Распространение файла реестра на компьютеры в домене
 

Здравствуйте, уважаемые участники конференции. У меня возник вопрос по распространению небольшого файла реестра на компьютеры в домене. Контроллер вин2003, все компы винХР. Как это сделать?
Файл будет составлен по 4-м первым пунктам отсюда (для отключения автозагрузки), т е он будет распространяться только на ветку HKLM. Сначала думал сделать это через ADM-файл, но потом подумал - и понял, что значения параметров реестра все равно должны быть жестко зафиксированы (чтобы полностью отключить автозагрузку), поэтому смысла создавать его нет, т к он нужен обычно для выбора разных значений какого-то параметра в групповых политиках.

Через политику безопасности. Создай батник на запуск этого reg-файла.

И поместите его в скрипты, исполняемые при старте компьютера в групповой политике нужного OU.

А можно сделать что бы reg-файл запускался только один раз, а при следующих загрузках только проверялось бы наличие в реестре параметров созданных reg-файлом?

Он будет запускаться и заменять параметры этого ключа, или создавать ключ в случае его отсутствия.

Спасибо я попробую. Еще вопрос - я поставил веткам в реестре:
на которые и будет распространяться действие скрипта, разный доступ разным группам пользователей - "Пользователям домена" и "SYSTEM" только для чтения, "Администраторам домена" полный. Тоже самое сделал и с ветками:
Это правильно?

При загрузке реестр не изменится. У этой записи всегда и везде должен быть полный доступ. Ветка относится к HKLM, а Вы про пользователей почему-то говорите. Пользователи идентифицируются ПОСЛЕ загрузки компьютера и веток реестра HKLM.

Вы не поняли. Мне важно, чтобы пользователи после входа в винду не могли менять значение этих веток. Другими словами - чтобы вирусы от имени пользователей не могли ничего изменить.
Про запись SYSTEM тот же вопрос. Спрашиваю потому, что опасаюсь, что какой-нибудь вирус сможет запустится от имени SYSTEM. Т е надо или не надо запрещать этой записи доступ на модификацию этих веток? Вот как я сделал:

Заменять только в случае если они отличаются ?

Да. Или не существуют вообще.
Кстати, в батнике обязательно укажи ключ /S, чтобы не было запроса у пользователя о запуске рег-файла:

regedit /s "<имя_файла>.reg"

тогда все будет проходить в фоновом режиме, не видном пользователю, так же как при запуске скрипта.

stolyar, спасибо.
А не скажите как в батнике лучше сделать определение версии OC (2000, XP, 2003) ?

Никак. Реестр одинаковый REGEDIT 5

Так может кто-нибудь ответит на мой вопрос? Если ли смысл запрещать записи SYSTEM редактирование этих веток реестра?

Вообще-то нет.
Отключите автозапуск в политиках и раздайте пользователям минимально нужные права на компьютерах. Зловреды в этом случае будут запускаться от имени ограниченной учетки пользователя и не смогут произвести своих деструктивных действий.
И microsoft таки не зря предупреждает, что никогда не модифицируйте реестр, если только это не средство последней возможности. В вашем случае возможностей защититься от вирусов предостаточно.

Может быть в начале кода рег-файла если написать:

Windows Registry Editor Version 5.0 - то это для XP/2003, а для 2000 пишется в начале:
Regedit 4

или не так?..

Вообще-то, даже если так сделать, останется возможность запустить вирус с флешки двойным кликом по значку этой флешки. Но я нашел вот это: http://support.microsoft.com/kb/967715/ - должно решить проблему.
stolyar,
Именно так, большими буквами.