Server von Adobe (z.B. AdbeRdr11000_de_DE.exe für die deutschsprachige Version XI für Windows).
Erstellen einer Transformationsdatei
Nach dem Download muss die .exe-Datei entpackt werden, weil der Customization Wizard den Zugriff auf die darin enthaltene .msi-Datei und diesetup.ini benötigt. Am einfachsten geht das mit Hilfe des kostenlosen 7-Zip, alternativ sieht das Programm einen Aufruf mit dem Schalter -nos_ne vor (siehe dazu die Adobe-Dokumentation).
Alle anschließenden Anpassungen des Installationspakets speichert der Wizard in einer Transform File (.mst), die beim Aufspielen des Readers benötigt wird. Bei Bedarf lassen sich mit Hilfe mehrerer solcher Dateien verschiedene Konfigurationen in einem Unternehmen verteilen.
Abschalten unerwünschter Funktionen
Der Customization Wizard bietet auf mehr als einem Dutzend Seiten zahlreiche Einstellungsmöglichkeiten, mit denen sich das Aussehen und Verhalten des Readers beeinflussen lässt. Zu den wichtigsten Vorzügen des Tools gehört, dass man damit die meisten Funktionen deaktivieren kann, die für Consumer gedacht sind und im Firmeneinsatz stören. Dazu gehören:
- Anzeige des Lizenzvertrags unterdrücken
- Unbeaufsichtigte statt interaktive Installation
- Neustart von Windows nach der Installation verhindern
- Deaktivierung der Online-Services von Adobe
- Automatische Updates unterbinden
- Menüpunkt für den Kauf von Adobe Acrobat aus dem Hilfemenü entfernen
- Teilnahme am Programm zur Verbesserung des Readers verweigern
- Dateianhänge und den Start der dazugehörigen Programme verbieten
Neben dem Abspecken von unnötigen Funktionen erlaubt der Wizard die Konfiguration des Readers bis in alle möglichen Details. Dazu zählen die Platzierung der Programmverknüpfungen im Startmenü und auf dem Desktop, die Anpassung von Sicherheitsfunktionen wie die Sandbox, die Festlegung von vertrauenswürdigen Datenquellen oder die Wahl der gewünschten Optionen für das digitale Signieren von PDFs.
Nachträgliche Änderungen durch Benutzer verhindern
Der Wizard hilft also beim Erstellen eines maßgeschneiderten Installationspakets, so dass der Adobe Reader in der gewünschten Form auf die Rechner kommt. Allerdings lässt sich mit diesem Tool danach nicht mehr beeinflussen, ob ein bestimmtes Feature verfügbar sein soll. Immerhin sieht der Wizard bei einer ganzen Reihe von sicherheitsrelevanten Optionen die Möglichkeit vor, die nachträgliche Veränderung von Einstellungen durch den Benutzer zu verhindern.
Das bisherige Manko, dass sich der Reader nach seiner Installation nicht mehr zentral verwalten lässt, soll in der Version XI durch die Unterstützung für Gruppenrichtlinien beseitigt werden. Die dafür angebotenen Templates liegen sowohl im alten .adm– als auch im neueren .admx-Format vor (wobei Letzteres nur mit einer englischen Sprachdatei ausgestattet ist). Sie können ebenfalls vom FTP-Server des Herstellers heruntergeladen werden.
Management über Gruppenrichtlinien
Nach dem Import der Dateien in die entsprechenden Verzeichnisse stehen im GPO-Editor bei der Computer- und Benutzerkonfiguration unter Administrative Vorlagen => Adobe Reader XI eine Reihe von Optionen zur Verfügung, die das Programm nach seiner Installation steuern können.
Allerdings lässt sich der Reader auf diesem Weg längst nicht so umfangreich anpassen, wie dies vor der Installation über den Customization Wizard möglich ist. Zu den Einstellungen in den GPO gehören unter anderem das Ein- und Ausschalten des automatischen Updates sowie des Feedback-Programms, die Festlegung des Readers als Standard-Viewer für PDFs, das (De-)Aktivieren von Javascript oder des Splash-Screens beim Programmstart (Letzteres ist besonders auf dem Terminal-Server interessant).
Menü-Konfiguration über Javascript
Für einen Aspekt, den weder der Customization Wizard noch die GPO-Templates abdecken, ist Javascript zuständig. Es handelt sich dabei um die Anpassung der Benutzeroberfläche, also vornehmlich um das Entfernen von Menüeinträgen. Adobe Reader bietet für diesen Zweck ein eigenes API, das man mit seinen Scripts ansprechen kann.
Das für den Reader IX noch mögliche Konfigurieren der Toolbar ist seit der Version X so nicht mehr möglich, die Funktion app.hideToolbarButton() steht ebenso wenig zur Verfügung wie app.listToolbarButtons(), mit der man die Namen aller Icons auslesen kann.
Die meisten einschlägigen Beschreibungen im Web wie jene auf dem Adobe-Blog beziehen sich noch auf den Reader IX und sind teilweise obsolet. Um bestimmte Menüeinträge auszublenden, verwendet man aber immer noch die Funktionapp.hideMenuItem().
Die größte Schwierigkeit besteht darin, die Namen der Einträge zu finden, die man der Funktion als Parameter übergibt. Der genannte Beitrag des Adobe-Blogs enthält ein Script, das die gesamte Liste im Debugger anzeigt (allerdings in einer relativ unübersichtlichen Form. Man muss jeweils den Wert hinter cName:verwenden). Das Script reduziert sich durch den Wegfall der Toolbar-spezifischen Aufrufe auf folgende Anweisungen:
console.show();
var menuItems = app.listMenuItems()
for(var i in menuItems)
console.println(menuItems + "\n");
Man speichert sie in einer Datei mit einem halbwegs aufschlussreichen Namen (etwa ListItems.js) und kopiert diese unterhalb des Installationsordners in das Verzeichnis Reader 11.0\Reader\Javascript. Nach dem nächsten Start des Adobe Reader öffnet sich die Javascript-Konsole, aus dem der man die Menünamen extrahieren kann.
Anschließend stellt man eine Liste nach diesem Muster zusammen
app.hideMenuItem("SaveAsSubmenu");
app.hideMenuItem("Clear");
…
und legt sie ebenfalls als .js-Datei im Javascript-Verzeichnis ab.
Verteilung der Javascript-Dateien
Bei einem zentralen Management des Readers stellt sich nur noch die Frage, wie man die Javascript-Dateien in das Programmverzeichnis aller PCs bekommt. Eine Möglichkeit dafür bietet der Customization Wizard, dem man unter dem Punkt Files and Folders zusätzliche Dateien für die Installation mitgeben kann.
Wenn man jedoch nach der Installation die Menüs ändern will, dann muss man auf eine andere Technik zurückgreifen. Hier empfehlen sich die Group Policy Preferences, mit denen sich Konfigurationsdateien von zentraler Stelle aus verteilen lassen.
Quelle: http://www.windowspro.de/wolfgang-sommergut/adobe-reader-xi-zentral-verwalten-customization-wizard-gpo-javascript