Bereitstellen der Sicherheitsrichtlinien
Aktualisiert: November 2007
Sicherheitsrichtlinien können problemlos als Windows Installer-Datei (.msi) bereitgestellt werden. Eine MSI-Datei ist ein unabhängiges Installationspaket, das auf unterschiedliche Weise bereitgestellt, installiert und deinstalliert werden kann. MSI-Dateien können z. B. auf folgende Arten bereitgestellt werden:
Durch Ausführen der MSI-Datei von der lokalen Festplatte oder einer Freigabe aus auf dem Computer, auf dem Sie die Richtlinien bereitstellen möchten.
Durch Verwendung von Gruppenrichtlinien unter Microsoft Windows 2000.
Durch Verwendung von Microsoft® SMS 2.0 (Systems Management Server) unter Microsoft Windows NT und Windows 2000.
Erstellen von Windows Installer-Dateien
Das .NET Framework-Konfigurationstool (Mscorcfg.msc) stellt einen Assistenten zum Erstellen von Windows Installer-Dateien zur Verfügung. Der Assistent kann Installationsdateien erstellen, die jeweils einer der drei konfigurierbaren Richtlinienebenen entsprechen. Diese können jedoch nicht alle zur gleichen Zeit erstellt werden. Wenn Sie Sicherheitsrichtlinien für alle drei konfigurierbaren Ebenen verwalten, müssen Sie drei verschiedene Windows Installer-Dateien erstellen und diese einzeln bereitstellen.
Der Assistent erstellt die Installationsdatei mit den aktuellen Richtlinieneinstellungen des Computers, auf dem der Computer ausgeführt wird. Wenn Sie z. B. Benutzerrichtlinien für die Bereitstellung an eine Benutzergruppe erstellen möchten, konfigurieren Sie die Benutzerrichtlinien auf dem aktuellen Computer, erstellen die Installationsdatei mit dem Assistenten und setzen dann die Benutzerrichtlinien des aktuellen Computers in ihren ursprünglichen Zustand zurück.
So erstellen Sie eine Windows Installer-Datei
Führen Sie das .NET Framework-Konfigurationstool (Mscorcfg.msc) aus.
Geben Sie in .NET Framework, Versionen 1.0 und 1.1, Folgendes an der Eingabeaufforderung ein: %Systemroot%\Microsoft.NET\Framework\versionNumber\Mscorcfg.msc.
Starten Sie in .NET Framework 2.0 die SDK-Eingabeaufforderung, und geben Sie mscorcfg.msc ein.
Klicken Sie im linken Bereich mit der rechten Maustaste auf den Knoten Laufzeitsicherheitsrichtlinie.
Wählen Sie im Menü Bereitstellungspaket erstellen aus.
Befolgen Sie die Anweisungen des Assistenten für Bereitstellungspakete, um die MSI-Datei zu erstellen.
Wenn Sie eine Richtlinie mithilfe einer Installationsdatei bereitstellen, die von .NET Framework-Konfigurationstool (Mscorcfg.msc) erstellt wurde, gilt Folgendes:
Die Richtlinieninstallation betrifft nur die Laufzeitversion, die Sie beim Erstellen der Installationsdatei vorgesehen haben. Wenn Sie beispielsweise das .NET Framework-Konfigurationstool, Version 2.0, verwenden, ändert die Installationsdatei nur die Richtlinie für .NET Framework, Version 2.0.
In einigen Fällen generiert das Installationsprogramm keinen Fehler, wenn die Installation einer neuen Richtlinie fehlschlug. Um die erfolgreiche Installation der Richtlinie zu überprüfen, untersuchen Sie die Richtlinie mit dem .NET Framework-Konfigurationstool, dem Sicherheitsrichtlinientool für den Codezugriff (Caspol.exe) oder durch manuelle Überprüfung der Richtliniendateien in einem Texteditor nach der Bereitstellung.
Um die durch das .NET Framework-Konfigurationstool angezeigte Richtlinie zu aktualisieren, müssen Sie das Tool beenden und wieder starten.
Benutzerdefinierte Bereitstellung
Sie können Windows Installer-Dateien auf unterschiedliche Weise bereitstellen, u. a. als Startskript, per E-Mail oder über ein freigegebenes Laufwerk. Am einfachsten können Sicherheitsrichtlinien als Windows Installer-Datei bereitgestellt werden, indem die Datei auf dem Computer ausgeführt wird, auf dem die Sicherheitsrichtlinien aktualisiert werden sollen. Dazu können Sie einfach auf die MSI-Datei doppelklicken. Klicken Sie zum Rückgängigmachen der Installation mit der rechten Maustaste auf die MSI-Datei, und wählen Sie Deinstallieren aus.
Das Benutzerkonto, unter dem die Richtlinien installiert werden, muss über ausreichende Berechtigungen für den Zugriff auf die zu bearbeitenden Konfigurationsdateien verfügen. Wenn Sie derzeit z. B. unter einem Konto angemeldet sind, das keine Berechtigung für die Änderung der Konfigurationsdatei der Organisation besitzt, und die weiterzugebende MSI-Datei diese Konfigurationsdatei ändern muss, schlägt die Installation fehl. Beachten Sie, dass das Windows Installer-Paket keinen Fehler ausgibt, wenn das aktuelle Konto keine für die Änderung der Konfigurationsdatei ausreichenden Berechtigungen besitzt.
Bereitstellung von Gruppenrichtlinien
Wenn Sie für die Verwaltung von Richtlinien einen Server unter Windows 2000 verwenden, können Sie mithilfe von Gruppenrichtlinien und einer Windows Installer-Datei Sicherheitsrichtlinien auf den Arbeitsstationen im Netzwerk bereitstellen. Importieren Sie einfach die Installationsdatei, indem Sie das Gruppenrichtlinien-Snap-In der MMC verwenden oder die Installationsdatei in einem bereits vorhandenen Verzeichnis platzieren und dieses als Installationsort verwenden. Nachdem Sie die Gruppenrichtlinien konfiguriert haben, um die Installationsdatei zu veröffentlichen, werden die Sicherheitsrichtlinien bei der nächsten Netzwerkanmeldung eines Benutzers aktualisiert. Beachten Sie, dass im Netzwerk ein Domänencontroller vorhanden sein muss, um die Sicherheitsrichtlinien mithilfe von Gruppenrichtlinien weiterzugeben. Weitere Informationen über die Verwendung von Gruppenrichtlinien finden Sie in der Hilfe für Microsoft Windows 2000 Server.
Bereitstellung mit SMS
Mithilfe von Microsoft SMS 2.0 (Systems Management Server) können Sie Sicherheitsrichtlinien auf Computern in einem Netzwerk veröffentlichen, in dem Windows 2000 Server oder Windows NT Server verwendet werden. SMS ist ein eigenständiges Serverprodukt, das Softwareinstallation und -konfiguration in großen Organisationen verwaltet. SMS ist in Windows NT Server-basierten Netzwerken besonders nützlich, da es die Funktionalität der Gruppenrichtlinien von Windows 2000 Server-basierten Netzwerken bereitstellt. Konvertieren Sie die MSI-Datei mit einer der geeigneten Methoden in ein SMS-Softwarepaket, und installieren Sie das Paket dann mit SMS wie jedes andere Softwarepaket. Weitere Informationen zum Erstellen und Bereitstellen von SMS-Softwarepaketen finden Sie in der SMS-Dokumentation.