boujour à tous!
 
J'ai un problème sur le parc dont je m'occupe :
J'ai besoin de modifier plusieurs clés du registre sur tous les postes (windows2000) afin d'introduire plusieurs limitations.
Or ces modifications ne doivent être faites que sur un utilisateur (non administrateur), qui n'a biensur pas les autorisations pour modifier le registre.
Pour cela, j'ai créé un script que je souhaite executer à distance avec psexec en me connectant en administrateur sur les postes alors que les utilisateurs sont logués.
Comment faire pour modifier les clés de l'utilisateur (en etant connecté en tant qu'administrateur, la modification dans HKEY_CURRENT_USER ne s'applique pas à l'utilisateur)
faut-il que je charge la ruche de l'utilisateur en cours pour y faire mes modifs ou faut-il recupérer l'identifiant de l'utilisateur et modifier directement dans HKEY_USERS\IDENTIFIANT\...
 
ou alors y a-t-il d'autres solutions ?
Je ne connais pas bien la base de registre windows, pourriez-vous me donner un coup de main, merci d'avance

Comment est architecturé ton parc : tu as Active Directory ? Si oui, le mieux est de faire une stratégie utilisateur pour modifier ces clés, sachant la branche HKCU est accessible en écriture par les utilisateurs.

Malheureusement, je n'ai pas Active directory

si tu n'as pas restreint regedit tu peux faire un batch d'ouverture de session qui vient modifier les cle HKCU car comme la dit wolfman ces cles sont accessible a l'utilisateur en ecriture.
 
sinon un petit script vbs devrait également fonctionner

Pourquoi ne pas faire un script de logon ? ça marche en domaine NT

Les Clés HKCU ne sont pas modifiables par les utilisateurs sur mon parc (?), il n'y a pourtant aucune restriction supplementaire, vous êtes certain qu'un simple utilisateur a un droit d'ecriture sur sa clé HKCU?

Tu fais un script de login avec la commance runas qui te permetera de lancer une commande avec les droits admin. Si tu veux que le mots de passe admin soit prés rentrer tu devra en plus utiliser la commande sanur.

Ok.
Je modifie quelle clé? HKCU ou HKU\identifiant ?
a votre avis
(si t'a un exemple d'uitlisation de sanur et runas, je suis preneur, merci

 
avec un runs as tu vas modifier le current user de l'admin
 
ca m'etonne que tes HKCU ne soit pas modifiables flam jacks, quelles sont les clés que tu veux attaquer ?
pourquoi dit tu qu'elles ne le sont pas?
un regedit marche en user?
une invite de commande?
un vbs ?
 
tu peux verifier les droits avec regedt32 puis tu attaques a distance ta machine
 
il te faut connaitre le sid du user (bellamy a fait un script qui te donne l'association)

en fait je veux bloquer pas mal de fonctionnalités, ces limitations se font pratiquement toutes dans HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
 
exemple de modif à apporter :
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\norun=1
 
Sinon, les utilisateurs peuvent lancer regedit, visualiser les clés (dans policies), mais ne peuvent pas les modifier, la même chose avec un script vbs (?)

La clé HKCU est forcément modifiable. Sinon l'utilisateur ne pourrait pas se loguer

Je suis d'accord avec toi Deltafox, beaucoup de clés sont modifiable dans HKCU, mais pas celles que je souhaite modifier : HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies

ATTENTION  
les cles HKCU sont modifiables SAUF CurrentVersion\Policies
 
dommage

oui exact en effet

exemple d'utilisation de la commande runas et sanur:
 
-exécution d'un batch avec les droits d'admin
 
runas /user:MACSOFT\Administrateur \\serveur1\netlogon\admin.bat| sanur password  
 
-exécution d'un commande avec les droits d'admin
 
runas /user:MACSOFT\Administrateur reg add hklm\...[option] | sanur password