Déploiement de la stratégie de sécurité
Mise à jour : novembre 2007
La stratégie de sécurité peut être facilement déployée dans un fichier Windows Installer (.msi). Un fichier .msi est un package d'installation autonome qui peut être déployé, installé et désinstallé de plusieurs manières. Par exemple, vous pouvez déployer un fichier .msi de l'une des façons suivantes :
En exécutant le fichier .msi sur l'ordinateur où vous voulez déployer la stratégie, à partir du disque local ou d'un partage.
En utilisant la Stratégie de groupe sur Microsoft Windows 2000.
En utilisant SMS (Microsoft® Systems Management Server) 2.0 sur Microsoft Windows NT et Windows 2000.
Création de fichiers Windows Installer
L'outil .NET Framework Configuration Tool (Mscorcfg.msc) fournit un Assistant pour la création de fichiers Windows Installer. Cet Assistant peut créer un fichier d'installation correspondant à l'un des trois niveaux de stratégie configurables, mais pas tous simultanément. Si vous administrez la stratégie de sécurité pour les trois niveaux configurables, vous devez créer trois fichiers Windows Installer et les déployer séparément.
L'Assistant crée un fichier d'installation à l'aide des paramètres de stratégie en cours de l'ordinateur où l'Assistant s'exécute. Par exemple, pour créer une stratégie de l'utilisateur en vue d'un déploiement vers un groupe d'utilisateurs, vous devez configurer la stratégie de l'utilisateur sur votre ordinateur actuel, créer un fichier d'installation avec l'Assistant, puis rétablir l'état initial de la stratégie de l'utilisateur de l'ordinateur.
Pour créer un fichier Windows Installer :
Exécutez l'outil .NET Framework Configuration Tool (Mscorcfg.msc).
Dans les versions 1.0 et 1.1 du .NET Framework, tapez les informations suivantes à l'invite de commandes : %Systemroot%\Microsoft.NET\Framework\numéroVersion\Mscorcfg.msc.
Dans le .NET Framework 2.0, démarrez le Invite de commandes du Kit de développement SDK et tapez mscorcfg.msc.
Dans le volet de gauche, cliquez avec le bouton droit sur le nœud Stratégie de sécurité du runtime.
Dans le menu, choisissez Créer un package de déploiement.
Suivez les instructions de l'Assistant Deployment Package Wizard pour créer le fichier .msi.
Lorsque vous déployez la stratégie à l'aide d'un fichier de programme d'installation créé par l'outil Outil .NET Framework Configuration (Mscorcfg.msc), les éléments suivants s'appliquent :
L'installation de la stratégie affecte uniquement la version du runtime que vous avez ciblée lorsque vous avez créé le fichier d'installation. Par exemple, si vous utilisez l'outil .NET Framework Configuration version 2.0, votre fichier d'installation modifie uniquement la stratégie du .NET Framework version 2.0.
Dans certains cas, le programme d'installation ne génère pas d'erreur si l'installation d'une nouvelle stratégie échoue. Pour vérifier que la stratégie a été correctement installée, vérifiez-la à l'aide de l'outil .NET Framework Configuration, l'Outil Code Access Security Policy Tool (Caspol.exe), ou en inspectant manuellement les fichiers de la stratégie dans un éditeur de texte après le déploiement.
Pour mettre à jour la stratégie affichée par l'outil .NET Framework Configuration, vous devez arrêter puis redémarrer l'outil.
Déploiement personnalisé
Vous pouvez déployer les fichiers Windows Installer de plusieurs manières, y compris par un script de démarrage, une distribution par courrier électronique ou une distribution à partir d'un lecteur partagé. Pour déployer la stratégie de sécurité à partir d'un fichier Windows Installer, le plus simple est d'exécuter le fichier à partir de l'ordinateur où vous voulez mettre à jour la stratégie de sécurité. Pour ce faire, double-cliquez simplement sur le fichier .msi. Pour annuler l'installation, cliquez avec le bouton droit sur le fichier .msi et choisissez Uninstall (Désinstaller).
Assurez-vous que le compte d'utilisateur sous lequel la stratégie est installée possède les privilèges adéquats pour accéder aux fichiers de configuration que vous modifiez. Par exemple, si vous êtes actuellement connecté à l'aide d'un compte qui n'est pas autorisé à modifier le fichier de configuration entreprise, et si le fichier .msi que vous déployez doit modifier le fichier de configuration entreprise, l'installation échouera. Notez que le package Windows Installer ne produit pas une erreur si le compte en cours n'a pas l'autorisation suffisante pour modifier le fichier de configuration.
Déploiement de stratégie de groupe
Si vous utilisez un serveur Windows 2000 pour l'administration de la stratégie, vous pouvez utiliser la Stratégie de groupe avec un fichier Windows Installer pour déployer la stratégie de sécurité sur les postes de travail de votre réseau. Importez simplement le fichier d'installation à l'aide du composant logiciel enfichable MMC de stratégie de groupe, ou placez le fichier d'installation dans un répertoire préexistant que vous utilisez en tant que point d'installation. Une fois que vous avez configuré la Stratégie de groupe pour publier le fichier d'installation, la stratégie de sécurité sera mise à jour la prochaine fois que les utilisateurs ouvriront une session réseau. Notez qu'un contrôleur de domaine doit être présent sur le réseau pour que vous puissiez déployer la stratégie de sécurité à l'aide de Stratégie de groupe. Pour plus d'informations sur l'utilisation de Stratégie de groupe, consultez l'aide de Microsoft Windows 2000 Server.
Déploiement de SMS
Vous pouvez utiliser SMS (Microsoft Systems Management Server) 2.0 pour publier la stratégie de sécurité sur des ordinateurs d'un réseau utilisant Windows 2000 Server ou Windows NT Server. SMS est un produit serveur autonome qui gère l'installation et la configuration des logiciels dans les grandes entreprises. SMS est particulièrement utile dans les réseaux basés sur Windows NT Server, car il fournit la fonctionnalité Stratégie de groupe dont disposent les réseaux Windows 2000 Server. Utilisez l'une des méthodes compatibles pour convertir le fichier .msi en un package logiciel SMS, puis utilisez SMS pour installer le package comme n'importe quel autre package logiciel. Pour plus d'informations sur la création et le déploiement de packages logiciels SMS, consultez la documentation de SMS.