Тонкая настройка XP. Права на объекты. Вопрос.
 

Вопрос очень непростой.

Исходные предпосылки:
Есть привязка к некоторому железному куску памяти компьютера.
Для этого читается PhysicalMemory
Для пользователя с ограниченными правами - любой доступ к этому объекту запрещен.

Что нужно:
Хотелось бы откруть доступ на чтение (QueryData).

Что предпринималось:
Существует бесплатная утилитка, позволяющая делать такие штуки -
_ttp://www.sysinternals.com/ntw2k/freeware/winobj.shtml
Чтобы назначить права на PhysicalMemory - запускаем ее (под админом) - выбираем группу Device,
затем секцию PhysicalMemory, затем входим и назначаем права.
(пример использования можно глянуть: _ttp://www.avk3.com/xp.png)
НО! После перезагрузки компьютера - все остается по-прежнему.

Итак, сам вопрос: Как открыть постоянный доступ на чтение объекта PhysicalMemory
пользователю c неадминистративными привилегиями VasyaPupkin?

P.S. Большая просьба не отвечать в духе: "А зачем это нужно" или "Пользуйся другим способом привязки". Нужен именно доступ на QueryData для PhysicalMemory.

StSlam
В Локальной политике имеется такая политика Системные объекты: усилить разрешения по умолчанию для внутренних системных объектов (Локальные политики - Параметры безопасности). Так вот попробуй ее отрубить (по-умолчанию она включена). На сколько помню, это должно решить твою проблему.

Sham
Да, но это стрельба из пушки по воробъям... не хотелось бы в один прекрасный день увидеть последствия работы какого-нибудь руткита... (кстати - оно и для админа включено, но под админом PhysicalMemory читается)
А менее глобального способа нет?

StSlam, мне кажется нет, т.к. все и упирается в эту политику. Чтобы назначить свои права на объект, надо эту политику отключить. По другому никак... Ну сам посуди, что же это за политика, если позволит себя обойти? Дуршлаг... :)

Что-то не то...
Хорошо, допустим я это отключил...
Но ведь тогда придется политики на остальные объекты задавать явно.
Итак, на какие объекты? Какие именно политики? И самое главное - КАК?
Вопрос в том - как это сделать?

Спрошу иначе - как должен выглядеть скрипт, позволяющий включить доступ для конкретного юзера на чтение (QueryData) для PhysicalMemory?

StSlam
Стоп. Зачем явно задавать? Каждый объект имеет разрешения по-умолчанию (для группы Админы и Системы). Если упомянутая мной политика включена, то добавить пользователя и изменить разрешения не получится. Если отключить эту политику, то можно добавить пользователя (на вкладке Безопасность объекта) и назначить ему нужные разрешения (на сколько помню, делать это могут (кроме системы) админы, владельцы объекта, и пользователи с разрешением change permissions). Вот и все. Для других объектов все останется по-прежнему (по-умолчанию).

А какой скриптовый язык тебя интересует? :) Щас все брошу и буду тебе скрипт писать :)

И таки через что я могу попасть на вкладку "Безопасность объекта" для PhysicalMemory?

StSlam, да хотя бы через WinObj (если ты про GUI)... ты разве в своем вопросе не об этом писал? :) Дважды щелкаем по объекту PhysicalMemory, переходим на вкладку Безопасность (Security), добавляем пользователя (кнопка Добавить (Add)) и ставим нужные галки ниже. Предварительно отключаем политику ессно :). Опять-таки, ты ж все в вопросе описал...

Sham
Ну во-первых - в WinObj я могу и без отключения "Системные объекты: усилить разрешения по умолчанию для внутренних системных объектов" - назначить права, как я уже писал. И во вторых - ОНО НЕ ЗАПОМИНАЕТ... И об этом я уже тоже писал... :(
Т.е. нужен либо синтаксис команды, которая может это сделать из командной строки (и при каждом запуске машины выполнять скрипт с этой командой из-под админа), либо какая-нибудь галка где нибудь, которая, по-идее, должна приблизительно выглядеть как "Сохранять пользовательские разрешения для встроенных объектов"...