部署安全性原則

  • 發行項

更新:2007 年 11 月

您可以輕鬆地在 Windows Installer (.msi) 檔案中部署安全性原則。.msi 檔案是獨立 (Self-Contained) 的安裝套件,可以用多種方式來部署、安裝和解除安裝。例如,您可以用下列任何方式來部署 .msi 檔案:

  • 在要部署原則的電腦上執行 .msi 檔案 (從本機磁碟或共用)。

  • 使用 Microsoft Windows 2000 上的群組原則。

  • 在 Microsoft Windows NT 和 Windows 2000 上使用 Microsoft® Systems Management Server (SMS) 2.0。

建立 Windows Installer 檔案

.NET Framework 組態工具 (Mscorcfg.msc) 提供了用來建立 Windows Installer 檔案的精靈。精靈可建立對應至三個可設定原則層級之一的 Installer 檔案,但是不能同時建立三個。如果您是管理所有三個可設定層級的安全性原則,就必須建立三個不同的 Windows Installer 檔案,並分別進行部署。

精靈建立 Installer 檔案時,會使用執行精靈所在電腦上目前的原則設定。例如,若要為使用者群組的部署建立使用者原則,請在目前的電腦上設定使用者原則、使用精靈建立 Installer 檔案,然後將目前電腦的使用者原則恢復為原始狀態。

若要建立 Windows Installer 檔案:

  1. 執行 .NET Framework 組態工具 (Mscorcfg.msc)。

    • 在 .NET Framework 1.0 和 1.1 版中,在命令提示字元輸入:%Systemroot%\Microsoft.NET\Framework\versionNumber\Mscorcfg.msc

    • 在 .NET Framework 2.0 中,啟動 SDK 命令提示字元然後輸入 mscorcfg.msc

  2. 在左邊窗格中的 [執行階段安全性原則] 節點上按一下滑鼠右鍵。

  3. 從功能表中選擇 [建立部署套件]。

  4. 依照 [部署套件] 精靈的指示建立 .msi 檔案。

當您使用由 .NET Framework 組態工具 (Mscorcfg.msc) 建立的安裝程式檔案來部署原則時,下列情況便會成立:

  • 原則安裝只會影響在建立安裝檔案時做為目標的執行階段版本。例如,如果您使用 .NET Framework 組態工具 2.0 版,您的安裝檔案就只會變更 .NET Framework 2.0 版原則。

  • 在某些情況下,此安裝程式並不會在新原則安裝失敗時產生錯誤。若要確認原則已經安裝成功,請使用 .NET Framework 組態工具 程式碼存取安全性原則工具 (Caspol.exe) 檢查原則,或是於部署後在文字編輯器中手動檢查原則檔。

  • 若要更新 .NET Framework 組態工具顯示的原則,您必須關閉並重新啟動該工具。

自訂部署

部署 Windows Installer 檔案有幾種方式,包括啟動指令檔、電子郵件發佈,或是從共用磁碟機發佈。從 Windows Installer 檔案部署安全性原則最簡單的方式,就是從要更新安全性原則的電腦執行檔案。您只需按兩下 .msi 檔案就可以執行這個動作。若要復原安裝,請在 .msi 檔案上按一下滑鼠右鍵並選擇 [解除安裝]。

確定安裝原則時所用的使用者帳戶擁有足夠的權限,可存取您正在修改的組態檔。例如,如果您目前登入所使用的帳戶並沒有修改企業組織檔的使用權限,而您正在部署的 .msi 檔案又必須修改企業組態檔,安裝將不會成功。請注意,如果目前的帳戶沒有修改組態檔的足夠使用權限,Windows Installer 套件並不會產生錯誤。

群組原則部署

如果您使用 Windows 2000 伺服器來進行原則管理,可以使用群組原則和 Windows Installer 檔案,將安全性原則部署於網路上的工作站。您只需使用群組原則 MMC 嵌入式管理單元匯入 Installer 檔案,或是將 Installer 檔案放在當成安裝點的現有目錄中。在設定完群組原則發行 Installer 檔案之後,下次使用者登入網路時便會更新安全性原則。請注意,您的網路上必須要有網域控制器,才能使用群組原則部署安全性原則。如需使用群組原則的詳細資訊,請參閱 Microsoft Windows 2000 Server 說明。

SMS 部署

您可以使用 Microsoft Systems Management Server (SMS) 2.0,將安全性原則發行至網路上使用 Windows 2000 Server 或 Windows NT Server 的電腦。SMS 是獨立的伺服器產品,負責管理大型企業中的軟體安裝和組態。SMS 特別適用於 Windows NT Server 架構的網路,因為它提供 Windows 2000 Server 架構網路所擁有的群組原則功能。請使用其中一種相容的方法,將 .msi 檔案轉換為 SMS 軟體套件,然後依照其他軟體套件的相同方式,使用 SMS 來安裝套件。如需建立和部署 SMS 軟體套件的詳細資訊,請參閱 SMS 文件。

請參閱

其他資源

一般安全性原則管理

安全性原則的最佳作法