Поделиться через

Развертывание политики безопасности

  • Статья

Обновлен: Ноябрь 2007

Политика безопасности может быть развернута с помощью файла установщика Windows (.msi). Файл .msi представляет собой независимый установочный пакет, который можно развертывать, устанавливать и удалять разными способами. Например, файл .msi можно развернуть следующими способами.

  • Запустить файл .msi на компьютере, на котором развертывается политика, с локального или общего диска.

  • С помощью групповой политики в операционной системе Microsoft Windows 2000.

  • С помощью сервера Microsoft® Systems Management Server (SMS) 2.0 в системе Microsoft Windows NT или Windows 2000.

Создание файлов Windows Installer

В состав средства настройки .NET Framework (Mscorcfg.msc) входит мастер создания файлов Windows Installer. Этот мастер может создать файл установщика, соответствующий одному из трех настраиваемых уровней политики (но не всем трем одновременно). При администрировании политики безопасности для всех трех настраиваемых уровней необходимо создать три разных файла установщика Windows и развертывать их по отдельности.

Мастер создает файл установщика, используя текущие параметры политики компьютера, на котором этот мастер запущен. Например, чтобы создать политику пользователя, предназначенную для развертывания в группе пользователей, следует настроить политику пользователя на текущем компьютере, создать с помощью мастера файл установщика и затем восстановить политику пользователя текущего компьютера в исходном виде.

Создание файла установщика Windows

  1. Запустите средство настройки .NET Framework (Mscorcfg.msc).

    • В .NET Framework версии 1.0 или 1.1 введите в командной строке следующее: %Systemroot%\Microsoft.NET\Framework\номерВерсии\Mscorcfg.msc.

    • В .NET Framework 2.0 запустите Командная строка пакета SDK и введите mscorcfg.msc.

  2. В левой области окна щелкните правой кнопкой мыши узел Политика безопасности среды выполнения.

  3. В меню выберите команду Создать пакет развертывания.

  4. Создайте файл .msi, следуя инструкциям мастера пакетов развертывания.

При развертывании политики с использованием файла установщика, созданного при помощи Средство настройки .NET Framework (Mscorcfg.msc), выполняются следующие условия.

  • Установка политики влияет только на ту версию среды выполнения, для которой создавался файл установки. Например, при использовании средства настройки .NET Framework версии 2.0, файл установки будет влиять только на политику .NET Framework версии 2.0.

  • В некоторых случаях установщик не вырабатывает ошибку, если установку новой политики произвести не удается. Чтобы подтвердить успешную установку политики, следует проверить политику с помощью средства настройки .NET Framework, Средство настройки политики управления доступом для кода (Caspol.exe) или проверив файлы политики вручную в текстовом редакторе после установки.

  • Для обновления отображения политики в средстве настройки .NET Framework, следует закрыть его и перезапустить.

Настраиваемое развертывание

Файлы установщика Windows можно развертывать несколькими способами, в том числе путем включения в сценарий запуска, путем рассылки по электронной почте или путем распространения с общего диска. Простейший способ развертывания политики безопасности из файла установщика Windows состоит в запуске файла на компьютере, на котором требуется обновить политику безопасности. Для этого достаточно дважды щелкнуть файл .msi. Чтобы отменить установку, щелкните файл .msi правой кнопкой мыши и выберите команду Удалить.

Необходимо убедиться, что учетная запись пользователя, с которой выполняется установка политики, имеет соответствующие привилегии для доступа к изменяемым файлам конфигурации. Например, если администратор вошел в систему с учетной записью, не имеющей разрешения на изменение файла конфигурации политики предприятия, а развертываемый файл .msi должен вносить такие изменения, то установка не будет выполнена успешно. Следует заметить, что пакет установщика Windows не сообщает об ошибке, если текущая учетная запись не обладает разрешением на изменение файла конфигурации.

Развертывание групповой политики

Если для администрирования политики используется сервер Windows 2000, то при развертывании политики безопасности на рабочих станциях сети можно использовать файл устанощика Windows в сочетании с групповой политикой. Достаточно импортировать файл установщика, используя оснастку консоли управления для настройки групповой политики, или поместить файл в существующий каталог, который служит местом установки. Если групповую политику настроить для публикации файла установщика, то при очередном входе пользователя в сеть политика безопасности будет обновлена. Следует заметить, что для развертывания политики безопасности с использованием групповой политики необходимо, чтобы в сети присутствовал контроллер домена. Дополнительные сведения об использовании групповой политики см. в справке Microsoft Windows 2000 Server.

Развертывание в SMS

Для публикации политики безопасности на компьютерах в сети, работающей под управлением Windows 2000 Server или Windows NT Server, можно использовать сервер Microsoft Systems Management Server (SMS) 2.0. SMS — это автономная серверная система, которая управляет установкой и настройкой программного обеспечения в крупных сетях предприятий. Сервер SMS особенно полезен в сетях, работающих под управлением Windows NT Server, поскольку он поддерживает функции групповой политики, доступные в сетях Windows 2000 Server. Необходимо преобразовать файл .msi в пакет программного обеспечения SMS с помощью одного из совместимых методов, а затем, используя SMS, установить пакет точно так же, как устанавливается любой другой пакет. Дополнительные сведения о создании и развертывании пакетов программного обеспечения SMS см. в документации по SMS.

См. также

Другие ресурсы

Общее администрирование политики безопасности

Лучшие методики для политики безопасности