Je suis à la recherche d'une commande simple (c'est pour un batch), pour
pouvoir changer le propriétaire d'une (sous)-branche du registre.
Cela en étant admin local, mais avec la possibilité de remettre, après
traitement, le compte SYSTEM (qui est le propriétaire originel).
Ah, oui, c'est sous Vista. Et aussi, je voudrais utiliser les outils
standards de windows (j'ai trouvé un truc sur SourceForge, mais il
faudrait le copier sur chaque machine...)
Si quelqu'un a ça en tête, merci d'avance, car je me perd dans les
regini, reg, icacls, etc.
Dans : news:, MCI (ex do ré Mi chel la si do) [MVP] disait :
Bonsoir !
Bonjour,
Je suis à la recherche d'une commande simple (c'est pour un batch), pour pouvoir changer le propriétaire d'une (sous)-branche du registre.
Peut-être avec subinacl ?
Ah, oui, c'est sous Vista. Et aussi, je voudrais utiliser les outils standards de windows (j'ai trouvé un truc sur SourceForge, mais il faudrait le copier sur chaque machine...)
Le hic c'est que ce n'est pas «standard». Du moins jusqu'à XP.
Dans : news:ujeUtx3OIHA.4948@TK2MSFTNGP02.phx.gbl,
MCI (ex do ré Mi chel la si do) [MVP] disait :
Bonsoir !
Bonjour,
Je suis à la recherche d'une commande simple (c'est pour un batch),
pour pouvoir changer le propriétaire d'une (sous)-branche du registre.
Peut-être avec subinacl ?
Ah, oui, c'est sous Vista. Et aussi, je voudrais utiliser les outils
standards de windows (j'ai trouvé un truc sur SourceForge, mais il
faudrait le copier sur chaque machine...)
Le hic c'est que ce n'est pas «standard». Du moins jusqu'à XP.
--
Fred
http://www.cerber mail.com/?3kA6ftaCvT (enlever l'espace)
Dans : news:, MCI (ex do ré Mi chel la si do) [MVP] disait :
Bonsoir !
Bonjour,
Je suis à la recherche d'une commande simple (c'est pour un batch), pour pouvoir changer le propriétaire d'une (sous)-branche du registre.
Peut-être avec subinacl ?
Ah, oui, c'est sous Vista. Et aussi, je voudrais utiliser les outils standards de windows (j'ai trouvé un truc sur SourceForge, mais il faudrait le copier sur chaque machine...)
Le hic c'est que ce n'est pas «standard». Du moins jusqu'à XP.
Je répond avec retard, car j'avais fait des essais avec le subinacl de Resource-kit, avant de réaliser qu'il était archi-buggué. Ensuite, j'ai utilisé le bon.
Alors, en théorie, il est possible de changer un propriétaire d'une branche. Mais, en pratique, sur les branches dont j'ai besoin, j'obtiens systématiquement un "Accès refusé", bien qu'étant Administrateur...
Du coup, je me demande si c'est possible, par script...
@-salutations
Michel Claveau
Salut !
Je répond avec retard, car j'avais fait des essais avec le subinacl de
Resource-kit, avant de réaliser qu'il était archi-buggué.
Ensuite, j'ai utilisé le bon.
Alors, en théorie, il est possible de changer un propriétaire d'une
branche. Mais, en pratique, sur les branches dont j'ai besoin, j'obtiens
systématiquement un "Accès refusé", bien qu'étant Administrateur...
Même chose avec SetACL (http://setacl.sourceforge.net/)
Du coup, je me demande si c'est possible, par script...
Je répond avec retard, car j'avais fait des essais avec le subinacl de Resource-kit, avant de réaliser qu'il était archi-buggué. Ensuite, j'ai utilisé le bon.
Alors, en théorie, il est possible de changer un propriétaire d'une branche. Mais, en pratique, sur les branches dont j'ai besoin, j'obtiens systématiquement un "Accès refusé", bien qu'étant Administrateur...
Du coup, je me demande si c'est possible, par script...
@-salutations
Michel Claveau
Gilles LAURENT [MVP]
"Méta-MCI (MVP)" a écrit dans le message de news:4761676b$0$895$ | Salut !
Bonsoir !
| Je répond avec retard, car j'avais fait des essais avec le subinacl de | Resource-kit, avant de réaliser qu'il était archi-buggué. | Ensuite, j'ai utilisé le bon. | | Alors, en théorie, il est possible de changer un propriétaire d'une | branche. Mais, en pratique, sur les branches dont j'ai besoin, | j'obtiens systématiquement un "Accès refusé", bien qu'étant | Administrateur... | | Même chose avec SetACL (http://setacl.sourceforge.net/) | | Du coup, je me demande si c'est possible, par script...
Vous pouvez tenter l'opération sous l'autorité LocalSystem
"Méta-MCI (MVP)" <enleverlesX.XmcX@XmclaveauX.com> a écrit dans le
message de
news:4761676b$0$895$ba4acef3@news.orange.fr
| Salut !
Bonsoir !
| Je répond avec retard, car j'avais fait des essais avec le subinacl de
| Resource-kit, avant de réaliser qu'il était archi-buggué.
| Ensuite, j'ai utilisé le bon.
|
| Alors, en théorie, il est possible de changer un propriétaire d'une
| branche. Mais, en pratique, sur les branches dont j'ai besoin,
| j'obtiens systématiquement un "Accès refusé", bien qu'étant
| Administrateur...
|
| Même chose avec SetACL (http://setacl.sourceforge.net/)
|
| Du coup, je me demande si c'est possible, par script...
Vous pouvez tenter l'opération sous l'autorité LocalSystem
"Méta-MCI (MVP)" a écrit dans le message de news:4761676b$0$895$ | Salut !
Bonsoir !
| Je répond avec retard, car j'avais fait des essais avec le subinacl de | Resource-kit, avant de réaliser qu'il était archi-buggué. | Ensuite, j'ai utilisé le bon. | | Alors, en théorie, il est possible de changer un propriétaire d'une | branche. Mais, en pratique, sur les branches dont j'ai besoin, | j'obtiens systématiquement un "Accès refusé", bien qu'étant | Administrateur... | | Même chose avec SetACL (http://setacl.sourceforge.net/) | | Du coup, je me demande si c'est possible, par script...
Vous pouvez tenter l'opération sous l'autorité LocalSystem
A peine moins tordu, vous pouvez planifier le job avec la commande AT pour qu'il s'exécute sous l'autorité LocalSystem.
Jacques
Méta-MCI \(MVP\)
Bonjour !
Désolé pour le temps mis à répondre, mais je suis un peu "au vert bouquet"...
Alors, l'idée est très intéressante. Dans certains cas, cela fonctionnera. Mais pas dans celui où je me casse la tête. Le principe de lancer un service, sous LocalSystem fonctionne. Mais, si ce service (l'exécution du script induit) échoue, on a deux "choses" résultantes : - un message "Le service n'a pas répondu assez vite à la demande de lancement ou de contrôle." (error 1052) - un (éventuel) message invisible, qui, en fait, se trouve dans ce que j'appellerais "la console LocalSystem"
Ainsi, au bout de quelques essais infructueux, cette console contenait une bonne vingtaine de messages "Accès refusé" ; chacun dans une fenêtre d'invite de commande. Et, je ne m'étais aperçu de rien. En fait, je ne sais pas comment afficher cette "console LocalSystem". J'ai trouvé un moyen tordu (lancer NotePad sous LocalSystem, ce qui provoque un message de Vista permettant de la faire apparaître), mais pas beau.
Sinon, j'ai cherché la cause de cet "Accès refusé". Il semblerait que la branche en question hérite des limitations à un pseudo utilisateur "Trusted Installed", lié au serveur d'update local, et pas facile à utiliser.
Conclusion : l'idée est bonne, mais mon cas est inadapté.
@-salutations
Michel Claveau
Bonjour !
Désolé pour le temps mis à répondre, mais je suis un peu "au vert
bouquet"...
Alors, l'idée est très intéressante. Dans certains cas, cela
fonctionnera. Mais pas dans celui où je me casse la tête.
Le principe de lancer un service, sous LocalSystem fonctionne. Mais, si
ce service (l'exécution du script induit) échoue, on a deux "choses"
résultantes :
- un message "Le service n'a pas répondu assez vite à la demande de
lancement ou de contrôle." (error 1052)
- un (éventuel) message invisible, qui, en fait, se trouve dans ce que
j'appellerais "la console LocalSystem"
Ainsi, au bout de quelques essais infructueux, cette console contenait
une bonne vingtaine de messages "Accès refusé" ; chacun dans une fenêtre
d'invite de commande. Et, je ne m'étais aperçu de rien.
En fait, je ne sais pas comment afficher cette "console LocalSystem".
J'ai trouvé un moyen tordu (lancer NotePad sous LocalSystem, ce qui
provoque un message de Vista permettant de la faire apparaître), mais
pas beau.
Sinon, j'ai cherché la cause de cet "Accès refusé". Il semblerait que la
branche en question hérite des limitations à un pseudo utilisateur
"Trusted Installed", lié au serveur d'update local, et pas facile à
utiliser.
Conclusion : l'idée est bonne, mais mon cas est inadapté.
Désolé pour le temps mis à répondre, mais je suis un peu "au vert bouquet"...
Alors, l'idée est très intéressante. Dans certains cas, cela fonctionnera. Mais pas dans celui où je me casse la tête. Le principe de lancer un service, sous LocalSystem fonctionne. Mais, si ce service (l'exécution du script induit) échoue, on a deux "choses" résultantes : - un message "Le service n'a pas répondu assez vite à la demande de lancement ou de contrôle." (error 1052) - un (éventuel) message invisible, qui, en fait, se trouve dans ce que j'appellerais "la console LocalSystem"
Ainsi, au bout de quelques essais infructueux, cette console contenait une bonne vingtaine de messages "Accès refusé" ; chacun dans une fenêtre d'invite de commande. Et, je ne m'étais aperçu de rien. En fait, je ne sais pas comment afficher cette "console LocalSystem". J'ai trouvé un moyen tordu (lancer NotePad sous LocalSystem, ce qui provoque un message de Vista permettant de la faire apparaître), mais pas beau.
Sinon, j'ai cherché la cause de cet "Accès refusé". Il semblerait que la branche en question hérite des limitations à un pseudo utilisateur "Trusted Installed", lié au serveur d'update local, et pas facile à utiliser.
Conclusion : l'idée est bonne, mais mon cas est inadapté.
@-salutations
Michel Claveau
MCI \(ex do ré Mi chel la si do\) [MVP]
Bonsoir, Jacques.
Je n'ai pas testé ton idée, car je pense que cela va réagir de la même manière qu'avec l'idée de Gilles. Mais, la suggestion est intéressante ; je la mémorise, pour d'autres usages. Merci.
@-salutations
Michel Claveau
Bonsoir, Jacques.
Je n'ai pas testé ton idée, car je pense que cela va réagir de la même
manière qu'avec l'idée de Gilles.
Mais, la suggestion est intéressante ; je la mémorise, pour d'autres
usages. Merci.
Je n'ai pas testé ton idée, car je pense que cela va réagir de la même manière qu'avec l'idée de Gilles. Mais, la suggestion est intéressante ; je la mémorise, pour d'autres usages. Merci.
@-salutations
Michel Claveau
Jacques Barathon [MS]
"MCI (ex do ré Mi chel la si do) [MVP]" wrote in message news:
Bonsoir, Jacques.
Je n'ai pas testé ton idée, car je pense que cela va réagir de la même manière qu'avec l'idée de Gilles. Mais, la suggestion est intéressante ; je la mémorise, pour d'autres usages. Merci.
Question peut-être idiote, mais je la pose quand même: quand tu as fait l'essai avec subinacl et que tu as obtenu un "accès refusé", tu utilisais bien une invite de commande en mode administrateur? A moins que tu aies désactivé l'UAC?
Jacques
"MCI (ex do ré Mi chel la si do) [MVP]" <enleverlesO.OmcO@OmclaveauO.com>
wrote in message news:eflAbmnQIHA.3940@TK2MSFTNGP05.phx.gbl...
Bonsoir, Jacques.
Je n'ai pas testé ton idée, car je pense que cela va réagir de la même
manière qu'avec l'idée de Gilles.
Mais, la suggestion est intéressante ; je la mémorise, pour d'autres
usages. Merci.
Question peut-être idiote, mais je la pose quand même: quand tu as fait
l'essai avec subinacl et que tu as obtenu un "accès refusé", tu utilisais
bien une invite de commande en mode administrateur? A moins que tu aies
désactivé l'UAC?
"MCI (ex do ré Mi chel la si do) [MVP]" wrote in message news:
Bonsoir, Jacques.
Je n'ai pas testé ton idée, car je pense que cela va réagir de la même manière qu'avec l'idée de Gilles. Mais, la suggestion est intéressante ; je la mémorise, pour d'autres usages. Merci.
Question peut-être idiote, mais je la pose quand même: quand tu as fait l'essai avec subinacl et que tu as obtenu un "accès refusé", tu utilisais bien une invite de commande en mode administrateur? A moins que tu aies désactivé l'UAC?
Jacques
MCI \(ex do ré Mi chel la si do\) [MVP]
Salut !
Je désactive systématiquement l'UAC, sur tous mes postes, et sur tous les postes de mes clients, car j'utilise, et je diffuse, des logiciels qui ne fonctionnent plus, s'il (l'UAC) est activé (à cause de l'écriture de paramètres dans des fichiers devant obligatoirement se trouver dans certains emplacements protégés par l'UAC, même sous administrateur).
Sinon, subinacl ou pas, un Administrateur n'ayant pas tous les droits,il peut être très difficile, voire impossible, de contourner certaines limitations du système.
Autre chose, début février, je devrais aller boire un coup chez Microsoft... (un truc appelé "TechDays", je crois...) ; peut-être nous y verrons-nous ?
@-salutations
Michel Claveau
Salut !
Je désactive systématiquement l'UAC, sur tous mes postes, et sur tous
les postes de mes clients, car j'utilise, et je diffuse, des logiciels
qui ne fonctionnent plus, s'il (l'UAC) est activé (à cause de
l'écriture de paramètres dans des fichiers devant obligatoirement se
trouver dans certains emplacements protégés par l'UAC, même sous
administrateur).
Sinon, subinacl ou pas, un Administrateur n'ayant pas tous les droits,il
peut être très difficile, voire impossible, de contourner certaines
limitations du système.
Autre chose, début février, je devrais aller boire un coup chez
Microsoft... (un truc appelé "TechDays", je crois...) ; peut-être nous
y verrons-nous ?
Je désactive systématiquement l'UAC, sur tous mes postes, et sur tous les postes de mes clients, car j'utilise, et je diffuse, des logiciels qui ne fonctionnent plus, s'il (l'UAC) est activé (à cause de l'écriture de paramètres dans des fichiers devant obligatoirement se trouver dans certains emplacements protégés par l'UAC, même sous administrateur).
Sinon, subinacl ou pas, un Administrateur n'ayant pas tous les droits,il peut être très difficile, voire impossible, de contourner certaines limitations du système.
Autre chose, début février, je devrais aller boire un coup chez Microsoft... (un truc appelé "TechDays", je crois...) ; peut-être nous y verrons-nous ?
@-salutations
Michel Claveau
Jacques Barathon [MS]
"MCI (ex do ré Mi chel la si do) [MVP]" wrote in message news:eO$
Je désactive systématiquement l'UAC, sur tous mes postes, et sur tous les postes de mes clients, car j'utilise, et je diffuse, des logiciels qui ne fonctionnent plus, s'il (l'UAC) est activé (à cause de l'écriture de paramètres dans des fichiers devant obligatoirement se trouver dans certains emplacements protégés par l'UAC, même sous administrateur).
C'est vous qui voyez!
Sinon, subinacl ou pas, un Administrateur n'ayant pas tous les droits,il peut être très difficile, voire impossible, de contourner certaines limitations du système.
C'est sûr. Cela dit, on pourrait se demander pourquoi il faut aller modifier les permissions du registre, mais là on sort un peu du cadre de cette discussion. Peut-être à l'occasion d'un prochain verre? :-)
Autre chose, début février, je devrais aller boire un coup chez Microsoft... (un truc appelé "TechDays", je crois...) ; peut-être nous y verrons-nous ?
Tu parles des TechDays qui auront lieu au Palais des Congrès les 12 et 13 février? J'y serai, en tout cas au moins le 13 puisque j'y fais une présentation.
Jacques
"MCI (ex do ré Mi chel la si do) [MVP]" <enleverlesO.OmcO@OmclaveauO.com>
wrote in message news:eO$R6quQIHA.4752@TK2MSFTNGP05.phx.gbl...
Je désactive systématiquement l'UAC, sur tous mes postes, et sur tous les
postes de mes clients, car j'utilise, et je diffuse, des logiciels qui ne
fonctionnent plus, s'il (l'UAC) est activé (à cause de l'écriture de
paramètres dans des fichiers devant obligatoirement se trouver dans
certains emplacements protégés par l'UAC, même sous administrateur).
C'est vous qui voyez!
Sinon, subinacl ou pas, un Administrateur n'ayant pas tous les droits,il
peut être très difficile, voire impossible, de contourner certaines
limitations du système.
C'est sûr. Cela dit, on pourrait se demander pourquoi il faut aller modifier
les permissions du registre, mais là on sort un peu du cadre de cette
discussion. Peut-être à l'occasion d'un prochain verre? :-)
Autre chose, début février, je devrais aller boire un coup chez
Microsoft... (un truc appelé "TechDays", je crois...) ; peut-être nous y
verrons-nous ?
Tu parles des TechDays qui auront lieu au Palais des Congrès les 12 et 13
février? J'y serai, en tout cas au moins le 13 puisque j'y fais une
présentation.
"MCI (ex do ré Mi chel la si do) [MVP]" wrote in message news:eO$
Je désactive systématiquement l'UAC, sur tous mes postes, et sur tous les postes de mes clients, car j'utilise, et je diffuse, des logiciels qui ne fonctionnent plus, s'il (l'UAC) est activé (à cause de l'écriture de paramètres dans des fichiers devant obligatoirement se trouver dans certains emplacements protégés par l'UAC, même sous administrateur).
C'est vous qui voyez!
Sinon, subinacl ou pas, un Administrateur n'ayant pas tous les droits,il peut être très difficile, voire impossible, de contourner certaines limitations du système.
C'est sûr. Cela dit, on pourrait se demander pourquoi il faut aller modifier les permissions du registre, mais là on sort un peu du cadre de cette discussion. Peut-être à l'occasion d'un prochain verre? :-)
Autre chose, début février, je devrais aller boire un coup chez Microsoft... (un truc appelé "TechDays", je crois...) ; peut-être nous y verrons-nous ?
Tu parles des TechDays qui auront lieu au Palais des Congrès les 12 et 13 février? J'y serai, en tout cas au moins le 13 puisque j'y fais une présentation.
Jacques
Gilles LAURENT [MVP]
"Méta-MCI (MVP)" a écrit dans le message de news:47692eeb$1$903$ | Bonjour !
Bonjour,
| Désolé pour le temps mis à répondre, mais je suis un peu "au vert | bouquet"...
"au vert bouquet" :-)
Pas de problème ... Moi de même, prise de fonction chez un nouveau client ...
| En fait, je ne sais pas comment afficher cette "console LocalSystem".
Vous pouvez autoriser le service à interagir avec le bureau type= own type= interact
J'utilise cette technique pour démarrer une console sous l'autorité LocalSystem :
Note: la commande "sc start svc" provoque l'erreur 1053 "Le service n'a pas répondu assez vite à la demande de lancement ou de contrôle." car le binaire cmd.exe n'est pas écrit comme un service NT et de ce fait n'est pas en mesure de communiquer avec le SCM. Néanmoins, avant de se terminer, le process cmd.exe a le temps de démarrer un process détaché (ici une autre instance cmd.exe via la commande start). Ce process détaché reste quant à lui actif.
Note: la commande "sc start svc" provoque l'erreur 1053 "Le service n'a
pas répondu assez vite à la demande de lancement ou de contrôle." car le
binaire cmd.exe n'est pas écrit comme un service NT et de ce fait n'est
pas en mesure de communiquer avec le SCM. Néanmoins, avant de se
terminer, le process cmd.exe a le temps de démarrer un process détaché
(ici une autre instance cmd.exe via la commande start). Ce process
détaché reste quant à lui actif.
--
Gilles LAURENT
MVP Windows Server - Admin Frameworks
http://glsft.free.fr
Note: la commande "sc start svc" provoque l'erreur 1053 "Le service n'a pas répondu assez vite à la demande de lancement ou de contrôle." car le binaire cmd.exe n'est pas écrit comme un service NT et de ce fait n'est pas en mesure de communiquer avec le SCM. Néanmoins, avant de se terminer, le process cmd.exe a le temps de démarrer un process détaché (ici une autre instance cmd.exe via la commande start). Ce process détaché reste quant à lui actif.