y-z-Vertauschung mit kopierten Benutzerprofilen

[lefg 276]

Was macht das Kix-Skript eigentlich?

 

Führt es die Änderung am HKU des angemeldeten Users durch, also an der Registry, nicht an der User.dat direkt?

 

Das Script wird in der Root des Profilordners auf dem Server ausgeführt. Verzeichnis- und Kontoname müssen gleich sein.

Ich habe nochmals geschaut.

[zahni 521]

Ich glaube, Du brauchst Urlaub :D *duck*

 

http://sourceforge.net/project/showfiles.php?group_id=69165&package_id=68032

 

Dann auf setacl-cmdline-2.0.2.0-binary.zip klicken

 

Zum Mitlesen geht auch setacl-cmdline-2.0.2.0-sources.zip :cool:

 

-Zahni

[zahni 521]

Die andere Frage:

 

Das Script lädt (loadhive) die NTUSER.DAT , und versucht mit Verzeichnisname = Username die Zugriffrechte zu setzen. Dann wird NTUSER.DAT wieder entladen ( UNLOADHIVE ) Kix hatte ich nur wegen diesen Funktionen LOAD-/Unloadhive benutzt. Macht das Gleiche wie "Struktur laden" in Regedit.

 

-zahni

[lefg 276]

Das mit (un)loadhive habe ich mir gedacht.

 

Mit dem Laden des Paketes bin ich wohl *affglischt*, war wohl für Linux, mit einer P(er)l.

 

Mit dem Urlaubreif hast du recht.

[lefg 276]

Das Load uns Unload geht auch mit dem Reg-Befehl.

 

reg load hku\temphive c:\ntuser.dat
pause
reg unload hku\temphive
pause

Mit dem regedt32 ist beobachtbar, das Temphive erscheint und verschwindet.

[lefg 276]

Mit reg query können Schlüssel angezeigt werden.

reg load hku\temphive c:\ntuser.dat
pause
reg query hku\temphive
pause
reg unload hku\temphive
pause

Zum Bearbeiten der ACL bietet Reg anscheinend keine Möglichkeit.

[lefg 276]

setacl Users\"+$x+" /registry /grant "+$x+" /full /r:cont_obj

@Zahni

 

Kannst du mir bitte die Zeile erläutern?

 

Durch die Erklärung für 2.0.2.0 sehe ich nicht durch.

[zahni 521]

Die Version die damals benutzt hatte:

 

I:\Profiles>setacl

SetACL.exe 0.901   (c) 2001 by Helge Klein    www.helge.mynetcologne.de/setacl

Usage: SetACL.exe <object name> <object type> <action> <trustee> <permissions>
                 [/i:<inheritance>] [/p:<inh. from parent>] [/r:<recursion>]
                 [/sid]

==============================================================================

<object name>   = Any valid path to local or remote object

------------------------------------------------------------------------------

<object type>   = {/file | /dir | /printer | /registry | /service | /share |
                  /ds_obj | /ds_obj_all}

------------------------------------------------------------------------------

<action>        = {/deny | /grant | /set | /revoke}

------------------------------------------------------------------------------

<trustee>       = User/group to grant/deny permissions for, ie. 'machine\user'

------------------------------------------------------------------------------

<permissions>

     /file       = {/read | /write | /read_ex | /change | /full | /traverse |
                    /list_dir | /read_attributes | /read_ea | /add_file |
                    /add_subdir | /write_attributes | /write_ea |
                    /delete_child | /delete | /read_dacl | /write_dacl |
                    /write_owner}

     ........................................................................

     /dir        = {/read | /write | /list_folder | /read_ex | /change |
                    /profile | /full | /traverse | /list_dir |
                    /read_attributes | /read_ea | /add_file | /add_subdir |
                    /write_attributes | /write_ea | /delete_child |/delete |
                    /read_dacl | /write_dacl | /write_owner}

     ........................................................................

     /printer    = {/print | /man_printer | /man_docs | /full}

     ........................................................................

     /registry   = {/read | /full | /query_val | /set_val | /create_subkey |
                    /enum_subkeys | /notify | /create_link | /delete |
                    /write_dacl | /write_owner | /read_access}

     ........................................................................

     /service    = {/read | /start_stop | /full}

     ........................................................................

     /share      = {/read | /change | /full}

------------------------------------------------------------------------------

<inheritance>  = {cont_obj_inh | cont_inh | obj_inh | inh_only | no_prop_inh}

------------------------------------------------------------------------------

<inh. from parent>
              = {yes | no_copy | no_dont_copy}

------------------------------------------------------------------------------

<recursion>    = {cont_obj | cont | obj}

(Only for reg keys and directories) Walk down the tree and set permissions on
every key, directory and every file {cont_obj}, on every key and directory
{cont}, or on every file {obj}. Only needed on NT4 and in special cases.

------------------------------------------------------------------------------

/sid           : <trustee> parameter is a SID, not an account/group name.
                Well-known SIDs can be used.

==============================================================================

If not specified, inheritance is always set to values which suit the cause.
Using your own settings can result in undesired permissions. Beware!

Also, 'inherit from parent' is set to 'yes' if not specified.

[lefg 276]

Ich danke dir. Die Erklärung unterscheidet sich von der neuen (etwas).

 

Morgrn geht es weiter, gleich gehe ich zum Unterricht.

 

Bis morgen.

 

Edgar

[lefg 276]

setacl Users\"+$x+" /registry /grant "+$x+" /full /r:cont_obj 

SetACL.exe <object name> <object type> <action>  <permissions> /r:<recursion>

SetACL.exe Users\%Username% /registry  /grant %username% /full /r:<recursion>

Das müsste also so passen.

[zahni 521]

Der jenige welcher, der das macht, braucht aber Adminrechte ;) .

 

Da finde ich jetzt mein Script besser ;)

 

-Zahni

[lefg 276]

Der jenige welcher, der das macht, braucht aber Adminrechte ;) . Da finde ich jetzt mein Script besser ;)-Zahni

Ich habe den Verdacht, dein Skrit wird aufgerufen, nachdem der Benutzer sich angemeldet hat, ist das so richtig?

 

Ich verfolge ein anders Konzept, es soll zu den Batches zum Anlegen der Benutzer, zum Kopieren von Verzeichnissen usw. passen.

 

Diese Batches lesen Listen mit Vornamen;Nachnamen der Benutzer aus, erzeugen daraus Benutzernamen und Passwort, erstellen Gruppen-, Profil- und Homverzeichnisse, vergeben Bechtigungen, ändern den Eigner.

 

Falls das also mit dem Ändern der ACL so klappt, wird eine Batch die Listen aller Gruppen abarbeiten. Es wird jeweils die Liste einer Gruppe mit den Vorrnamen,Nachnamen abgearbeitet.

[zahni 521]

Ok, wie auch immer. Jedenfall brauch der User der es macht Admin-Rechte. Ein User kann sich nciht selber Schreibrechte in der Registry geben.

 

-Zahni

[Hirgelzwift 10]

mir glaubt ja keiner was.....

 

http://www.mcseboard.de/showpost.php?p=481532&postcount=23

 

ich denke du wärst längst fertig und alles wäre gut :D ;)

[lefg 276]

Ok, wie auch immer. Jedenfall brauch der User der es macht Admin-Rechte. Ein User kann sich nciht selber Schreibrechte in der Registry geben.

 

-Zahni

Der User hat bei meiner Vorgehensweise nichts damit zu tun.