Здравствуйте, уважаемые участники конференции. У меня возник вопрос по распространению небольшого файла реестра на компьютеры в домене. Контроллер вин2003, все компы винХР. Как это сделать?
Файл будет составлен по 4-м первым пунктам отсюда (http://virusinfo.info/showpost.php?p=205712&postcount=1) (для отключения автозагрузки), т е он будет распространяться только на ветку HKLM. Сначала думал сделать это через ADM-файл, но потом подумал - и понял, что значения параметров реестра все равно должны быть жестко зафиксированы (чтобы полностью отключить автозагрузку), поэтому смысла создавать его нет, т к он нужен обычно для выбора разных значений какого-то параметра в групповых политиках.

распространению небольшого файла реестра на компьютеры в домене »
Через политику безопасности. Создай батник на запуск этого reg-файла.

Создай батник на запуск этого reg-файла. »
И поместите его в скрипты, исполняемые при старте компьютера в групповой политике нужного OU.

А можно сделать что бы reg-файл запускался только один раз, а при следующих загрузках только проверялось бы наличие в реестре параметров созданных reg-файлом?

при следующих загрузках только проверялось бы наличие в реестре параметров созданных reg-файлом? »
Он будет запускаться и заменять параметры этого ключа, или создавать ключ в случае его отсутствия.

Спасибо я попробую. Еще вопрос - я поставил веткам в реестре:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Cdrom
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutopla y\Files
на которые и будет распространяться действие скрипта, разный доступ разным группам пользователей - "Пользователям домена" и "SYSTEM" только для чтения, "Администраторам домена" полный. Тоже самое сделал и с ветками:
MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run
Это правильно?

"SYSTEM" только для чтения, »
При загрузке реестр не изменится. У этой записи всегда и везде должен быть полный доступ. Ветка относится к HKLM, а Вы про пользователей почему-то говорите. Пользователи идентифицируются ПОСЛЕ загрузки компьютера и веток реестра HKLM.

Ветка относится к HKLM, а Вы про пользователей почему-то говорите »
Вы не поняли. Мне важно, чтобы пользователи после входа в винду не могли менять значение этих веток. Другими словами - чтобы вирусы от имени пользователей не могли ничего изменить.
Про запись SYSTEM тот же вопрос. Спрашиваю потому, что опасаюсь, что какой-нибудь вирус сможет запустится от имени SYSTEM. Т е надо или не надо запрещать этой записи доступ на модификацию этих веток? Вот как я сделал:
http://s50.radikal.ru/i129/0912/7a/ba459411346ct.jpg (http://radikal.ru/F/s50.radikal.ru/i129/0912/7a/ba459411346c.jpg.html)

и заменять параметры этого ключа » Заменять только в случае если они отличаются ?

Заменять только в случае если они отличаются ? »
Да. Или не существуют вообще.
Кстати, в батнике обязательно укажи ключ /S, чтобы не было запроса у пользователя о запуске рег-файла:

regedit /s "<имя_файла>.reg"

тогда все будет проходить в фоновом режиме, не видном пользователю, так же как при запуске скрипта.

stolyar, спасибо.
А не скажите как в батнике лучше сделать определение версии OC (2000, XP, 2003) ?

А не скажите как в батнике лучше сделать определение версии OC (2000, XP, 2003) ? »
Никак. Реестр одинаковый REGEDIT 5

Так может кто-нибудь ответит на мой вопрос? Если ли смысл запрещать записи SYSTEM редактирование этих веток реестра?

Если ли смысл запрещать записи SYSTEM редактирование этих веток реестра? »
Вообще-то нет.
Отключите автозапуск в политиках и раздайте пользователям минимально нужные права на компьютерах. Зловреды в этом случае будут запускаться от имени ограниченной учетки пользователя и не смогут произвести своих деструктивных действий.
И microsoft таки не зря предупреждает, что никогда не модифицируйте реестр, если только это не средство последней возможности. В вашем случае возможностей защититься от вирусов предостаточно.

Никак. Реестр одинаковый REGEDIT 5 »
Может быть в начале кода рег-файла если написать:

Windows Registry Editor Version 5.0 - то это для XP/2003, а для 2000 пишется в начале:
Regedit 4

или не так?..

Отключите автозапуск в политиках »
Вообще-то, даже если так сделать, останется возможность запустить вирус с флешки двойным кликом по значку этой флешки. Но я нашел вот это: http://support.microsoft.com/kb/967715/ - должно решить проблему.
stolyar,
REGEDIT4
Именно так, большими буквами.