Niekedy, aby ste mohli niečo zmeniť v registri (vykonať vyladenie alebo len vykonať potrebnú zmenu), musíte najskôr získať prístup k vetve alebo kľúču registra. Zdá sa, že to nie je problém pre správcu. Nuansou je, že ani správca nemôže vykonať zmeny v niektorých pobočkách registra systému Windows. Prístup do týchto pobočiek je obmedzený zoznamami prístupových práv, v ktorých buď neexistujú žiadne oprávnenia na zápis pre skupinu miestnych administrátorov, alebo TrustedInstaller alebo System sú pridelení ako vlastníci takýchto oddielov. V tejto príručke vám ukážeme niekoľko jednoduchých spôsobov, ako udeliť práva vlastníka správcu a plné práva na takto chránený kľúč databázy Registry..
Neberieme do úvahy grafickú metódu zmeny vlastníka a pridelenia práv pomocou obslužného programu regedit.exe a nebudeme sa zaoberať možnosťami zmeny vlastníctva ktoréhokoľvek kľúča registra a poskytnutím prístupu. z príkazového riadku. Všetky metódy opísané nižšie fungujú vo všetkých verziách systému Windows.!
obsah:
- Získanie vlastníckych práv na kľúč databázy Registry pomocou obslužného programu SubInACL
- Zmena vlastníctva a práv na kľúč databázy Registry pomocou obslužného programu SetACL
- Získanie vlastníckych práv na kľúč databázy Registry pomocou zabudovaného príkazu REGINI
- Príklad použitia
Získanie vlastníckych práv na kľúč databázy Registry pomocou obslužného programu SubInACL
subinacl - Toto je oficiálny nástroj od spoločnosti Microsoft, ktorý môžete použiť na zobrazenie a zmenu povolení, informácií o vlastníkovi a zabezpečení atď. pre súbory, priečinky, kľúče registra, služby atď. na oknách .
Tento obslužný program bol napísaný pre systémy Windows 2000, XP a Server 2003, môže sa však používať vo všetkých nových verziách systému Windows.
KROK 1:
Stiahnite si pomocný program z webovej lokality spoločnosti Microsoft: https://www.microsoft.com/en-us/download/details.aspx?id=23510
KROK 2:
Toto je štandardný inštalátor MSI, ktorý skopíruje súbor SubInACL.exe do priečinka "C: \ Program Files (x86) \ Windows Resource Kits \ Tools \" v systéme Windows x64 a do priečinka "C: \ Program Files \ Windows Resource Kits \ Tools \". na Windows x86.
Nikto vás však neobťažuje jednoducho rozbaliť súbor MSI (napríklad pomocou 7-Zip) kdekoľvek bez nutnosti jeho inštalácie..
KROK 3:
Môžete si vybrať, ako spustiť SubInACL.exe. Z miesta inštalácie (CD C: \ Program Files (x86) \ Windows Resource Kits \ Tools) alebo z miesta, kde ste ho rozbalili, aspoň z jednotky flash 🙂. Alebo môžete skopírovať SubInACL.exe do priečinka C: \windows\systém32 a potom to začne menom. Odporúčame kopírovať súbor subinacl.exe do priečinka C: \ Windows \ System32 (C: \ Windows \ SysWOW64), aby ste mohli spustiť SubInACL z ľubovoľného vhodného miesta..
KROK 4:
Naučme sa pracovať s SubInACL.exe. Syntax programu (na príkazovom riadku s právami správcu):
SubInACL / zadajte názov / činnosť
/typ: Označte požadovaný typ objektu. Ak potrebujete zmeniť vlastníka súboru alebo priečinka, použite súbor, a ak potrebujete zmeniť vlastníka kľúča databázy Registry, potom použite keyreg alebo subkeyreg. Rozdiel medzi keyreg a subkeyreg je ten keyreg zmení vlastníka iba konkrétneho kľúča a subkeyreg zmení vlastníka tohto kľúča a všetkých podriadených kľúčov.
názov: Nahraďte tento parameter názvom súboru, priečinka alebo kľúča databázy Registry.
/akčné: Tento parameter definuje akciu, ktorá sa vykoná s objektom. Keďže zmeníme vlastníka kľúča a práva na kľúč, použijeme ho /setowner=administrátori /grant=administrátori=F ako akcia.
Pozeráme sa na príklad.
SUBINACL / keyreg "HKEY_LOCAL_MACHINE \ SOFTWARE \ Mozilla" / setowner = Administrators / grant = Administrators = f
Tento príkaz znamená, že sa zmení vlastník tohto kľúča a správca získa plné práva na správu tohto kľúča.
Stačí len vymeniť názov kľúča z príkladu za vlastný a spustiť príkaz ...
PS: Ak máte záujem pozrieť si všetku dostupnú syntax, kľúče a parametre príkazu SubInACL, spustite s takýmto kľúčom subinacl /helpZmena vlastníctva a práv na kľúč databázy Registry pomocou obslužného programu SetACL
SetACL je bezplatný obslužný program konzoly. Musíte si program stiahnuť a potom spustiť potrebné príkazy.
KROK 1:
Stiahnite si program SetACL: https://helgeklein.com/download/#setacl
STEP 2:
Po stiahnutí rozbaľte ZIP súbor a pozrite si dve verzie pomôcky: pre x86 a x64 verzie Windows. Musíte použiť správny SetACL.EXE pre svoju verziu systému Windows. Zistite, ktorú verziu systému Windows môžete zobraziť v časti Vlastnosti systému.
STEP 3:
Existujú dva spôsoby použitia aplikácie. Napríklad môžete pomôcku uložiť do priečinka E: \ SetACL, potom otvoriť príkazový riadok ako správca a prejsť do tohto priečinka pomocou štandardných príkazov alebo zadať úplnú cestu na spustenie pomôcky, napríklad E: \ SetACL \ SetACL.exe. Alebo môžete skopírovať SetACL.exe do systémového priečinka C: \windows\systém32 (C: \ Windows \ SysWOW64), potom môžete príkaz SetACL spustiť odkiaľkoľvek. Odporúčame kopírovať súbor EXE do priečinka C: \ Windows \ System32 (C: \ Windows \ SysWOW64)..
KROK 4:
Po dokončení všetkých predbežných postupov môžete spustiť SetACL:
SetACL-on názov -ot typ -actn akčné
syntax:
Čo je zvýraznené smelý zostáva nezmenený, čo je zvýraznené kurzívou zmeníme sa:
-na: Tento parameter označuje úplnú cestu k súboru alebo kľúču registra, ktorého vlastníka chcete zmeniť.
-ot: Tento parameter definuje typ objektu. Ak zmeníme vlastníka súboru, zmeníme parameter na súbor. Ak je kľúč databázy Registry, zadajte reg
-actn: Tento parameter označuje, čo treba robiť. Existuje mnoho možných možností, ale keďže hovoríme o kľúčoch registra, najmä o zmene vlastníka alebo o pridelení iných práv na kľúč, použijeme iba hodnoty setowner alebo eso.
Ak chcete lepšie porozumieť tomu, ako to funguje, prečítajte si príklad:
Predpokladajme, že chcete zmeniť vlastníka kľúča HKEY_LOCAL_MACHINE \ SOFTWARE \ Mozilla. Aby sme to dosiahli, musíme spustiť SetACL s nasledujúcimi parametrami:
SetACL.exe - na "HKEY_LOCAL_MACHINE \ SOFTWARE \ Mozilla" -ot reg -actn setowner -ownr "n: Administrators"
SetACL.exe - na "HKEY_LOCAL_MACHINE \ SOFTWARE \ Mozilla" -ot reg -actn ace -ace "n: Administrators; p: full"
Prvý príkaz urobí skupinu miestnych administrátorov vlastníkom kľúča a druhý zabezpečí úplný prístup ku kľúču.
Musíte iba zmeniť kľúčovú hodnotu medzi úvodzovkami ("") na tú, ktorú potrebujete.
Poznámka: SetACL má veľa parametrov, ale o tom si prečítajte sami tu (https://helgeklein.com/setacl/documentation/command-line-version-setacl-exe/).Získanie vlastníckych práv na kľúč databázy Registry pomocou zabudovaného príkazu REGINI
Tento príkaz je súčasťou každého systému Windows a môžeme ho použiť na priradenie povolení kľúčom registra. Použitie príkazu je veľmi jednoduché. Vytvoríme súbor skriptu s potrebnými parametrami a tento súbor odovzdáme na spracovanie do príkazu REGINI.
STEP 1:
Otvorte Poznámkový blok (notepad) a zadajte názov požadovaného kľúča a ACL (Access Control List) pomocou tohto formátu:
KEY_NAME [ACL]
zmena kľúč_názov názov kľúča, ktorý potrebujete, ale skontrolujte, či je názov kľúča správny, ako je uvedené nižšie:
\ Registre \ počítač \ softvér \ triedy (pre kľúče oddielu HKEY_CLASSES_ROOT)
\ Register \ machine (pre kľúče v sekcii HKEY_LOCAL_MACHINE)
\ Register \ user \ user_sid (pre kľúče v sekcii HKEY_CURRENT_USER) (nahradiť SID_uživatele na správne ID zabezpečenia tohto používateľa)
\ Register \ user (pre kľúče v sekcii HKEY_USERS)
Pozrime sa napríklad na kľúč „HKEY_LOCAL_MACHINE \ SOFTWARE \ Mozilla“ a napíšte skript:
\ Register \ machine \ SOFTWARE \ Mozilla
vymeniť ACL potrebným zoznamom:
| 1 | (poskytnúť správcom úplný prístup) | Poskytnite správcom plný prístup |
| 2 | (poskytnúť správcom prístup na čítanie) | Poskytnite správcom prístup len na čítanie |
| 3 | (poskytnúť správcom prístup na čítanie a zápis) | Poskytnite správcom právo na zmenu |
| 4 | (poskytnúť správcom prístup na čítanie, zápis a odstránenie) | Poskytnite správcom právo meniť a mazať |
| 5 | (poskytnúť autorovi / vlastníkovi úplný prístup) | Dajte tvorcovi / vlastníkovi úplný prístup |
| 6 | (poskytnúť prístup na čítanie a zápis pre tvorcov / vlastníkov) | Poskytnite Stvoriteľovi / vlastníkovi prístup k zmenám |
| 7 | (na zabezpečenie úplného prístupu pre všetkých) | Poskytnite všetkým prístup |
| 8 | (poskytnúť prístup na čítanie pre všetkých) | Dajte všetkým prístup iba na čítanie |
| 9 | (poskytnúť všetkým prístup na čítanie a zápis) | Dajte každému právo na zmenu |
| 10 | (poskytnúť všetkým prístup na čítanie, zápis a odstránenie) | Dajte každému právo na zmenu a odstránenie |
| 17 | (na zabezpečenie úplného prístupu do systému) | Poskytnite systému úplný prístup |
| 18 | (na zabezpečenie prístupu na čítanie a zápis do systému) | Dajte systému právo na zmenu |
| 19 | (poskytnúť prístup na čítanie systému) | Dajte systému prístup len na čítanie |
Teraz [ACL] v skripte sa nainštaluje niečo také:
[1 6 9 17]
Ako je uvedené v tabuľke, poskytnú sa tým plný prístup administrátorom a systému, ako aj právo zmeniť tvorcu kľúčov a všetko ostatné..
Posledný riadok bude vyzerať takto:
\ Register \ machine \ HKEY_LOCAL_MACHINE \ SOFTWARE \ Mozilla [1 6 9 17]
Môžete použiť ľubovoľnú kombináciu ACL podľa potreby.
STEP 2:
Skript uložíme pod názvom ACL.TXT, otvoríme príkazový riadok ako správca a spustíme náš príkaz:
Regini full_path_of_script_file
Alebo v našom prípade to bude vyzerať takto
REGINI c: \ install \ acl.txt
A to je všetko. Povolenia sa okamžite zmenia..
Niečo také. Metóda 1 je najúčinnejšia a pracuje so 100%.
Príklad použitia
Bolo potrebné spustiť hostiteľa vzdialenej pracovnej plochy, aby sa skupine vývojárov poskytla zdieľaný prístup k serveru na konfiguráciu určitých aplikácií a databázy. V budúcnosti sa neplánovalo poskytovať vzdialený prístup k tomuto serveru. Vyskytli sa viac ako 2 vývojári a všetci chceli pracovať súčasne. A sľúbil dokončiť za menej ako 4 mesiace.
Nie skôr, ako urobil. Hostiteľ vzdialenej pracovnej plochy v systéme Windows 2012 R2 bol zvýšený a začali sme využívať bezplatné 120-dňové obdobie. Ale ... 4 mesiace nestačili (ako vždy). Nechcel som používať právny kľúč pre TS, pretože práca je dočasná, ako som už povedal. Musel som ... využiť vedomostí, ktoré ste práve dostali.
Kľúč databázy Registry zodpovedný za počítanie 120-dňového obdobia odkladu sa nachádza tu:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ RCM \ GracePeriod
Skupina Administrators má k tomuto kľúču prístup iba na čítanie..
Bola použitá metóda 1. Takže Microsoft sám potrestal :)
SUBINACL / keyreg "HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ RCM \ GracePeriod" / setowner = správcovia / grant = správcovia = f
Zmenil vlastníka a poskytol správcom úplný prístup
Ďalej jednoduchšie.
Odstráňte obsah tohto kľúča
reg delete "HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ RCM \ GracePeriod" / va / f
A po reštarte dostaneme .... To je pravda! 120 dní nového bezplatného obdobia.
Tento príkaz môžete napríklad spustiť ako skript a spustiť ho každých 115 dní podľa plánu.
Použitie alebo nie je na vás, po konzultácii s vašim svedomím a ropucha ad
