Implementar la directiva de seguridad
Actualización: noviembre 2007
Implementar la directiva de seguridad es muy sencillo en un archivo de Windows Installer (.msi). Un archivo .msi es un paquete de instalación autosuficiente que se puede implementar, instalar y desinstalar de varias formas distintas. Por ejemplo, se puede implementar un archivo .msi de cualquiera de las siguientes maneras:
Ejecutando el archivo .msi en el equipo en que desea implementar la directiva, desde el disco local o desde un recurso compartido.
Con el uso de la Directiva de grupo en Microsoft Windows 2000.
Mediante el uso de Microsoft® Systems Management Server (SMS) 2.0 en Microsoft Windows NT y Windows 2000.
Crear archivos de Windows Installer
La herramienta Configuración de .NET Framework (Mscorcfg.msc) proporciona un asistente para crear archivos de Windows Installer. El asistente puede crear un archivo Installer que corresponda a uno de los tres niveles de directiva configurables, pero no a los tres a la vez. Si administra la directiva de seguridad para los tres niveles configurables, debe crear tres archivos de Windows Installer distintos e implementarlos uno por uno.
El asistente crea el archivo Installer utilizando los valores de directiva actuales del equipo en que se ejecuta el asistente. Por ejemplo, para crear una directiva de usuario para su implementación en un grupo de usuarios, la directiva se configura en el equipo actual, el archivo Installer se crea con el asistente y, a continuación, la directiva de usuario del equipo actual se restablece en su estado original.
Para crear un archivo de Windows Installer:
Ejecute la herramienta Configuración de .NET Framework (Mscorcfg.msc).
En las versiones 1.0 y 1.1 de .NET Framework, escriba lo siguiente en el símbolo del sistema: %Systemroot%\Microsoft.NET\Framework\versionNumber\Mscorcfg.msc.
En .NET Framework 2.0, inicie Símbolo del sistema de SDK y escriba mscorcfg.msc.
En el panel izquierdo, haga clic con el botón secundario del mouse en el nodo Directiva de seguridad en tiempo de ejecución.
En el menú, seleccione Crear paquete de implementación.
Siga las instrucciones del Asistente para paquete de implementación y cree el archivo .msi.
Al implementar la directiva utilizando un archivo de instalador creado por Herramienta Configuración de .NET Framework (Mscorcfg.msc):
La instalación de la directiva afecta sólo a la versión del tiempo de ejecución que se indicó al crear el archivo de instalación. Por ejemplo, si utiliza la versión 2.0 de la herramienta Configuración de .NET Framework, el archivo de instalación sólo cambia la directiva de la versión 2.0 de .NET Framework.
En algunos casos, el instalador no genera ningún error aunque falle la instalación de una nueva directiva. Para comprobar que la directiva se instaló correctamente, inspeccione la directiva utilizando la herramienta Configuración de .NET Framework, Herramienta de la directiva de seguridad de acceso a código (Caspol.exe), o inspeccionando manualmente los archivos de directivas en un editor de texto después de la implementación.
Para actualizar la directiva mostrada por la herramienta Configuración de .NET Framework, debe cerrar la herramienta y reiniciarla.
Implementación personalizada
Los archivos de Windows Installer se pueden implementar de varias maneras, como con una secuencia de comandos de inicio, mediante la distribución por correo electrónico o la distribución desde una unidad compartida. La forma más sencilla de implementar la directiva de seguridad desde un archivo de Windows Installer es ejecutar el archivo desde el equipo en que desea actualizar la directiva de seguridad. Para ello, sólo tiene que hacer doble clic en el archivo .msi. Para deshacer la instalación, haga clic con el botón secundario del mouse en el archivo .msi y elija Desinstalar.
Asegúrese de que la cuenta de usuario en la que se instala la directiva tiene los privilegios necesarios para tener acceso a los archivos de configuración que se van a modificar. Por ejemplo, si ha iniciado la sesión actual con una cuenta que no tiene permiso para modificar el archivo de configuración de empresa y el archivo .msi que va a implementar debe modificarlo, la instalación no será correcta. Recuerde que el paquete de Windows Installer no produce un error si la cuenta actual no tiene los permisos suficientes para modificar el archivo de configuración.
Implementación de Directiva de grupo
Si se utiliza un servidor de Windows 2000 para la administración de directivas, se puede usar Directiva de grupo con un archivo de Windows Installer para implementar la directiva de seguridad en las estaciones de trabajo de la red. Sólo hay que importar el archivo Installer mediante el complemento de MMC de directiva de grupo o ubicarlo en un directorio existente que se utiliza como punto de instalación. Una vez que se ha configurado Directiva de grupo para que publique el archivo Installer, la directiva de seguridad se actualizará la próxima vez que los usuarios inicien sesión en la red. Tenga en cuenta que para implementar la directiva de seguridad mediante Directiva de grupo debe haber un controlador de dominio en la red. Para obtener más información sobre la utilización de Directiva de grupo, vea la Ayuda de Microsoft Windows 2000 Server.
Implementación SMS
Se puede usar Microsoft Systems Management Server (SMS) 2.0 para publicar la directiva de seguridad en los equipos de una red en que se utilice un servidor de Windows 2000 Server o de Windows NT Server. SMS es un producto de servidor independiente que administra la instalación y configuración de software en grandes empresas. SMS es especialmente útil en redes basadas en Windows NT Server porque proporciona la funcionalidad de Directiva de grupo que tienen las redes basadas en Windows 2000 Server. Use uno de los métodos compatibles para convertir el archivo .msi en un paquete de software de SMS y, a continuación, utilice SMS para instalar el paquete de la misma forma que cualquier otro paquete de software. Para obtener más información sobre cómo crear e implementar paquetes de software SMS, consulte la documentación de SMS.