在企业环境里管理Firefox ESR，核心策略就是通过Windows组策略控制插件。批量部署ESR版本后，需要统一禁用、强制安装或限制特定插件（如广告拦截、密码管理）。否则员工私自安装不可控扩展，会带来安全风险和策略违规。

下载并安装Firefox ADMX策略模板

第一步：前往Mozilla官方GitHub releases页面，下载policy_templates压缩包。注意：版本必须与当前部署的Firefox ESR完全匹配。 例如，若你使用的是ESR 115.12.0，则需下载policy_templates_v4.12.zip——版本不匹配会导致策略项不显示。

解压后，将windows/firefox.admx放入C:WindowsPolicyDefinitions，再将windowszh-cnfirefox.adml放入C:WindowsPolicyDefinitionszh-cn。如果系统语言不是简体中文，请将路径中的zh-cn替换为对应语言代码（如en-us）。

完成后，打开gpedit.msc验证：依次展开“计算机配置 → 管理模板”，检查左侧树状菜单中是否有“Firefox”节点。如果没有，说明ADMX/ADML未部署到位，请返回检查路径和文件权限。

强制禁用所有用户插件（含已安装）

在组策略编辑器中，导航到“计算机配置 → 管理模板 → Firefox → Extensions”。

双击“Disable extensions”策略，选择“已启用”，点击确定。此操作将封死所有已安装及未来想安装的插件。重启浏览器后，插件栏消失，about:addons页面也无法访问。注意：此操作不可逆。 只要策略不关闭，用户就无法自行启用任何插件，包括企业批准的内部扩展。

仅允许指定插件白名单运行

若不想一刀切，可使用ExtensionSettings策略设置白名单。具体步骤如下：

• 在“计算机配置 → 管理模板 → Firefox → Extensions”下，启用“ExtensionSettings”策略。
• 点击“显示…”按钮，在值列表中逐行录入JSON格式规则。例如：
  {"mycorp-auth@internal.example.com":{"installation_mode":"force_installed","install_url":"https://intranet/plugins/auth.xpi"}}
• 每行对应一个插件ID，该ID必须与插件manifest.json中applications.gecko.id字段完全一致（大小写敏感）。install_url指向内网可访问的.xpi文件地址，HTTP即可。

如需静默更新，可在同一路径下启用“ExtensionUpdateURL”，填写企业内部扩展更新服务地址（如https://updates.intra.corp/firefox/extensions/）。前提是此地址返回的JSON必须符合Mozilla扩展更新协议格式，否则插件无法升级。

阻止用户访问扩展商店及安装来源

仅设白名单不够，还需堵死后门。请按以下三步操作：

• 第一步：启用“Block about: URLs”策略，勾选about:addons。用户将无法打开插件管理页面。
• 第二步：启用“Disable installation of add-ons from websites”。禁止从网页拖放.xpi文件或点击安装按钮。
• 第三步：在“Firefox → Preferences”路径下，启用“Disable about:config”策略。此步可防止用户通过修改xpinstall.enabled等底层参数绕过限制。

《夸克》非常好用的免费AI浏览器

下载APP查看