Usuário com melhor resposta
Como permitir que um usuário comum faça alterações no Registro em um Win Server 2012?

Pergunta
-
Trabalho em uma empresa que possui um grande parque e, em geral, utilizamos o Linux. Recentemente começamos a migrar alguns servidores para Windows mas encontramos alguns problemas neste processo.
Por trabalharmos majoritariamente com servidores Linux, utilizamos o Putty para que usuários comuns possam acessá-los. No entanto, ao migrarmos estes usuários para um servidor RDS Windows, não conseguimos manter as configurações de registro do Putty como default para todos os usuários. Cada vez que um usuário novo se conecta no Win RDS temos que colocá-lo como administrador, executar um .reg para configurar o Putty e, só então, voltar as permissões padrão. O problema é que, atualmente, temos cerca de 1000 usuários e este trabalho de migração é inviável.
- O UAC já foi configurado mas quando o usuário entra em uma nova sessão apenas o programa Putty sobe, suas configurações não.
- Por teste, tentamos executar este .reg como administrador mas as alterações ficam gravadas no registro do administrador e não do usuário.
- Foi usado o comando RUNAS no destino do arquivo mas, novamente, ficou gravado no registro do administrador e não do usuário.
- Liberei as permissões por GPO mas, ao tentar entrar na sessão com um novo usuário, o Windows fica processando (carregando) e não loga. Não sei se ele não está conseguindo gravar o registro, se é um problema no acesso ou algum outro.
Como posso manter as configurações do Putty para todos os usuários ou permitir que usuários comuns façam alterações no Registro?
- Editado Caroline Kieling segunda-feira, 21 de novembro de 2016 16:21
Respostas
-
Tente aplicar seguindo este procedimento:
https://technet.microsoft.com/en-us/library/cc770908.aspx
Como se trata de uma política, o script deverá ter os direitos suficientes para alterar a chave de registro (a menos que esteja protegida).
Em português:
https://technet.microsoft.com/pt-br/library/cc770908%28v=ws.11%29.aspx?f=255&MSPPError=-2147217396
- Editado J. Maurício terça-feira, 22 de novembro de 2016 12:35
- Marcado como Resposta Caroline Kieling quarta-feira, 23 de novembro de 2016 19:01
-
Você pode criar uma nova GPO que aplica as entradas do registro que você precisa adicionar.
Para não ter que digitar todas as entradas, existe uma opção de assistente de registro, que lê a entrada e preenche com as informações coletadas.
Esta Opção está em Registro -> Novo -> Assistente de Registro.
Espero ter ajudado de uma maneira mais fácil
- Editado Rivaldo Cardoso quarta-feira, 23 de novembro de 2016 19:20
- Marcado como Resposta Guilherme Macedo S terça-feira, 29 de novembro de 2016 16:44
Todas as Respostas
-
Você pode tentar configurar uma GPO local para carregar um script no logon de usuários para então configurar as chaves de registros adequadas:
Veja este site para ajudar na identificação das chaves:
https://www.experts-exchange.com/questions/24641296/Putty-for-all-users-on-a-PC.html
- Editado J. Maurício segunda-feira, 21 de novembro de 2016 19:53
-
-
Tente aplicar seguindo este procedimento:
https://technet.microsoft.com/en-us/library/cc770908.aspx
Como se trata de uma política, o script deverá ter os direitos suficientes para alterar a chave de registro (a menos que esteja protegida).
Em português:
https://technet.microsoft.com/pt-br/library/cc770908%28v=ws.11%29.aspx?f=255&MSPPError=-2147217396
- Editado J. Maurício terça-feira, 22 de novembro de 2016 12:35
- Marcado como Resposta Caroline Kieling quarta-feira, 23 de novembro de 2016 19:01
-
De acordo com o primeiro link que você sugeriu, montei o script "E:\config_putty" com a seguinte instrução:
regedit /e "E:\terminais_031116.reg" HKEY_CURRENT_USER\Software\Simontatham
Neste meu arquivo .reg tenho a seguinte sintáxe:
Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\SOFTWARE\SimonTatham] [HKEY_CURRENT_USER\SOFTWARE\SimonTatham\PuTTY] [HKEY_CURRENT_USER\SOFTWARE\SimonTatham\PuTTY\Jumplist] "Recent sessions"=hex(7):41,00,64,00,6d,00,69,00,6e,00,70,00,62,00,69,00,00,00,\ 46,00,61,00,72,00,6d,00,61,00,70,00,62,00,69,00,00,00,4d,00,65,00,72,00,63,\ 00,69,00,6a,00,75,00,69,00,00,00,4d,00,65,00,72,00,63,00,61,00,69,00,00,00,\ 47,00,72,00,61,00,6e,00,70,00,62,00,69,00,00,00,44,00,65,00,66,00,61,00,75,\ 00,6c,00,74,00,20,00,53,00,65,00,74,00,74,00,69,00,6e,00,67,00,73,00,00,00,\ 47,00,72,00,61,00,6e,00,6d,00,61,00,6d,00,62,00,00,00,4d,00,65,00,72,00,63,\ 00,63,00,64,00,72,00,00,00,41,00,75,00,74,00,6f,00,63,00,70,00,62,00,69,00,\ 00,00,44,00,65,00,73,00,65,00,6e,00,76,00,00,00,47,00,72,00,61,00,6e,00,6c,\ 00,32,00,38,00,00,00,4d,00,65,00,72,00,63,00,70,00,62,00,69,00,00,00,47,00,\ 72,00,61,00,6e,00,73,00,62,00,73,00,00,00,4c,00,6f,00,6a,00,61,00,73,00,70,\ 00,62,00,69,00,00,00,4c,00,6f,00,6a,00,61,00,73,00,73,00,62,00,73,00,00,00,\ 4d,00,65,00,72,00,63,00,73,00,62,00,73,00,00,00,4d,00,65,00,72,00,63,00,70,\ 00,65,00,6a,00,00,00,50,00,6f,00,73,00,74,00,6f,00,70,00,62,00,69,00,00,00,\ 4c,00,6f,00,6a,00,61,00,73,00,63,00,64,00,72,00,00,00,50,00,6f,00,73,00,74,\ 00,6f,00,63,00,64,00,72,00,00,00,4c,00,6f,00,6a,00,61,00,73,00,70,00,65,00,\ 6a,00,00,00,00,00 [HKEY_CURRENT_USER\SOFTWARE\SimonTatham\PuTTY\Sessions] [HKEY_CURRENT_USER\SOFTWARE\SimonTatham\PuTTY\Sessions\Adminpbi] "Present"=dword:00000001 "HostName"="10.10.10.**" "LogFileName"="putty.log" "LogType"=dword:00000000 "LogFileClash"=dword:ffffffff "LogFlush"=dword:00000001 "SSHLogOmitPasswords"=dword:00000001 "SSHLogOmitData"=dword:00000000 "Protocol"="telnet" "PortNumber"=dword:00000017 "CloseOnExit"=dword:00000001 "WarnOnClose"=dword:00000001 "PingInterval"=dword:00000000 "PingIntervalSecs"=dword:00000000 "TCPNoDelay"=dword:00000001 "TCPKeepalives"=dword:00000000 "TerminalType"="xterm" "TerminalSpeed"="115200,115200" "TerminalModes"="CS7=A,CS8=A,DISCARD=A,DSUSP=A,ECHO=A,ECHOCTL=A,ECHOE=A,ECHOK=A,ECHOKE=A,ECHONL=A,EOF=A,EOL=A,EOL2=A,ERASE=A,FLUSH=A,ICANON=A,ICRNL=A,IEXTEN=A,IGNCR=A,IGNPAR=A,IMAXBEL=A,INLCR=A,INPCK=A,INTR=A,ISIG=A,ISTRIP=A,IUCLC=A,IXANY=A,IXOFF=A,IXON=A,KILL=A,LNEXT=A,NOFLSH=A,OCRNL=A,OLCUC=A,ONLCR=A,ONLRET=A,ONOCR=A,OPOST=A,PARENB=A,PARMRK=A,PARODD=A,PENDIN=A,QUIT=A,REPRINT=A,START=A,STATUS=A,STOP=A,SUSP=A,SWTCH=A,TOSTOP=A,WERASE=A,XCASE=A" "AddressFamily"=dword:00000000 "ProxyExcludeList"="" "ProxyDNS"=dword:00000001 "ProxyLocalhost"=dword:00000000 "ProxyMethod"=dword:00000000 "ProxyHost"="proxy" "ProxyPort"=dword:00000050 "ProxyUsername"="" "ProxyPassword"="" "ProxyTelnetCommand"="connect %host %port\\n" "Environment"="" "UserName"="" "LocalUserName"="" "NoPTY"=dword:00000000 "Compression"=dword:00000000 "TryAgent"=dword:00000001 "AgentFwd"=dword:00000000 "ChangeUsername"=dword:00000000 "Cipher"="aes,blowfish,3des,WARN,arcfour,des" "KEX"="dh-gex-sha1,dh-group14-sha1,dh-group1-sha1,rsa,WARN" "RekeyTime"=dword:0000003c "RekeyBytes"="1G" "SshNoAuth"=dword:00000000 "AuthTIS"=dword:00000000 "AuthKI"=dword:00000001 "SshNoShell"=dword:00000000 "SshProt"=dword:00000002 "SSH2DES"=dword:00000000 "PublicKeyFile"="" "RemoteCommand"="" "RFCEnviron"=dword:00000000 "PassiveTelnet"=dword:00000000 "BackspaceIsDelete"=dword:00000000 "RXVTHomeEnd"=dword:00000000 "LinuxFunctionKeys"=dword:00000002 "NoApplicationKeys"=dword:00000001 "NoApplicationCursors"=dword:00000000 "NoMouseReporting"=dword:00000000 "NoRemoteResize"=dword:00000000 "NoAltScreen"=dword:00000000 "NoRemoteWinTitle"=dword:00000000 "RemoteQTitleAction"=dword:00000001 "NoDBackspace"=dword:00000000 "NoRemoteCharset"=dword:00000000 "ApplicationCursorKeys"=dword:00000000 "ApplicationKeypad"=dword:00000000 "NetHackKeypad"=dword:00000000 "AltF4"=dword:00000001 "AltSpace"=dword:00000000 "AltOnly"=dword:00000000 "ComposeKey"=dword:00000000 "CtrlAltKeys"=dword:00000001 "TelnetKey"=dword:00000000 "TelnetRet"=dword:00000001 "LocalEcho"=dword:00000002 "LocalEdit"=dword:00000002 "Answerback"="PuTTY" "AlwaysOnTop"=dword:00000000 "FullScreenOnAltEnter"=dword:00000000 "HideMousePtr"=dword:00000000 "SunkenEdge"=dword:00000000 "WindowBorder"=dword:00000001 "CurType"=dword:00000000 "BlinkCur"=dword:00000001 "Beep"=dword:00000001 "BeepInd"=dword:00000000 "BellWaveFile"="" "BellOverload"=dword:00000001 "BellOverloadN"=dword:00000005 "BellOverloadT"=dword:000007d0 "BellOverloadS"=dword:00001388 "ScrollbackLines"=dword:00001388 "DECOriginMode"=dword:00000000 "AutoWrapMode"=dword:00000001 "LFImpliesCR"=dword:00000000 "DisableArabicShaping"=dword:00000000 "DisableBidi"=dword:00000000 "WinNameAlways"=dword:00000001 "WinTitle"="" "TermWidth"=dword:00000082 "TermHeight"=dword:00000024 "Font"="Courier New" "FontIsBold"=dword:00000001 "FontCharSet"=dword:00000000 "FontHeight"=dword:0000000c "FontQuality"=dword:00000003 "FontVTMode"=dword:00000001 "UseSystemColours"=dword:00000000 "TryPalette"=dword:00000000 "ANSIColour"=dword:00000001 "Xterm256Colour"=dword:00000001 "BoldAsColour"=dword:00000001 "Colour0"="187,187,187" "Colour1"="255,255,255" "Colour2"="0,0,0" "Colour3"="85,85,85" "Colour4"="0,0,0" "Colour5"="255,0,0" "Colour6"="0,0,0" "Colour7"="85,85,85" "Colour8"="187,0,0" "Colour9"="255,85,85" "Colour10"="0,187,0" "Colour11"="85,255,85" "Colour12"="187,187,0" "Colour13"="255,255,85" "Colour14"="0,0,187" "Colour15"="85,85,255" "Colour16"="187,0,187" "Colour17"="255,85,255" "Colour18"="0,187,187" "Colour19"="85,255,255" "Colour20"="187,187,187" "Colour21"="255,255,255" "RawCNP"=dword:00000000 "PasteRTF"=dword:00000000 "MouseIsXterm"=dword:00000000 "RectSelect"=dword:00000000 "MouseOverride"=dword:00000001 "Wordness0"="0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0" "Wordness32"="0,1,2,1,1,1,1,1,1,1,1,1,1,2,2,2,2,2,2,2,2,2,2,2,2,2,1,1,1,1,1,1" "Wordness64"="1,2,2,2,2,2,2,2,2,2,2,2,2,2,2,2,2,2,2,2,2,2,2,2,2,2,2,1,1,1,1,2" "Wordness96"="1,2,2,2,2,2,2,2,2,2,2,2,2,2,2,2,2,2,2,2,2,2,2,2,2,2,2,1,1,1,1,1" "Wordness128"="1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1" "Wordness160"="1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1" "Wordness192"="2,2,2,2,2,2,2,2,2,2,2,2,2,2,2,2,2,2,2,2,2,2,2,1,2,2,2,2,2,2,2,2" "Wordness224"="2,2,2,2,2,2,2,2,2,2,2,2,2,2,2,2,2,2,2,2,2,2,2,1,2,2,2,2,2,2,2,2" "LineCodePage"="ISO-8859-1:1998 (Latin-1, West Europe)" "CJKAmbigWide"=dword:00000000 "UTF8Override"=dword:00000001 "Printer"="" "CapsLockCyr"=dword:00000000 "ScrollBar"=dword:00000001 "ScrollBarFullScreen"=dword:00000000 "ScrollOnKey"=dword:00000000 "ScrollOnDisp"=dword:00000001 "EraseToScrollback"=dword:00000001 "LockSize"=dword:00000001 "BCE"=dword:00000001 "BlinkText"=dword:00000000 "X11Forward"=dword:00000000 "X11Display"="" "X11AuthType"=dword:00000001 "LocalPortAcceptAll"=dword:00000000 "RemotePortAcceptAll"=dword:00000000 "PortForwardings"="" "BugIgnore1"=dword:00000000 "BugPlainPW1"=dword:00000000 "BugRSA1"=dword:00000000 "BugHMAC2"=dword:00000000 "BugDeriveKey2"=dword:00000000 "BugRSAPad2"=dword:00000000 "BugPKSessID2"=dword:00000000 "BugRekey2"=dword:00000000 "StampUtmp"=dword:00000001 "LoginShell"=dword:00000001 "ScrollbarOnLeft"=dword:00000000 "BoldFont"="" "BoldFontIsBold"=dword:bff7a185 "BoldFontCharSet"=dword:00000001 "BoldFontHeight"=dword:000008a5 "WideFont"="" "WideFontIsBold"=dword:bff713e2 "WideFontCharSet"=dword:bff7a185 "WideFontHeight"=dword:00000167 "WideBoldFont"="" "WideBoldFontIsBold"=dword:0077654e "WideBoldFontCharSet"=dword:bff713e2 "WideBoldFontHeight"=dword:00000000 "ShadowBold"=dword:00000000 "ShadowBoldOffset"=dword:00000001 "SerialLine"="COM1" "SerialSpeed"=dword:00002580 "SerialDataBits"=dword:00000008 "SerialStopHalfbits"=dword:00000002 "SerialParity"=dword:00000000 "SerialFlowControl"=dword:00000001 "UserNameFromEnvironment"=dword:00000000 "GssapiFwd"=dword:00000000 "SshBanner"=dword:00000001 "AuthGSSAPI"=dword:00000001 "GSSLibs"="gssapi32,sspi,custom" "GSSCustom"="" "LogHost"="" "CRImpliesLF"=dword:00000000 "X11AuthFile"="" "BugIgnore2"=dword:00000000 "BugMaxPkt2"=dword:00000000 "BugOldGex2"=dword:00000000 "BugWinadj"=dword:00000000 "BugChanReq"=dword:00000000 "WindowClass"="" "ConnectionSharing"=dword:00000000 "ConnectionSharingUpstream"=dword:00000001 "ConnectionSharingDownstream"=dword:00000001 "SSHManualHostKeys"="" [HKEY_CURRENT_USER\SOFTWARE\SimonTatham\PuTTY\SshHostKeys] "rsa2@22:10.10.10.**"="***********" "rsa2@22:10.10.20.**"="**********" "rsa2@22:10.10.60.**"="**************"
Seguindo as orientações contidas neste último link, adicionei no local indicado (User Configuration\Windows Settings\Scripts (Logon/Logoff) ) o script config_putty. No entanto, ao realizar o teste, o usuário subiu rapidamente e não parece ter executado o meu script.
Este script tem que possuir alguma extensão específica?
- Editado Caroline Kieling terça-feira, 22 de novembro de 2016 12:22
-
Tenta criar um arquivo ".bat" ou gere um script ".vbs".
http://www.robvanderwoude.com/regedit.php
https://jagspage.wordpress.com/2013/08/09/importing-reg-file-silently-using-vbscript/
- Editado J. Maurício terça-feira, 22 de novembro de 2016 12:38
-
Conforme o primeiro link, a sintaxe utilizada no script config_putty.bat está correta. As aspas estavam no lugar errado, mas já foram corrigidas. O que posso perceber, é que este procedimento tem por objetivo automatizar a inclusão no Registro a cada novo logon. Mas este em si não é o meu problema.
Este script automatizado, bem como a tentativa feita depois do usuário logado, apresentam o mesmo problema: não conseguem gravar no registro do usuário.
No nosso caso, utilizamos o Windows RDS para fazer conexões remotas. Não há como gravar na máquina local. E o usuário comum não tem permissão para gravar nem acessar o seu próprio registro. O script parece gravar apenas no registro do administrador.
Se executado no "run" tem o mesmo desempenho. Assim como no DOS. Assim como o editor de Registro. Todos eles exigem a senha de administrador e gravam no registro do adm.
Como acessar e gravar o registro do usuário? Mesmo que eu tenha que fazer isso 1000 vezes (uma para cada usuário), como altero o registro do usuário?
- Editado Caroline Kieling terça-feira, 22 de novembro de 2016 13:19
-
-
-
Perdão, realmente faltou esta informação. Os meus clientes estão em máquinas Linux que, anteriormente, serviam como clientes em um servidor de ThinClients. Agora estas máquinas estão acessando o Windows RDS via RDP.
Eles, através do aplicativo rdesktop, logam no Win RDS com o domínio que criamos no AD. Ex: cotripal.local\caroline
Por estarem remotos, não posso fazer configurações no HKEY_LOCAL_MACHINE e sim no HKEY_CURRENT_USER.
Mas o grande problema está em fazer com que estas alterações fiquem no Registro do usuário e não do administrador.
Não posso, por exemplo, executar os camandos (via RUN ou DOS) nem abrir o Editor de Registro se estou com um usuário que não é adm. Se tento, é requerido a autenticação e, quando coloco a senha do adm, é aberto o Registro do adm.
No script parece ser semelhante. Ele não é executado (acredito que não pq o usuário sobe instantaneamente) e acho que isso ocorre pela falta de permissão.
Como posso proceder?
-
Primeiro, é preciso certificar-se que sua politica está sendo aplicada.
Logado com usuário que precise da alteração no registro, execute o comando gpresulte /H resulte.html
Abra o arquivo resulte e navegue até nas configurações do usuário e verifique se a GPO foi aplicada.
-
Agradeço o conselho!
Executei o comando e encontrei um outro problema: Incompatibilidade de Versão AD/SysVol.
A Microsoft reconhece este erro como sistemas operacionais diferentes. No meu caso, utilizo o mesmo sistema para criar as políticas e para subir os usuários.
Iria mostrar o screenshot que tirei aqui, mas segundo o site, até que minha conta seja verificada não posso anexar imagens ou links .-.
De qualquer forma, este é um outro erro e terei que começar a procurar uma solução para ele e, pelo visto, não tem como gravar no registro do usuário de outra forma que não o GPO.
Mas muito obrigada pela ajuda.
-
Muito longe de ser a solução definitiva (e segura), mas se for de extrema importância tal configuração, você pode tentar usar o script do link abaixo para rodar algo como administrador. No campo comando, você colocaria o caminho com o nome de um outro script a ser executado, por exemplo.
https://gallery.technet.microsoft.com/Script-RunAs-a5876b94?redir=0
O problema que você terá que colocar a senha do administrador no texto do script, abrindo uma margem de falha de segurança. Você pode mitigar essa margem codificando (encoded) ou transformando-o em executável.
Um usuário comum jamais saberá que tal script estará sendo executado. Mas vai se saber né...
Só que seu primeiro passo é conseguir executar algum script no logon de cada sessão.
- Editado J. Maurício terça-feira, 22 de novembro de 2016 17:54
-
Infelizmente é de extrema importância sim, Maurício =/
O Putty é a ferramenta padrão que os usuários utilizam para acessar outros servidores. Como temos lojas, mercados, farmácia e etc, nossos usuários precisam manter um acesso direto a esses servidores Linux.
Olhando este script vi que o comando utilizado é o:
- Runas /savecred /user:Administrator cmd
Acontece que é exatamente esse o meu problema. Ao executá-lo o Registro fica gravado no administrador e não no Registro do usuário. Pelo visto, tenho dois problemas:
- Gravar no Registro do usuário e não do administrador.
- Fazer com que o GPO execute o script.
De qualquer forma, continuarei estudando. Muito obrigada pela colaboração de todos.
- Editado Caroline Kieling terça-feira, 22 de novembro de 2016 18:07
-
Só complementando, você terá que alterar o fonte do script para adaptar as suas necessidades. Você terá de usar a versão sem "savecred". O script será executado como administrador mas a chave alterada será (não tenho certeza) a da sessão em andamento (do "Current User") e não do administrador.
Mas pensando bem, não era para haver problema num script de logon que altera a hive do usuário corrente. Se fosse no Local Machine aí sim não funcionaria. Sinto não poder ajudar. :/
Acredito que você não está conseguindo efetivamente aplicar a política.
-
Concordo contigo, Maurício. Acho que não estou conseguindo aplicar a política corretamente =p
Esta me parece ser a única explicação. Apesar de fazer com que outras GPOs funcionem normalmente, como de mapeamento comum, esta parece nem estar sendo aplicada, mesmo tendo seguido os passos orientados. Talvez alguma particularidade em relação ao script ou algum outro parâmetro que faça com que essa GPO se aplique aos usuários (apesar de já ter sido revisado isso). De qualquer forma, concordo que é algum problema na aplicação.
Aqui na empresa, não só o parque é baseado em Linux mas também os funcionários kkk
Como não possuímos experiência em ambientes Windows, seguiremos estudando.
Muito obrigada pela prestatividade.
-
Você pode criar uma nova GPO que aplica as entradas do registro que você precisa adicionar.
Para não ter que digitar todas as entradas, existe uma opção de assistente de registro, que lê a entrada e preenche com as informações coletadas.
Esta Opção está em Registro -> Novo -> Assistente de Registro.
Espero ter ajudado de uma maneira mais fácil
- Editado Rivaldo Cardoso quarta-feira, 23 de novembro de 2016 19:20
- Marcado como Resposta Guilherme Macedo S terça-feira, 29 de novembro de 2016 16:44
-
Boa Tarde,
Por falta de retorno, esta thread será encerrada.
Caso seja necessário, por gentileza, abra uma nova thread.
Atenciosamente
Guilherme Macedo S
Esse conteúdo é fornecido sem garantias de qualquer tipo, seja expressa ou implícita
TechNet Community Support
Por favor, lembre-se de Marcar como Resposta as postagens que resolveram o seu problema. Essa é uma maneira comum de reconhecer aqueles que o ajudaram e fazer com que seja mais fácil para os outros visitantes encontrarem a resolução mais tarde.