セキュリティ ポリシーの配置

更新 : 2007 年 11 月

セキュリティ ポリシーは、Windows Installer (.msi) ファイル形式で簡単に配置できます。.msi ファイルは、さまざまな方法で配置、インストール、およびアンインストールできる自己完結型のインストール パッケージです。たとえば、.msi ファイルは次のような方法で配置できます。

  • ローカル ディスクまたは共有ディスクから、ポリシーの配置先とするコンピュータ上で .msi ファイルを実行する。

  • Microsoft Windows 2000 のグループ ポリシーを使用する。

  • Microsoft Windows NT および Windows 2000 で Microsoft® Systems Management Server (SMS) 2.0 を使用する。

Windows Installer ファイルの作成

.NET Framework 構成ツールには、Windows Installer ファイルを作成するためのウィザードが備わっています。このウィザードを使用して、構成可能な 3 つのポリシー レベルのいずれかに対応する Windows Installer ファイルを作成できますが、すべてのレベルのファイルをまとめて同時には作成できません。構成可能な 3 つの全レベルでセキュリティ ポリシーを管理している場合は、3 つの異なる Windows Installer ファイルを作成して別々に配置する必要があります。

このウィザードは、そのウィザードを実行するコンピュータの現在のポリシー設定を使用して Windows Installer ファイルを作成します。たとえば、ユーザー グループに配置するユーザー ポリシーを作成するには、現在のコンピュータでユーザー ポリシーを構成し、ウィザードを使用して Windows Installer ファイルを作成してから、現在のコンピュータのユーザー ポリシーを元の状態に戻します。

Windows Installer ファイルを作成するには

  1. .NET Framework 構成ツール (Mscorcfg.msc) を実行します。

    • .NET Framework Version 1.0 と 1.1 では、コマンド プロンプトで「%Systemroot%\Microsoft.NET\Framework\versionNumber\Mscorcfg.msc」と入力します。

    • .NET Framework 2.0 では、SDK のコマンド プロンプト を起動して「mscorcfg.msc」と入力します。

  2. 左のペインで、[ランタイム セキュリティ ポリシー] ノードを右クリックします。

  3. メニューの [配置パッケージの作成] をクリックします。

  4. 配置パッケージ ウィザードの指示に従って .msi ファイルを作成します。

.NET Framework 構成ツール (Mscorcfg.msc) で作成されるインストール ファイルを使用してポリシーを配置する場合は、次の点に注意が必要です。

  • インストールするポリシーは、インストール ファイルを作成したときに対象としたランタイムのバージョンに対してのみ適用されます。たとえば、.NET Framework 構成ツール Version 2.0 を使用すると、そのインストール ファイルでは .NET Framework Version 2.0 のポリシーのみが変更されます。

  • 場合によっては、新しいポリシーのインストールに失敗してもエラーが発生しないことがあります。ポリシーが正常にインストールされたことを確認するには、.NET Framework 構成ツールである コード アクセス セキュリティ ポリシー ツール (Caspol.exe) を使用してポリシーを検査するか、または配置した後でテキスト エディタを使用して手動でポリシー ファイルを検査します。

  • .NET Framework 構成ツールに表示されたポリシーを更新するには、ツールをシャットダウンして再起動する必要があります。

カスタム配置

Windows Installer ファイルは、スタートアップ スクリプト、電子メールによる配布、共有ドライブからの配布など、さまざまな方法で配置できます。Windows Installer ファイルからセキュリティ ポリシーを配置する最も簡単な方法は、セキュリティ ポリシーを更新する対象のコンピュータからこのファイルを実行することです。これは、.msi file をダブルクリックするだけで実行できます。インストールをロールバックするには、.msi ファイルを右クリックし、[アンインストール] をクリックします。

ポリシーのインストールに使用するユーザー アカウントが、変更対象の構成ファイルに対する適切なアクセス権限を持っていることを確認してください。たとえば、エンタープライズ構成ファイルを変更するためのアクセス許可を持っていないアカウントでログオンしていて、配置しようとしている .msi ファイルがエンタープライズ構成ファイルの変更を要求するものである場合には、インストールは失敗します。現在のアカウントが構成ファイルを変更するために必要なアクセス許可を持っていない場合でも、Windows Installer パッケージはエラーを生成しません。

グループ ポリシーの配置

ポリシーの管理に Windows 2000 サーバーを使用する場合は、グループ ポリシーと Windows Installer ファイルを使用して、ネットワーク上のワークステーションにセキュリティ ポリシーを配置できます。この場合は、グループ ポリシー MMC スナップインを使用して Windows Installer ファイルをインポートするか、またはインストール場所として使用している既存のディレクトリに Windows Installer ファイルを配置するだけです。Windows Installer ファイルを公開するようにグループ ポリシーを構成すると、ユーザーが次にネットワークにログオンするときにセキュリティ ポリシーが更新されます。グループ ポリシーを使用してセキュリティ ポリシーを配置するには、ネットワーク上にドメイン コントローラが存在している必要があります。グループ ポリシーの使用方法については、Microsoft Windows 2000 サーバーのヘルプを参照してください。

SMS による配置

Microsoft Systems Management Server (SMS) 2.0 を使用して、Windows 2000 サーバーまたは Windows NT サーバーを使用するネットワーク上のコンピュータにセキュリティ ポリシーを公開できます。SMS は、大規模なエンタープライズでのソフトウェアのインストールと構成を管理するスタンドアロンのサーバー製品です。SMS は Windows 2000 Server ベースのネットワークに用意されているグループ ポリシー機能と同じ機能を持っているため、Windows NT Server ベースのネットワークでは特に役に立ちます。互換性のある方法のいずれかを使用して .msi ファイルを SMS ソフトウェア パッケージに変換してから、SMS を使用して、他のソフトウェア パッケージをインストールする場合と同様に、SMS ソフトウェア パッケージをインストールします。SMS ソフトウェア パッケージの作成および配置の詳細については、SMS のドキュメントを参照してください。

参照

その他の技術情報

一般的なセキュリティ ポリシー管理

セキュリティ ポリシーの実施