Hallo,
viele Domänenadministratoren sind auf der Suche nach einer Möglichkeit einen direkten Zugriff auf die Registrierungsdatenbank eines Clients in ihrer Domäne zu erlangen, um dort die Berechtigung eines Ordners aller Unterordner zu ändern. Natürlich gibt es hierfür mehrere Möglichkeiten:
- Änderungen des Schlüssels direkt am Client oder
- Änderung des Schlüssels unter Verwendung eines Scripts oder
- Automatisierte Übergabe eines Scriptes per Gruppenrichtlinie.
Das sind die drei häufigsten Varianten. Nun aber zu Technik! Leider hat Microsoft mit dem herkömmlichen Registrierungeditor (regedit) nicht die Möglichkeit geschaffen die Rechte in den Unterordnern automatisch (bei vorhanden Ordnern des übergeordneten Ordners) zu übernehmen.
Zur Variante 1.) sei gesagt, dass die Änderung des Schlüssel per Aufruf von regedit zwar jeder Domänenbenutzer darf, jedoch einige Unterordner können mangels Berechtigung nicht aufgerufen werden.
Zu 2.): die Änderung des Registrierungsschlüssels kann mit Hilfe eines Programmes namens: SubInACL oder SetACL getätigt werden.
Aufruf des Scripts mittels SubInACL:
\\server\$freigabe\subinacl.exe /keyreg “HKLM\Software\Intel” /grant=Benutzer=F
Hier ist aber zu beachten, dass HKLM ausgeschrieben wird!
Nähere Informationen zur Verwendung von SubInACL gibt es in der subinacl.htm aus dem Verzeichnis:
c:\Programme\Windows Ressource Kit\Tools\
Aufrufen des Scripts per SetACL:
\\server\$freigabe\setacl.exe -on “HKLM\Software\Intel” -ot reg -rec yes -actn ace
-ace “n:Jeder;p:Full”
Kurze Erklärung hierfür: die Variabel “-on” (ObjectName) zeigt auf den Registrierungszweig von Intel. “-ot” bedeutet hier “ObjectType; “reg” steht für Registrierungsschlüssel; “-rec yes” steht für Rekursives übernehmen der Berechtigungen (erlaubt = yes); “-actn” = Aktion/Action und “ace” = Übernahme der Berechtigung nach Spezifikation mittels Variable “-ace “n:Dom\User;p=Rights“.
Die Dokumentation von SetACL liegt im Programmverzeichnis des zu entpackenden Zip-Archives!
Zu Punkt 3.) einfach das jeweilige dann angefertigte Script in eine Freigabe verpacken und per MSI verteilen bzw. das Scripts unter den Startscript für den Benutzer hinzufügen. Das wars eigentlich.
