[DJ Mogarych]

Цитата bredych:

в самом setacl хелп микроскопический »

Я бы так не сказал.

Цитата:

Trustee -actn trustee -trst “n1:Trustee1[;n2:Trustee2];ta:TrusteeAction[;w:What]” Removes Trustee1‘s ACEs, or replaces Trustee1 within ACEs with Trustee2, or copies ACEs from Trustee1 to Trustee2. Multiple trustees may be specified like this: -actn trustee -trst "n1:UserA;n2:UserB;ta:cpytrst" -trst "n1:UserX;n2:UserY;ta:cpytrst" or (new in SetACL 3.0) -actn trustee -trst “csv:TrusteeInputFile;ta:TrusteeAction[;w:What]” Removes ACEs with specified trustees, replaces trustees within ACEs or copies ACEs to different trustees. Input is read from TrusteeInputFile.

Цитата bredych:

глобальные политики через домен я выставлять не имею права, этим занимается организация выше нашей. »

А эскалировать запрос им?
Вы админ на клиентских тачках в сети?

[bredych]

спасибо, тут я пытался вызвать хелп в консоли )
Но теперь с правами не понимаю - если в этой строке

Код:

-ot reg -actn trustee -trst n1:voodoomsrlaptop\voodoomsr;ta:remtrst;w:dacl

trust action - remove trust, what - delete access control enrty - в чем смысл двукратного повторения? я логику синтаксиса не понимаю (
Равно как и action trustee -trst. Почему двукратно?

зы, да, разумеется локального админа имею.

ззы, тут подумал, что могз скис и с setacl не соображаю.. дисм через psexec сработает?
хотя нет, дисм импорт тоже надо конкретному юзеру, это надо список юзеров лепить, фигня. Только через назначение дефолтных и удаление юзерчойсов..
И единственное что пока придумывается, - это лист папки юзеров в hkey_users, и всем удалять юзерчойс по циклу..

Кстати, еще 2 вопроса нарисовалось в связи с:
1) почему даже из-под админского (для домена) акка
reg query \\machine_name\HKU
ругается "network path was not found"? Хоть машина онлайн, имя верное.
2) в ключе описаний софта
HKU\user_ID\Software\classes\Local settings\MuiCache\1cd\DA03165F
последние 2 раздела имеют, как понимаю, некое случайное значение. Оно у всех разное.
Туда ключи писать обязательно для корректной работы? или можно пропустить? И если пропускать нельзя, как наиболее кратким путем запросить и подставить это значение в путь?

[bredych]

кстати, а setacl в параметрах допускает переменные?
типа, выражение

Код:

setacl.exe -on HKU\%%G\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.ttt\UserChoice -ot reg -actn trustee -trst n1:%%i\adminAccount;ta:remtrst;w:dacl

будет понято правильно?
где %%i - переменная имени компа
или админский акк имеет по всему домену одинаковый сид и можно фиксированный сид вписывать?

апд, в принципе, доменный акк вкину..

Но пока мыслится корявый код:
- цикл перебора машин из списка, подключение к ним с админскими правами,
- через psexec запуск там локального батника, который
- рисует цикл перебора всех юзеров
- в эхо закидывает строки с setacl и reg delete, подставляя переменные SID юзера в пути, эхо перенаправляется в батник
- батник исполняется
- в HKLM\software\classes\ рег-файлом вписываются ассоциации.

по ощущению как-то слишком много костылей и код выходит сильно неуклюжий..

апд
хм. а зачем рег, если можно
FTYPE mytype=C:\windows\explorer.exe /idlist ^.adoc
Assoc .adoc=CompressedFolder