Hi Leutz,
folgende Anforderung galt es zu bewaeltigen:
Eine kommerzielle Anwendung (Support nicht moeglich), setzt per Script Registry-Berechtigungen, welche die Registry tattooen. Nach Beendigung des Programms und Abmeldung der Benutzer sollen die Registry Einstellungen rueckgaengig gemacht werden und das alles ohne Berechtigungen des Users in den Schluessel zu schreiben und ohne Gruppenrichtlinien von Active Directory.
(Eine) moegliche Loesung:
Registry Key Export (REGEDIT.EXE – Export)
Ueberfluessige Einstellungen loeschen
Mit AutoIT (FREEWARE: http://www.autoitscript.com/autoit3/index.shtml) den Schluessel modifizieren oder loeschen und daraus ein AutoIT Script erstellen
Das AutoIT Script in eine EXE-Datei kompilieren
Neuen Benutzer mit Admin Berechtigungen anlegen
Dieser User wird als Steel Run-As Account (http://www.steelsonic.com/steelrunas.htm) verwendet, um eine EXE Datei zu erstellen, welche im Abmeldeskript ausgefuehrt wird und die Registry Einstellungen setzt ( im Kontext des Benutzers, aber mit Admin-Berechtigungen).
Abmeldeskript erstellen in den lokalen Gruppenrichtlinienobjekten
Anmerkung: Sicherlich gibt es noch andere Wege welche zum Ziel fuehren, aber in dieser Konstellation hielt ich das fuer am sinnvollsten. Man haette auch noch die Berechtigungen in der Registry direkt setzen koennen usw. Fuer micht nicht Softi, aber trotzdem eine gute Loesung. Danke an Bjoern K. fuer den Hinweis mit AutoIT
Gruss Marc