Здравствуйте.
Есть задача, дать пользователю в домене права на запись в определённую ветку реестра.
При загрузке запускается bat с командой regedt32 /s ololo.reg в рег файле ветка нужная. Если входить администратором, то всё ок, но если входит пользователь то ничего не происходит, т.к. нет прав на запись в реестр, а параметр /s не даёт ничего сообщить. Если дать права на запись в эту ветку реестр всем пользователям, выставить руками, а потом запустить батник рукой, то всё ок. Но проблема в том, что после перезагрузки эти разрешения сбрасываются на умолчания, то есть снова доступ на запись только у админа.
Подскажите пжлста! Чувствую есть выход через политику, а идеальнее было бы сделать это просто на локальной машине.
Спасибо!

Что делает ololo.reg, куда пишет (не в HKCU ли, через логон скрипт)? Через политику можно раздать права на ветки HKCR\HKLM\HKU.

=[Monster]=
В АД создать на юзера запуск файла при логине не пробовал? Оно же от админа прописывать должно.

Либо повысить его в правах локально, либо runas - навскидку

ololo.reg пишет в [HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\ насколько я понимаю, в карент юзер писало бы без проблем. Догадываюсь, что можно раздать права на ветки HKCR\HKLM\HKU — подскажете как? Да, подозреваю это может как-то нехорошо повлиять на безопасность? Да и честно, нежелательно, чтобы это было реализовано политикой.

Да, так и есть, но нежелательно, чтобы скрнипт в сисволе болтался на глазах.

Повысить в правах нельзя, а вот ранас как выполнить для батника к своему стыду не знаю, научите? Хотя, ведь тогда в батнике будет открыто болтаться пароль админа домена? Это не есть гуд.

Добавлю, что нежелательно политикой и скриптом при входе, но если шансов нет с удовольствием приму решение.
Да и вопрос остался, почему права после перезагрузки на реестр скидываются? Может можно отключить это?
Спасибо.

=[Monster]=а зачем же в сисволе?

Вы же имели в виду сценарии, что запускаются при загрузке? Набор их лежит в сисволе в виде cmd'ешек? Если нет, то поясните пожалуйста какой способ вы предложили?

Что логон, что легаси скрипт выполняется от юзера. Права не повышаются.
Ps!ho
runas mmc - и пользователь повышает себя до администратора компа.

Необязательно, можно и вдругом доступном по сети месте.

Временный, заново создается. Скорее нет.

Я понял, что пишется одно и тоже для любого пользователя вошедшего на комп, тогда это можно сделать через локальные политики - сценарий загрузки - выполняется от имени системы. А вот если ololo.reg разный для пользователей, тогда раздача прав на реестр групповыми политиками и писать любым способом.

d4w
Что значит временный? Терзают сомнения, о временном создающимся реестром, тем более о локал машин, который для всех один. Сомнительно очень. Ветка обновляется которая мне нужна, а другие остаются, а вот с правами непонятка.
Да, пишется одно и тоже. А почему такое разделение, сценарий загрузки в политике можно дать любому пользователю, правильно? Но не хочется выделять пользователя в отдельную группу (папку), чтобы назначить ему политику. И интересно, как же всё-таки организовать добавление рега в комп? Может есть ран, который от системы запускается?

d4w Запретить данному юзеру редактировать этот батник. И вообще мне кажется, что не прокатит...

То и значит, этот раздел не хранится, нет его в системе.

не так, он не для пользователей, а для компьютера.

Лучше скажи, что замутить хочешь? Я нашел там 1 ключ только, представляющий явный интерес.


права на редактирование не нужны, достаточно чтения - привет пароль

Катит...

d4w Пароль не в батнике хранится, а в системе

d4w
Чёрт побери, может я понятия путаю «сценарий загрузки» это в политике сценарии, да? А я говорил про скрипт в файлике кмд, что любому пользователю в АД можно прописать, это по другому называется, да?
говорю по существу, мне нужно, чтобы в свойствах системы были мои данные о компьютере, чтобы любой входил в комп и видел их, у админов всё ок происходит, а вот на пользователе не срабатывает. Я сделал в HKLM\-\-\-\run C:\WINDOWS\system32\info.bat дал права на этот файл все рядом. Батник запускает ololo.reg рядом, на него тоже все права. С ключом /s регу запускает. При входе пользователя
reg пытается записать в HKLM\HARDWARE\DESCRIPTION\ инфу мою, тихо и ничего не показывая. Но у него не получается, т.к., я понимаю, нет прав на запись в HKLM у пользователя, если я выставлю права на запись, то после перезагрузки они сбрасываются. Для меня стало откровением, что в домене ветка HKLM на компьютерах является временной, это меня ОЧЕНЬ удивляет, зачем же так? Может всё-таки просто права сбрасываются просто?
Но проблема осталась, как мне всё-таки разрешить пользователям эту инфу записывать? Ведь HKLM\HARDWARE\DESCRIPTION обновляется при перезагрузке и данные там не сохраняются.
Да, очень зочется решить это на локальном компе, чтобы в АД и в политиках ничего не болталось лишнего.
Спасибо!

На компьютере запусти оснастку групповых политик (это будут локальные политики, и действовать только на этом компе и не нужно использовать групповые политики в AD) - gpedit.msc; сценарий загрузки (стартап скрипт) - это выполняется для компьютера, от системы - вот сюда и пропиши info.bat; сценарий входа (логон скрипт) - для вошедших пользователей, с их правами. В AD у пользователя на вкладке профиля тоже сценарий входа, но только для него.

Домен здесь не причем, не вся HKLM, а именно HARDWARE.

d4w
Зашёл на локальный комп, запустил gpedit.msc — политика локальный компьютер — конф. виндус — сценарии, добавил батник. При загрузке он выполняется, но также у пользователя домена ничего не прописывается. А уадминистратора всё ок. Чёрт побери, что же делать.

В конфигурацию компьютера надо батник добавлять, а не пользователя.

d4w Может я туплю, но я же и добавил батник в конфигурацию компьютера, я же написал: «запустил gpedit.msc — политика локальный компьютер — конф. виндус — сценарии, добавил батник». Вижу, как он открывается во время загрузки на долю секунды (кстати, было бы тоже хорошо убрать) но ничего не происходит елси заходит юзер.

потуплю и я чуток
а может проще сделать запуск этого батника шедулером при запуске компа с правами админа и всё?