[Sakuru]

Hallo!
Ich möchte eine Zugriffsberechtigung für eine *.reg Datei bzw. für einen Registryeintrag in eine in eine XP-Installations-CD integrieren (z.B. in der festgelegt ist, dass das System keinen Vollzugriff hat). Weiß einer wie das möglich ist? Ich konnte bei Google nichts passendes finden und auch hier im Board nicht.
Die Frage ist: Wie kann ich eine Berechtigungsvergabe für eine bestimmte Datei ins XPsetup einbinden? Ich benutze XP Professional. Eine Antwort wäre mir sehr wichtig und ich wäre unbeschreiblich dankbar!.

Dieser Beitrag wurde von Sakuru bearbeitet: 10. August 2008 - 01:28

[DK2000]

Welche der Konsolentools existieren denn bei Dir:

- cacls bzw. icacls
- secedit

Da ich hier Windows XP Pro x64 verwende und das auf Server 2003 basiert, unterscheiden sich die Systeme geringfügig.

Mit cacls/icalcs/Xcacls.vbs kannst Du z.B. mit einer Batch die Rechte an vorhandenen Dateien ändern.

Mit secedit kann man Sicherheitsvorlagen aufsspielen. Solche Sicherheitsvorlagen, wie sie in %windir%\security\templates zu finden sind, kann man sich auch mit dem mmc snap in "Sicherheitsvorlagen" selber erstellen. Das ist in so fern praktisch, da man mit diesen Vorlagen gleich in einem Rutsch die Rechte an mehreren Registryzweige-/schlüssel, Dateien und Ordner setzen, Dienste an-/ausschalten und Sicherheitseinstellungen verändern kann.

Musst mal schauen, was bei Dir funktioniert. Wie Du dass dann in die Installations CD einbindest (cmdlines.txt oder über runonce), ist geschmackssache.

Dieser Beitrag wurde von DK2000 bearbeitet: 10. August 2008 - 02:29

[XiLeeN2004]

Ich weiß jetzt natürlich nicht, was Du erreichen willst, aber dem System, quasi wärend der Installation (sofern der Start mittels cmdlines.txt erfolgt) Rechte zu entziehen, halte ich spontan für keine gute Idee (bezogen auf *.reg-Dateien schon gar nicht). Es spricht nichts gegen eine Automatisierung, die sollte aber erst erfolgen wenn eine vollwertige Benutzerumgebung vorhanden ist. Abgesehen davon würde ich persönlich immer Rechte an Gruppen vergeben, Benutzer durch entsprechende Gruppenzugehörigkeit beschränken. Das System selbst zu beschränken hingegen erachte ich als soliden Grundstein für zukünftige Probleme.

[Sakuru]

Zitat (DK2000: 10.08.2008, 03:28)

Welche der Konsolentools existieren denn bei Dir:

- cacls bzw. icacls
- secedit

Da ich hier Windows XP Pro x64 verwende und das auf Server 2003 basiert, unterscheiden sich die Systeme geringfügig.

Mit cacls/icalcs/Xcacls.vbs kannst Du z.B. mit einer Batch die Rechte an vorhandenen Dateien ändern.

Mit secedit kann man Sicherheitsvorlagen aufsspielen. Solche Sicherheitsvorlagen, wie sie in %windir%\security\templates zu finden sind, kann man sich auch mit dem mmc snap in "Sicherheitsvorlagen" selber erstellen. Das ist in so fern praktisch, da man mit diesen Vorlagen gleich in einem Rutsch die Rechte an mehreren Registryzweige-/schlüssel, Dateien und Ordner setzen, Dienste an-/ausschalten und Sicherheitseinstellungen verändern kann.

Musst mal schauen, was bei Dir funktioniert. Wie Du dass dann in die Installations CD einbindest (cmdlines.txt oder über runonce), ist geschmackssache.

Ok, danke erstmal. Könntest du mir ein Beispiel zeigen, wie ich z.B. den Schlüssel HKEY_CLASSES_ROOT /.xps jeden den Vollzugriff verweigern kann, was dann nach der Installation der 32-Bit Version von Windows XP Pro. so schon automatisch konfiguriert ist?

[poundhn]

Es gibt ein besseres Kommandozeilentool als die bisher genannten. Ist zwar nicht im Lieferumfang von Windows dabei, kann man sich aber kostenlos bei MS herunterladen.

Das Tool heißt subinacl.exe und mit Eingabe von subinacl /subkeyreg HKEY... /deny=system=f würdest du z.B. dem System den kompletten Zugriff entziehen. Ich weiß jetzt aber nicht, für was das sinnvoll sein kann.

Außerdem unterstützt das Tool auch Schalter wie /files (Dateien) /subdirectories (Unterordner) und /servives (Dienste). Ferner werden einzelne Benutzer und Gruppen unterstützt. Gruppen bei einem deutschen XP müssen auch in deutsch eingetragen werden. (Benutzer, Administratoren)

Hier gibts eine umfassende Dokumentation

http://www.analogduc.../node/316/print

Und hier das Tool

http://www.microsoft.com/downloads/details...;displaylang=en

Der msi-Installer ist Quak. Kann man mit 7zip auspacken und erhält direkt das Kommandozeilentool.

[Sakuru]

Zitat (poundhn: 10.08.2008, 19:10)

Das Tool heißt subinacl.exe und mit Eingabe von subinacl /subkeyreg HKEY... /deny=system=f würdest du z.B. dem System den kompletten Zugriff entziehen. Ich weiß jetzt aber nicht, für was das sinnvoll sein kann.

Moment, also wie starte ich das Programm? Und wenn ich dann
"subinacl /subkeyreg HKEY_CLASSES_ROOT\.xps /deny=system=f" eingebe, kann dann niemand, ja wirklich niemand (auch nicht der Ersteller) den Schlüssel entsperren? Das wäre genau das wonach ich suche!
Also das heißt ich integriere in die XP-Installation eine komplette Zugriffsbeschränkung für den Schlüssel "HKEY_CLASSES_ROOT\.xps" sowohl für den Adminstrator als auch dem System?
Wie sieht es denn mit der Integration aus?

Dieser Beitrag wurde von Sakuru bearbeitet: 10. August 2008 - 19:20

[poundhn]

Das musst du ausprobieren. Ich habe noch nie versucht, dem System eine Zugriffsberechtigung zu entziehen. Mit Administratoren klappt das allerdings problemlos. Evt. könnte es bei deinem Vorhaben Probleme geben, weil Windows ja zum Zeitpunkt der Abarbeitung von cmdlines.txt noch nicht vollständig installiert ist. Vielleicht wäre es besser du bindest die subinacl Befehle über RunOnceEx ein. Dieser Schlüssel wird erst nach der ersten Benutzeranmeldung abgearbeitet. Schau dir auch bitte nochmal genau die Syntax von subinacl an, habe das so aus Bauch dahingeschrieben.

[Sakuru]

Gibt es nicht einfach eine Software, die mich in die Registry des Installationsmediums reinschauen lässt und womit ich Berechtigungen für einzelne Schlüssel vergeben kann?
Aber was muss ich jetzt eigendlich tun, um HKEY_CLASSES_ROOT\.xps eine Zugriffsberechtigung in der Setup stadium zu vergeben? Es geht mir darum das Benutzer den IE nicht installieren können und wenn sie es versuchen, die Installation abbricht, weil ein Schlüssel nicht geschrieben werden konnte. Dabei ist der Benutzer immer Adminstrator!

[XiLeeN2004]

So eine Software wird es zu 99,99% nicht geben, auf dem Installationsmedium befindet sich schließlich keine allgemeingültige Registry. Bestenfalls findet man in den *.cabs einzelne, importierbare Schlüssel, wobei selbst das sehr unwahrscheinlich ist. In der Regel werden die Schlüssel per Script generiert.

[DK2000]

Irgendetwas verstehe ich da jetzt nicht so wirklich...

Was hat jetzt ~\.xps mit dem IE Setup zu tun und warum willst Du den nicht installieren? Der IE wird für so viel Kram intern verwendet, dass seine völlige Entfernung zwangsläufig zu Problemen der unterschidlichsten Art führt. Oder meinst Du jetzt nur Updaten von 6 auf 7?

Wäre es nicht Sinvoller, den aktuellen IE zu installieren und seine Ausführung über Policen zu verhindern? Das mit dem Registryschlüssel unbrauchbar zu machen, halte ich da in dem Zusammenhang für keine gute Idee.

Dieser Beitrag wurde von DK2000 bearbeitet: 10. August 2008 - 23:44

[poundhn]

zumal ja auch durch fehlende Berechtigungen ein Regkey nicht unbrauchbar wird. Jeder Administrator kann auch hier den Besitz übernehmen und sich die fehlenden Rechte wieder eintragen.

Den IE über die Gruppenrichtlinien nicht zur Verfügung zu stellen ist schon eleganter gelöst, als das System in den Rechten einzuschränken. Den dazu nötigen Policies-Eintrag in der Registrierung kannst du auf jedenfall Unattended über eine Datei (z.B. tweaks.reg) mitgeben und diese dann über cmdlines.txt ausführen lassen (regedit /s tweaks.reg)

[Lofote]

Was du vorhast, ist Unsinn. Ein Administrator ist ein Administrator, der kann sämtliche Rechte und Berechtigungen holen. Das kannst du nicht verhindern, ganz einfach. Natürlich kannst du Berechtigungen auf die Registry legen, beim Windows-Setup wird eine Sicherheitsvorlage eingespielt, die ist anpassbar. Aber die kann jeder Admin wieder zurücksetzen und dagegen kannste nix Wirksames tun. Du kannst zwar den Schlüssel immer wieder sperren z.B. über Domainrichtlinien, aber das ist immer unsetzbar.

Wenn du verhindern willst, dass jemand etwas nicht darf, geht das nur ohne Adminrechte, z.B. als "Hauptbenutzer". Ein Admin ist lokaler König, da kannste nix dran rütteln.

[Sakuru]

Zitat (DK2000: 11.08.2008, 00:42)

Irgendetwas verstehe ich da jetzt nicht so wirklich...

Was hat jetzt ~\.xps mit dem IE Setup zu tun und warum willst Du den nicht installieren? Der IE wird für so viel Kram intern verwendet, dass seine völlige Entfernung zwangsläufig zu Problemen der unterschidlichsten Art führt. Oder meinst Du jetzt nur Updaten von 6 auf 7?

Wäre es nicht Sinvoller, den aktuellen IE zu installieren und seine Ausführung über Policen zu verhindern? Das mit dem Registryschlüssel unbrauchbar zu machen, halte ich da in dem Zusammenhang für keine gute Idee.

Also ich hab eine Windows XP Pro. Version erstellt in der alle Updates bis Juli plus IE7 und WMP11 und SP3 enthalten sind, so. Ich habe den Internet Explorer mit nlite entfernt (nicht den IE-Kern) und nun möchte ich, das der IE nach der Installation von Windows nicht neu installiert werden kann.

Natürlich kann ein Adminstrator Zugriffsrechte wieder Rückgängig machen, aber dafür muss die Person erstmal kapieren, welcher Registry-Eintrag betroffen ist und wie sie überhaupt in die Registry gelangt und natürchlich überhaupt erst nachsehen, woran die Installation des IE7 gescheitert ist. Dieser Hürde möcht ich nach der Installation von Windows XP haben. Dann soll es bei der Installation des IE7 so aussehen: http://www.computerbase.de/forum/attachmen...mp;d=1166212187

Dieser Beitrag wurde von Sakuru bearbeitet: 11. August 2008 - 16:35