#
Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Раздаем права к ключикам реестра,я бы рад.Вот только как?

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки

Открыть новую тему     Написать ответ в эту тему

cthief



Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Доброе время суток господа!Ситуация такая.Поднял домен в конторе,120 юзеров,ограничил права,вот бы счастье,только  клиент цитрикса не запускался с ограниченными правами на систему.Проблему выявил,ругался на  нехватку прав на редактирование ключей реестра "HK_LM\software\microsoft\mslicensing".Теперь собсно сам вопрос:как раскидать разрешения всем 120 юзерам к этим ключам по своей машинке?
 
Мои варианты:
1)Самое геморное.Сначала дать юзеру права админа и дать самому себе права на редактирование ключа.Только это перевоплощение не радует,и вряд ли я такое буду вытворять, о_О их аж 120 штук.
2)Юзать службу "удаленного реестра",опять же геморно,юзеров 120.Тем более каждый 5 комп будет кричать "RPC is unavailable"(Хренова вирусня),к тому указательный палец правой руки побаливает.
3)задать какой нить скрипт при запуске,вот только какой?
 
Спасибо за внимание.
Всячески надеюсь на помощь...

Всего записей: 19 | Зарегистр. 28-01-2010 | Отправлено: 20:52 02-02-2010
FL0od13



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Есть утилита - subinacl (входит в ресурскит).
Я её копировал через GPO по всем компам, но, скорее всего, её можно расположить на шаре.
 
В пакет входит хелп с примерами (subinacl.htm).
В частности, для реестра можно запускать через GPO (на автозагрузку) это:
subinacl.exe /keyreg "HKEY_LOCAL_MACHINE\software\microsoft\mslicensing" /grant=S-1-5-32-545=F".
Это даст встроенной группе "Пользователи" (S-1-5-32-545) полные права на ветку.
 
Про SID'ы можно почитать здесь: http://support.microsoft.com/kb/243330

Всего записей: 693 | Зарегистр. 04-03-2007 | Отправлено: 21:39 02-02-2010
djback

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Всех приветствую! А вот проблема похожая - но серъёзней:
1. Есть 50 компов примерно одинаковых по установленному софту.
2. Есть примерно 30 пользователей, которые постоянно меняются между этими компами.
Хочу, например, через файлы реестра запретить пользователям менять обои на рабочем столе - для этого нужно добавить в ветку реестра HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer параметр. Например входит пользователь в систему и в автозагрузке лежит bat-файл и через командную строку импортирует нужные параметры в реест (а конкретно в вышеуказанную ветку реестра, которая у каждого пользователя своя). Права для обычного пользователя (а все 30 людей имеют именно такие права) в эту ветку высталены только на чтение.  
 
Вопрос: как мне из-под пользователя-Админа изменить права для пользователя-юзера (именно для его ветки HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer) причем быстро (например при помощи консольных утилит)?
Варианты есть такие:
1. Под Админом загрузить реестр и подгружать кусты реестра для каждого пользователя из файла NTUSER.DAT (если бы компы были полностью идентичные - можно было бы 30 раз открыть файл для каждого пользователя и потом заменить на других 50-ти компах - а так это не "прокатит")
2. Груповые политики (контроллер домена во-первых на Linux, а во-вторых "рулится" не мной - поэтому тоже не "прокатит")
Пробовал консольные утилиты:
SetAcl (setacl.exe -on "hkcu\Software\Microsoft\Windows\CurrentVersion\Policies" -ot reg -actn ace -ace "n:COMP\user;p:full")
Regini (\Registry\User\S-1-5-21-436374069-492894223-1708537768-1004\Software\Microsoft\Windows\CurrentVersion\Policies [1 5 7 17])
SetAcl при изменении прав - изменяет HKEY_CURRENT_USER для профиля пользователя-Админа, а если запускается под пользователем-юзером, то пишет, что недостаточно прав для изменения ACL.
Regini (на неё была надежда) запускается, но права для данного SID-а не изменяет.
 
Кто-нибудь ещё знает как сделать описанную мной задачу в автоматическом режиме ещё как-нибудь? Буду признателен за любую помощь

Всего записей: 4 | Зарегистр. 18-05-2006 | Отправлено: 03:15 14-07-2011
resetsa

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
djback
домен есть?
Если да - то смотреть в сторону групповой политике (до просветления).там можно все задать и не обязательно ковырять реестр, хотя конечно можно пойти и через Китай ...

Всего записей: 194 | Зарегистр. 11-01-2007 | Отправлено: 19:44 14-07-2011
urodliv



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
resetsa
Он вторым пунктом пунктом этот манёвр отмёл:

Цитата:
Груповые политики (контроллер домена во-первых на Linux, а во-вторых "рулится" не мной - поэтому тоже не "прокатит")  

djback
Может посмотреть в сторону "перемещаемого профиля"?

----------
Очень скоро еда станет совершенно безвкусной, и тогда этот недостаток придётся компенсировать хорошо развитым воображением.

Всего записей: 6135 | Зарегистр. 29-04-2009 | Отправлено: 21:51 14-07-2011
djback

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Решение найдено! Оно простое как угол бани  
Про невозможность ГП - я написал
Всем спасибо за ответы!
Решение такое:
1. Один раз создаётся bat-файл в котором проверяется последовательно какие пользователи логинились на конкретный комп (не все 30 сидели за каждым компом).
Потом для пользователей, которые логинились, через команду REG LOAD автоматом подгружается их файлик NTUSER.DAT в раздел Админа HKLM\%user%. И потом через команду REG ADD заносятся нужные параметры реестра. После этого REG UNLOAD и дело в шляпе. Запускаем этот скрипт один раз на каждом из 50-ти компов и идём пить пиво!
 
PS. Под конец написания сообщения мысль ещё лучше (как мне кажется) посетила меня. Тот же самый REG LOAD, а потом просто  
subinacl.exe /subkeyreg "HKEY_LOCAL_MACHINE\%user%\Software\Microsoft\Windows\CurrentVersion\Policies" /grant=S-1-5-32-545=F", где SID S-1-5-32-545 - просто группа ПОЛЬЗОВАТЕЛИ. Этой командой мы дали полные права для указанной ветки ПОЛЬЗОВАТЕЛЯМ.
Я протестил два варианта BAT-файла - работают как часы Если кому надо - могу выложить Но написанием скриптов именно на BAT - занимаюсь недолго. Может кто-нить оптимизирует.
 
Добавлено:

Цитата:
Может посмотреть в сторону "перемещаемого профиля"?

Подумаю - есть удалённые пользователи по выделенке и если они свои профили будут брать с сервера, то канал завалят. Но я протестирую, Спасибо

Всего записей: 4 | Зарегистр. 18-05-2006 | Отправлено: 01:15 15-07-2011 | Исправлено: djback, 01:26 15-07-2011
Открыть новую тему     Написать ответ в эту тему

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Раздаем права к ключикам реестра,я бы рад.Вот только как?

Имя:
Пароль:
Сообщение

Для вставки имени, кликните на нем.

Опции сообщенияДобавить свою подпись
Подписаться на получение ответов по e-mail
Добавить тему в личные закладки
Разрешить смайлики?
Запретить коды


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.Board
© Ru.Board 2000-2020

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru

Рейтинг.ru