пробовал компоненты JEDI (jwscl) - но их отчего-то клинит - если пользователя нет в списке, он добавляется с правами "разрешить". если потом дать права "запретить" - изменяется. а обратно с "запретить" на "разрешить" - ни в какую.
пробовал компоненты NtSet - Отказ в доступе.
пробовал по способу Cheba http://forum.vingrad.ru/forum/topic-18464/...nfo/index.html# - тоже не хочет работать.

просьба: помогите дельным советом/кодом для изменения DACL. замучался уже   очень уж надобно мне пару веток реестра умееть наделять правами и запрещать доступ.

Возможно, глупый вопрос - разрешить/запретить выставляется для текущего пользователя?

а уже по-всякому пробовал - и для текущего, и для группы "Все", и для "Пользователи". единственные подвижки только с JEDI-компонентами - они как-то хитро умеют преодолевать безопасность (по крайней мере, для тестовой ветки HKEY_CURRENT_USER\123) и добавлять пользователя в ACL, а так же, как я уже выше упомянул, изменять Allow на Deny, но не обратно. все остальные способы во всяких интерпритациях ругались на отказ в доступе и т.п.
P.S. привилегию SeTakeOwnershipPrivilege на всякий случай получал

На счет "пользователи" не скажу (хз, где они там в иерархии), а вот "для текущего" и "для всех" действительно можно будет только запретить, т.к. что ж это будет за безопасность, если пользователь, которому запрещено что-то, сможет сам себе разрешить это "что-то".

ну по логике я с админскими правами могу управлять учетками пользователей и групп, находящихся по иерархии ниже меня. и ведь если, к примеру, Гость отсутствует в списке доступа, а я его добавляю с правами Allow на все - он же добавляется. только вот с Deny на Allow не желает возвращаться. я попробовал было удалять пользователя всякий раз как вношу изменения - но у меня ошибку выдает, так и не понял чего оно от меня хочет. это относительно JEDI.
еще вот кусок кода замучал - у меня получается изменять только вид доступа "Особые разрешения". что запрет, что одобрение - только на этот пункт идет. для любого пользователя и любой группы. тоже не могу понять отчего так. может, кто что дельное подскажет?



Это сообщение отредактировал(а) Delvish - 30.11.2012, 16:52

в идеале, кстати сказать, мне нужно редактировать ветки HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USB и HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR. по умолчанию доступ туда закрыт и админам, но я же могу ручками добавить себя в список разрешенных. вот и программно должен же быть какой-то способ. неужели никто не сталкивался?.. :(