部署安全性原則

發行項
08/12/2011

重要事項
在 .NET Framework 4 版中，Common Language Runtime (CLR) 不會為電腦提供安全性原則。Microsoft 建議您使用 Windows 軟體限制原則做為 CLR 安全性原則的取代項目。本主題中的資訊適用於 .NET Framework 3.5 (含) 以前版本，而不適用於 4 (含) 以後版本。如需這項變更和其他變更的詳細資訊，請參閱 .NET Framework 4 中的安全性變更。

在 .NET Framework 4 版中，Common Language Runtime (CLR) 不會為電腦提供安全性原則。Microsoft 建議您使用 Windows 軟體限制原則做為 CLR 安全性原則的取代項目。本主題中的資訊適用於 .NET Framework 3.5 (含) 以前版本，而不適用於 4 (含) 以後版本。如需這項變更和其他變更的詳細資訊，請參閱 .NET Framework 4 中的安全性變更。

您可以輕鬆地在 Windows Installer (.msi) 檔案中部署安全性原則。 .msi 檔案是獨立 (Self-Contained) 的安裝套件，可以用多種方式來部署、安裝和解除安裝。例如，您可以用下列任何方式來部署 .msi 檔案：

在要部署原則的電腦上執行 .msi 檔案 (從本機磁碟或共用)。
使用 Microsoft Windows 伺服器上的群組原則。
使用 Microsoft Systems Management Server (SMS).

建立 Windows Installer 檔案

Mscorcfg.msc (.NET Framework 組態工具) 提供用來建立 Windows Installer 檔案的精靈。精靈可建立對應至三個可設定原則層級之一的 Installer 檔案，但是不能同時建立三個。如果您是管理所有三個可設定層級的安全性原則，就必須建立三個不同的 Windows Installer 檔案，並分別進行部署。

精靈建立 Installer 檔案時，會使用執行精靈所在電腦上目前的原則設定。例如，若要為使用者群組的部署建立使用者原則，請在目前的電腦上設定使用者原則、使用精靈建立 Installer 檔案，然後將目前電腦的使用者原則恢復為原始狀態。

若要建立 Windows Installer 檔案：

執行 .NET Framework 組態工具 (Mscorcfg.msc)。
- 在 .NET Framework 1.0 和 1.1 版中，在命令提示字元輸入：%Systemroot%\Microsoft.NET\Framework\versionNumber\Mscorcfg.msc。
- 在 .NET Framework 2.0 (含) 以後版本中，啟動 Visual Studio 和 Windows SDK 命令提示字元然後輸入 mscorcfg.msc。 .NET Framework 2.0 版軟體開發套件 (SDK) 中包含的 SDK 命令提示字元，會自動設定 SDK 環境變數，讓您可以輕鬆使用 .NET Framework 工具。接續的 .NET Framework 版本是根據 .NET Framework 2.0 版，以累加方式建置的。因此，.NET Framework 2.0 SDK 中的 SDK 命令提示字元，即是最新提供的獨立 SDK 命令提示字元。另外，您也可以使用 Visual Studio 2005 (含) 以後版本所提供的 Visual Studio 命令提示字元。
在左邊窗格中的 [執行階段安全性原則] 節點上按一下滑鼠右鍵。
從功能表中選擇 [建立部署套件]。
依照 [部署套件] 精靈的指示建立 .msi 檔案。

當您使用由 Mscorcfg.msc (.NET Framework 組態工具) 建立的安裝程式檔案來部署原則時，下列情況便會成立：

原則安裝只會影響在建立安裝檔案時做為目標的執行階段版本。例如，如果您使用 .NET Framework 組態工具 2.0 版，您的安裝檔案就只會變更 .NET Framework 2.0 版原則。
在某些情況下，此安裝程式並不會在新原則安裝失敗時產生錯誤。若要確認原則已經安裝成功，請使用 .NET Framework 組態工具 Caspol.exe (程式碼存取安全性原則工具) 檢查原則，或是於部署後在文字編輯器中手動檢查原則檔。
若要更新 .NET Framework 組態工具顯示的原則，您必須關閉並重新啟動該工具。

自訂部署

部署 Windows Installer 檔案有幾種方式，包括啟動指令檔、電子郵件發佈，或是從共用磁碟機發佈。從 Windows Installer 檔案部署安全性原則最簡單的方式，就是從要更新安全性原則的電腦執行檔案。您只需按兩下 .msi 檔案就可以執行這個動作。若要復原安裝，請在 .msi 檔案上按一下滑鼠右鍵並選擇 [解除安裝]。

確定安裝原則時所用的使用者帳戶擁有足夠的權限，可存取您正在修改的組態檔。例如，如果您目前登入所使用的帳戶並沒有修改企業組織檔的使用權限，而您正在部署的 .msi 檔案又必須修改企業組態檔，安裝將不會成功。請注意，如果目前的帳戶沒有修改組態檔的足夠使用權限，Windows Installer 套件並不會產生錯誤。

群組原則部署

如果您使用 Windows 伺服器來進行原則管理，可以使用群組原則和 Windows Installer 檔案，將安全性原則部署於網路上的工作站。您只需使用群組原則 MMC 嵌入式管理單元匯入 Installer 檔案，或是將 Installer 檔案放在當成安裝點的現有目錄中。在設定完群組原則發行 Installer 檔案之後，下次使用者登入網路時便會更新安全性原則。請注意，您的網路上必須要有網域控制器，才能使用群組原則部署安全性原則。如需使用群組原則的詳細資訊，請參閱 Microsoft Windows Server 說明。

SMS 部署

您可以使用 Microsoft Systems Management Server (SMS)，將安全性原則發行至網路上的電腦。 SMS 是獨立的伺服器產品，負責管理大型企業中的軟體安裝和組態。 SMS 特別適用於 Windows Server 架構的網路，因為它提供 Windows Server 架構網路所擁有的群組原則功能。請使用其中一種相容的方法，將 .msi 檔案轉換為 SMS 軟體套件，然後依照其他軟體套件的相同方式，使用 SMS 來安裝套件。如需建立和部署 SMS 軟體套件的詳細資訊，請參閱 SMS 文件。

請參閱

其他資源

一般安全性原則管理

安全性原則的最佳作法