Condividi tramite

Distribuzione dei criteri di protezione

  • Articolo

I criteri di sicurezza possono essere agevolmente distribuiti in un file di Windows Installer (MSI). Un file MSI è un package di installazione autonomo che può essere distribuito, installato e disinstallato più volte. Un file MSI può essere distribuito, ad esempio, in uno dei seguenti modi:

  • Eseguendo il file MSI sul computer in cui si intendono distribuire i criteri, dal disco locale o da una condivisione.

  • Utilizzando lo snap-in Criteri di gruppo in Microsoft Windows 2000.

  • Utilizzando Microsoft® Systems Management Server (SMS) 2.0 su Microsoft Windows NT e Windows 2000.

Creazione dei file di Windows Installer

Nello strumento .NET Framework Configuration (Mscorcfg.msc) è disponibile una procedura guidata per la creazione di file di Windows Installer. Mediante questa procedura è possibile creare un file di Windows Installer corrispondente a uno dei tre livelli configurabili di criteri, ma non a tutti nel loro complesso. Se si desidera amministrare i criteri di sicurezza di tutti e tre i livelli configurabili, è necessario creare tre file di Windows Installer distinti e distribuirli separatamente.

Attraverso la procedura guidata, il file MSI viene creato utilizzando le impostazioni dei criteri correnti del computer in cui viene eseguita la procedura. Per creare dei criteri utente da distribuire a un gruppo di utenti, ad esempio, sarà necessario configurare i criteri utente sul computer corrente, creare il file MSI per mezzo della procedura guidata, quindi riportare i criteri utente del computer corrente allo stato originario.

Per creare un file di Windows Installer:

  1. Eseguire lo strumento .NET Framework Configuration (Mscorcfg.msc).

    • Nelle versioni 1.0 e 1.1 di .NET Framework digitare quanto segue al prompt dei comandi: %Systemroot%\Microsoft.NET\Framework\Numeroversione\Mscorcfg.msc.

    • In .NET Framework 2.0 avviare il Prompt dei comandi di SDK e digitare mscorcfg.msc.

  2. Nel riquadro di sinistra fare clic con il pulsante destro del mouse sul nodo Criteri di sicurezza runtime.

  3. Scegliere Create Deployment Package dal menu di scelta rapida.

  4. Per creare il file MSI attenersi alle istruzioni della Creazione guidata Package di distribuzione.

Se si distribuiscono i criteri utilizzando un file di Windows Installer creato dallo Strumento .NET Framework Configuration (Mscorcfg.msc), prendere in considerazione quanto segue:

  • L'installazione di criteri viene eseguita solo per la versione del runtime indicata come destinazione durante la creazione del file di installazione. Se ad esempio si utilizza lo strumento .NET Framework Configuration versione 2.0, con il file di installazione verranno modificati solo i criteri di .NET Framework versione 2.0.

  • In alcuni casi non viene generato un errore se l'installazione di nuovi criteri ha esito negativo. Per verificare che i criteri siano stati installati, controllarli utilizzando lo strumento .NET Framework Configuration o lo Strumento criteri di protezione dall'accesso di codice (Caspol.exe) oppure controllando manualmente i file dei criteri in un editor di testo dopo la distribuzione.

  • Per aggiornare i criteri visualizzati dallo strumento .NET Framework Configuration è necessario chiudere lo strumento e riavviarlo.

Distribuzione personalizzata

I file di Windows Installer possono essere distribuiti con vari mezzi, tra cui uno script di avvio, messaggi di posta elettronica o un'unità condivisa. Il metodo più semplice per distribuire criteri di sicurezza da un file di Windows Installer consiste nell'eseguire il file dal computer in cui si desiderano aggiornare i criteri di sicurezza. A questo scopo è sufficiente fare doppio clic sul file MSI. Per annullare l'installazione, fare clic sul file MSI e scegliere Disinstalla.

Assicurarsi che l'account utente utilizzato per l'installazione dei criteri disponga dei privilegi opportuni per accedere ai file di configurazione che ci si accinge a modificare. Se, ad esempio, si è connessi con un account che non dispone delle autorizzazioni necessarie a modificare il file di configurazione aziendale e il file MSI che si sta distribuendo richiede la modifica proprio tale file, l'installazione non verrà eseguita. Si noti che il package di Windows Installer non genera alcun errore nel caso in cui l'account corrente non disponga delle autorizzazioni sufficienti per la modifica del file di configurazione.

Distribuzione mediante Criteri di gruppo

Se si utilizza un server di Windows 2000 per l'amministrazione dei criteri, è possibile impiegare Criteri di gruppo mediante un file di Windows Installer per distribuire i criteri di sicurezza sulle workstation presenti sulla rete. È sufficiente importare il file MSI utilizzando lo snap-in MMC relativo ai criteri di gruppo o posizionarlo in una directory preesistente da utilizzare come cartella di installazione. Una volta configurati i criteri di gruppo per pubblicare il file MSI, i criteri di sicurezza verranno aggiornati al successivo accesso degli utenti alla rete. Per distribuire i criteri di gruppo mediante il relativo snap-in, è necessario che nella rete sia presente un controller di dominio. Per ulteriori informazioni sull'utilizzo dello snap-in Criteri di gruppo, consultare la Guida in linea di Microsoft Windows 2000 Server.

Distribuzione mediante Microsoft Systems Management Server (SMS)

È possibile utilizzare Microsoft Systems Management Server (SMS) 2.0 per pubblicare criteri di sicurezza sui computer di una rete basata su Windows 2000 Server o Windows NT Server. System Management Server è un prodotto server autonomo per la gestione dell'installazione e della configurazione di software in aziende di grandi dimensioni. System Management Server risulta particolarmente utile in reti basate su Windows NT Server in quanto fornisce la funzionalità dei criteri di gruppo propria delle reti basate su Windows 2000 Server. È possibile utilizzare uno dei metodi compatibili per convertire il file MSI in un package SMS, quindi utilizzare SMS per installare il package come qualsiasi altro package. Per ulteriori informazioni sulla creazione e la distribuzione di package SMS, vedere la documentazione relativa a Microsoft Systems Management Server (SMS).

Vedere anche

Altre risorse

Amministrazione generale dei criteri di protezione
Suggerimenti per i criteri di protezione