セキュリティ ポリシーの配置
.gif "重要 :") 重要 |
|---|
.NET Framework Version 4 では、共通言語ランタイム (CLR: Common Language Runtime) がコンピューターにセキュリティ ポリシーを提供しなくなります。Microsoft では、CLR のセキュリティ ポリシーの代替として、Windows のソフトウェアの制限のポリシーを使用することをお勧めしています。このトピックの情報は、.NET Framework Version 3.5 以前に適用され、Version 4 以降には適用されません。この変更およびその他の変更の詳細については、「.NET Framework 4 におけるセキュリティの変更点」を参照してください。 |
セキュリティ ポリシーは、Windows Installer (.msi) ファイル形式で簡単に配置できます。 .msi ファイルは、さまざまな方法で配置、インストール、およびアンインストールできる自己完結型のインストール パッケージです。 たとえば、.msi ファイルは次のような方法で配置できます。
ローカル ディスクまたは共有ディスクから、ポリシーの配置先とするコンピューター上で .msi ファイルを実行する。
Microsoft Windows サーバーのグループ ポリシーを使用する。
Microsoft Systems Management Server (SMS) を使用する。
Windows Installer ファイルの作成
Mscorcfg.msc (.NET Framework 構成ツール) には、Windows インストーラー ファイルを作成するためのウィザードが用意されています。 このウィザードを使用して、構成可能な 3 つのポリシー レベルのいずれかに対応する Windows Installer ファイルを作成できますが、すべてのレベルのファイルをまとめて同時には作成できません。 構成可能な 3 つの全レベルでセキュリティ ポリシーを管理している場合は、3 つの異なる Windows Installer ファイルを作成して別々に配置する必要があります。
このウィザードは、そのウィザードを実行するコンピューターの現在のポリシー設定を使用して Windows Installer ファイルを作成します。 たとえば、ユーザー グループに配置するユーザー ポリシーを作成するには、現在のコンピューターでユーザー ポリシーを構成し、ウィザードを使用して Windows Installer ファイルを作成してから、現在のコンピューターのユーザー ポリシーを元の状態に戻します。
Windows Installer ファイルを作成するには
.NET Framework 構成ツール (Mscorcfg.msc) を実行します。
.NET Framework Version 1.0 と 1.1 では、コマンド プロンプトで「%Systemroot%\Microsoft.NET\Framework\versionNumber\Mscorcfg.msc」と入力します。
.NET Framework 2.0 以降では、Visual Studio と Windows SDK のコマンド プロンプトを起動して「mscorcfg.msc」と入力します。 SDK コマンド プロンプトは、SDK 環境変数を自動的に設定し、.NET Framework ツールを簡単に使用できるようにするもので、.NET Framework Version 2.0 ソフトウェア開発キット (SDK) に付属しています。 .NET Framework の今後のリリースは、.NET Framework Version 2.0 をベースにしてインクリメンタル方式でビルドされます。 したがって、.NET Framework 2.0 SDK の SDK コマンド プロンプトは、最新のスタンドアロンの SDK コマンド プロンプトになります。 別の方法として、Visual Studio 2005 以降のバージョンに付属する Visual Studio コマンド プロンプトを使用することもできます。
左ペインで、[ランタイム セキュリティ ポリシー] ノードを右クリックします。
メニューの [配置パッケージの作成] をクリックします。
配置パッケージ ウィザードの指示に従って .msi ファイルを作成します。
Mscorcfg.msc (.NET Framework 構成ツール) で作成されるインストール ファイルを使用してポリシーを配置する場合は、次の点に注意が必要です。
インストールするポリシーは、インストール ファイルを作成したときに対象としたランタイムのバージョンに対してのみ適用されます。 たとえば、.NET Framework 構成ツール Version 2.0 を使用すると、そのインストール ファイルでは .NET Framework Version 2.0 のポリシーのみが変更されます。
場合によっては、新しいポリシーのインストールに失敗してもエラーが発生しないことがあります。 ポリシーが正常にインストールされたことを確認するには、.NET Framework 構成ツールである Caspol.exe (コード アクセス セキュリティ ポリシー ツール) を使用してポリシーを検査するか、または配置した後でテキスト エディターを使用して手動でポリシー ファイルを検査します。
.NET Framework 構成ツールに表示されたポリシーを更新するには、ツールをシャットダウンして再起動する必要があります。
カスタム配置
Windows Installer ファイルは、スタートアップ スクリプト、電子メールによる配布、共有ドライブからの配布など、さまざまな方法で配置できます。 Windows Installer ファイルからセキュリティ ポリシーを配置する最も簡単な方法は、セキュリティ ポリシーを更新する対象のコンピューターからこのファイルを実行することです。 これは、.msi file をダブルクリックするだけで実行できます。 インストールをロール バックするには、.msi ファイルを右クリックし、[アンインストール] をクリックします。
ポリシーのインストールに使用するユーザー アカウントが、変更対象の構成ファイルに対する適切なアクセス権限を持っていることを確認してください。 たとえば、エンタープライズ構成ファイルを変更するためのアクセス許可を持っていないアカウントでログオンしていて、配置しようとしている .msi ファイルがエンタープライズ構成ファイルの変更を要求するものである場合には、インストールは失敗します。 現在のアカウントが構成ファイルを変更するために必要なアクセス許可を持っていない場合でも、Windows Installer パッケージはエラーを生成しません。
グループ ポリシーの配置
ポリシーの管理に Windows サーバーを使用する場合は、グループ ポリシーと Windows インストーラー ファイルを使用して、ネットワーク上のワークステーションにセキュリティ ポリシーを配置できます。 この場合は、グループ ポリシー MMC スナップインを使用して Windows Installer ファイルをインポートするか、またはインストール場所として使用している既存のディレクトリに Windows Installer ファイルを配置するだけです。 Windows Installer ファイルを公開するようにグループ ポリシーを構成すると、ユーザーが次にネットワークにログオンするときにセキュリティ ポリシーが更新されます。 グループ ポリシーを使用してセキュリティ ポリシーを配置するには、ネットワーク上にドメイン コントローラーが存在している必要があります。 グループ ポリシーの使い方の詳細については、Microsoft Windows Server のヘルプを参照してください。
SMS による配置
Microsoft Systems Management Server (SMS) を使用して、ネットワーク上のコンピューターにセキュリティ ポリシーを発行できます。 SMS は、大規模なエンタープライズでのソフトウェアのインストールと構成を管理するスタンドアロンのサーバー製品です。 SMS には Windows Server ベースのネットワークが備えるグループ ポリシー機能が用意されているため、Windows Server ベースのネットワークでは特に役に立ちます。 互換性のある方法のいずれかを使用して .msi ファイルを SMS ソフトウェア パッケージに変換してから、SMS を使用して、他のソフトウェア パッケージをインストールする場合と同様に、SMS ソフトウェア パッケージをインストールします。 SMS ソフトウェア パッケージの作成および配置の詳細については、SMS のドキュメントを参照してください。