Re bonjour,
étant administrateur d'une O.U. 2003 et n'ayant aucun droit sur les GPO, je cherche depuis trois semaines à faire appliquer des scripts d'inscription base de registre pour chaque utilisateur.
Désireux d'accroitre la sécurité des postes de travail sous ma responsabilité et voulant prévenir des bidouillages ou erreurs de manipulation en tout genre des utilisateurs indélicats, je voudrais inscrire des informations supplémentaires dans la clef HKCU...policies.
Mais voilà, si l'utilisateur n'est pas administrateur du poste de travail, impossible d'inscrire les nouvelles informations de configuration du poste.
La fonction RunAs ex RunAsSet aurait été intéressante mais uniquement pour le lancement de programmes ou batch quelconques.
Une fonction a attiré mon attention, c'est "_Security__SetPrivilege" qui permettrait d'activer temporairement des privilèges d'administrateur local afin d'inscrire les informations dans la base de registre.
Suis je dans le vrai ?
Et si tel était le cas, quelqu'un pourrait il m'expliquer comment l'utiliser ?
Parce que les informations à ce sujet sont plus que maigres et très concises, dans l'aide inscrite en langue de shakespeare.
Merci à vous.
[..] Droits temporaires d'administrateur local
Règles du forum
- Merci de consulter la section "Règles du forum" et plus particulièrement "Règles et Mentions Légales du site autoitscript.fr" avant d'écrire un message.
-
Tlem
- Site Admin
- Messages : 11803
- Enregistré le : ven. 20 juil. 2007 21:00
- Localisation : Bordeaux
- Status : Hors ligne
Re: [..] Droits temporaires d'administrateur local
Il y a plusieurs solutions.
- Vous pouvez tout simplement faire votre script comme si l'utilisateur était administrateur, mais lors du lancement du script, il vous faut le lancer en tant qu'administrateur (c'est sans aucun doute la solution la plus sécurisée
).
- Vous pouvez aussi utiliser RunAs() qui lancera non pas un batch, mais tout simplement un second script comme celui du dessus.
- Vous pouvez aussi utiliser RunAsWait() pour lancer les commandes batch d'écriture d'après un tableau préalablement rempli, mais c'est nettement moins convivial.
- Vous pouvez tout simplement faire votre script comme si l'utilisateur était administrateur, mais lors du lancement du script, il vous faut le lancer en tant qu'administrateur (c'est sans aucun doute la solution la plus sécurisée
).- Vous pouvez aussi utiliser RunAs() qui lancera non pas un batch, mais tout simplement un second script comme celui du dessus.
- Vous pouvez aussi utiliser RunAsWait() pour lancer les commandes batch d'écriture d'après un tableau préalablement rempli, mais c'est nettement moins convivial.
Thierry
Rechercher sur le forum ----- Les règles du forum
Le "ça ne marche pas" est une conséquence commune découlant de beaucoup trop de raisons potentielles ...
Une idée ne peut pas appartenir à quelqu'un. (Albert Jacquard) tiré du documentaire "Copié n'est pas volé".
Rechercher sur le forum ----- Les règles du forum
Le "ça ne marche pas" est une conséquence commune découlant de beaucoup trop de raisons potentielles ...
Une idée ne peut pas appartenir à quelqu'un. (Albert Jacquard) tiré du documentaire "Copié n'est pas volé".
Re: [..] Droits temporaires d'administrateur local
Merci pour votre réponse.
C'est ce que j'ai testé mais, parce qu'il y a toujours mais... les informations que je voudrais marquer dans HKCU ne le sont pas sous l'utilisateur ciblé mais sur le SID admin puisque windows fait comme si c'était l'administrateur qui était réellement connecté sous son profil
C'est pourquoi la fonction sus-citée parait revêtir un intérêt notable.
Je viens d'installer le tout nouveau pack que vous avez concocté et à travers les nouveaux modules, j'espère avancer un peu plus dans la compréhension et l'utilisation de la chose.
Je vous tiens informés si je trouve quelque chose, mais reste ouvert à toute proposition pour faire avancer mon schmilblick.
C'est ce que j'ai testé mais, parce qu'il y a toujours mais... les informations que je voudrais marquer dans HKCU ne le sont pas sous l'utilisateur ciblé mais sur le SID admin puisque windows fait comme si c'était l'administrateur qui était réellement connecté sous son profil
C'est pourquoi la fonction sus-citée parait revêtir un intérêt notable.
Je viens d'installer le tout nouveau pack que vous avez concocté et à travers les nouveaux modules, j'espère avancer un peu plus dans la compréhension et l'utilisation de la chose.
Je vous tiens informés si je trouve quelque chose, mais reste ouvert à toute proposition pour faire avancer mon schmilblick.
-
Tlem
- Site Admin
- Messages : 11803
- Enregistré le : ven. 20 juil. 2007 21:00
- Localisation : Bordeaux
- Status : Hors ligne
Re: [..] Droits temporaires d'administrateur local
Hummm.
Dans ce cas, peut être vaut-il mieux utiliser la commande RunAs() ou RunAsWait() et jouer sur le flag logon_flag.
Peut être aussi faut-il lancer le script en tant qu'administrateur, mais utiliser RunAs() ou RunAsWait() avec les informations de l'utilisateur courant.
J'avoue ne pas trop connaitre cette partie et ne pas avoir testé.
Dans ce cas, peut être vaut-il mieux utiliser la commande RunAs() ou RunAsWait() et jouer sur le flag logon_flag.
Peut être aussi faut-il lancer le script en tant qu'administrateur, mais utiliser RunAs() ou RunAsWait() avec les informations de l'utilisateur courant.
J'avoue ne pas trop connaitre cette partie et ne pas avoir testé.
Thierry
Rechercher sur le forum ----- Les règles du forum
Le "ça ne marche pas" est une conséquence commune découlant de beaucoup trop de raisons potentielles ...
Une idée ne peut pas appartenir à quelqu'un. (Albert Jacquard) tiré du documentaire "Copié n'est pas volé".
Rechercher sur le forum ----- Les règles du forum
Le "ça ne marche pas" est une conséquence commune découlant de beaucoup trop de raisons potentielles ...
Une idée ne peut pas appartenir à quelqu'un. (Albert Jacquard) tiré du documentaire "Copié n'est pas volé".