Какое разрешение файла реестра
Утилита REGINI.EXE первоначально входила в состав пакета Resource Kit, но, начиная с Windows XP, является стандартным компонентом системного программного обеспечения. Используется в сценариях администрирования для управления доступом к разделам (ключам) реестра на локальном или удаленном компьютере.
Формат командной строки:
REGINI [-m \\machinename | -h hivefile hiveroot] [-i n] [-o outputWidth][-b] textFiles.
Параметры командной строки:
-m \\machinename - имя или адрес удаленного компьютера, на котором будет выполняться изменение разрешений для разделов реестра.
-h - определяет куст реестра на локальном компьютере, для которого будут устанавливаться разрешения.
-i n – смещение текста от первой позиции строки. По умолчанию равно 4
-o outputWidth - максимальный размер строк вывода. По умолчанию соответствует ширине консоли.
-b - определяет режим обратной совместимости с предыдущими версиями REGINI ( backward compatible).
textFiles - имена текстовых файлов в кодировке ANSI или Unicode, представляющих собой сценарии для изменения разрешений реестра.
regini /? - отобразить краткую справку по использованию команды.
regini acl1reg.txt - выполнить изменения разрешений для разделов (ключей) реестра на локальном компьютере с использованием файла сценариев acl1reg.txt
regini –m \\COMP0 C:\scripts\acl2reg.txt - выполнить изменения разрешений для реестра на удаленном компьютере COMP0 с использованием сценария C:\scripts\acl2reg.txt
Сценарии для утилиты REGINI содержат специальные директивы и параметры, с помощью которых можно управлять доступом к разделам (ключам) реестра Windows. Файлы сценариев представляют собой обычные текстовые файлы, которые можно редактировать, например, с помощью редактора ”Блокнот” (Notepad). Строки сценариев содержат адреса разделов и числовые коды, разделенные пробелами и определяющие разрешения в формате:
(путь к разделу реестра) [разрешения]
Например, строка сценария, устанавливающая разрешения доступа для раздела Adm :
HKEY_LOCAL_MACHINE\Software\Adm [1 5 9]
В данном примере, устанавливаются разрешения [1 5 9] , расшифровать которые можно с использованием следующей таблицы:
1 - Администратор, полный доступ
2 - Администратор, чтение
3 - Администратор, чтение и запись
4 - Администратор, чтение, запись и удаление
5 - Создатель, полный доступ
6 - Создатель, чтение и запись
7 - Все, полный доступ
9 - Все, чтение и запись
10 - Все, чтение, запись и удаление
11 - Опытные пользователи, полный доступ
12- Опытные пользователи, чтение и запись
13 - Опытные пользователи, чтение, запись и удаление
14 - Системный оператор, полный доступ
15 - Системный оператор, чтение и запись
16 - Системный оператор, чтение, запись и удаление
17 - Система, полный доступ
18 - Система, чтение и запись
19 - Система, чтение
20 - Администратор, чтение, особые разрешения
21 - Интерактивные пользователи, чтение, полный доступ
22 - Интерактивные пользователи, чтение
23 - Интерактивные пользователи, чтение, особые разрешения
0 - Нет групп или пользователей, имеющих разрешение на доступ к данному объекту, но владелец объекта может назначить разрешения.
Таким образом, код [1 5 9] означает
Администратор, полный доступ
Создатель, полный доступ
Все, чтение и запись
Необходимо учитывать тот факт, что ранее установленные разрешения сбрасываются, и если, после комбинации [1 5 9] в сценарии будет использована, например директива:
То это означает, не добавление кода 4 - Администратор, чтение, запись и удаление, к существующим кодам 1 5 9 , а их замена. Для добавления новых разрешений, с сохранением старых, строка должна быть следующего вида:
HKEY_LOCAL_MACHINE\Software\Adm [1 4 5 9]
При добавлении новых ключей или параметров в реестр, в файле сценария первой строкой указывается имя ключа, а второй (последующими) строкой указывается имя параметра, знак равенства, тип данных и значение:
Имя параметра = тип данных значение
Пример файла сценария:
Первая строка указывает имя ключа (подраздела реестра) HKEY_CURRENT_USER\TEST, в который будет записан параметр и в квадратных скобках – код разрешения доступа к нему. Если подраздел TEST не существует, то он будет создан с указанными разрешениями, если существует – то выполнится смена разрешений на указанные в квадратных скобках. Если код разрешений не задан, то разрешения не изменяются. Вторая строка указывает имя и значение параметра, который будет записан в данный ключ реестра. Если параметр text не существует, то он будет создан, если существует, то будет изменено его значение на строку String1 .
Наличие знака равенства = в строке сценария утилита regini.exe интерпретирует как команду на запись параметра в формате
имя = тип значение
Для удаления значения параметра, строка должна иметь вид:
Для удаления самого параметра, используется ключевое слово DELETE
Под строкой с именем ключа можно располагать несколько команд на изменение или добавление параметров:
text=REG_SZ This is text
Использование команды REGINI представляет собой определенную опасность, поэтому, прежде чем делать серьезные изменения в системе, рекомендуется выполнить резервное копирование и ознакомиться со способами восстановления Windows.
Если необходимо установить новые разрешения для куста реестра, принадлежащего другой операционной системе, то необходимо учитывать тот факт, что пути к разделам реестра должны указываться относительно имени куста, так например, для изменения разрешения для раздела HKEY_LOCAL_MACHINE\System на доступ [1 5 9] команда должна иметь вид:
regini –h D:\oldwin\system32\config\system newacl.txt
А файл newacl.txt должен содержать строку без имени подраздела:
Для просмотра существующих разрешений в командной строке Windows NT/2000 можно использовать утилиту regdmp.exe из состава дополнительных инструментов Resource Kit. В составе более поздних версий ОС Windows, стандартных средств, для просмотра разрешений разделов реестра в командной строке, не имеется.
В этой статье описывается изменение значений реестра или разрешений из командной строки или скрипта.
Применяется к: Windows 10 — все выпуски, Windows Server 2012 R2
Исходный номер КБ: 264584
Описание реестра
В словаре компьютерных терминов Майкрософт (5-я редакция) реестр определяется следующим образом:
Центральная иерархическая база данных, используемая в Windows 98, Windows CE, Windows NT и Windows 2000, используется для хранения сведений, необходимых для настройки системы для одного или нескольких пользователей, приложений и аппаратных устройств.
Реестр содержит сведения, на которые Windows постоянно ссылается во время операции, такие как профили для каждого пользователя, приложения, установленные на компьютере, типы документов, которые могут создаваться, параметры таблицы свойств для папок и значков приложений, оборудование, которое установлено в системе, и используемые порты.
Реестр заменяет большинство текстовых INI-файлов, используемых в файлах конфигурации Windows 3.x и MS-DOS, таких как Autoexec.bat и Config.sys. Хотя реестр является общим для нескольких операционных систем Windows, между ними существуют некоторые различия. Куст реестра — это группа ключей, подразделов и значений в реестре с набором вспомогательных файлов, содержащих резервные копии данных. Вспомогательные файлы для всех кустов, кроме HKEY_CURRENT_USER, находятся в папке %SystemRoot%\System32\Config в Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003 и Windows Vista. Вспомогательные файлы для HKEY_CURRENT_USER находятся в папке %SystemRoot%\Profiles\Username . Расширения имен файлов в этих папках указывают тип содержащихся в них данных. Кроме того, отсутствие расширения иногда может указывать на тип содержащихся в них данных.
Куст реестра | Вспомогательные файлы |
---|---|
HKEY_LOCAL_MACHINE\SAM | Sam, Sam.log, Sam.sav |
HKEY_LOCAL_MACHINE\Security | Security, Security.log, Security.sav |
HKEY_LOCAL_MACHINE\Software | HKEY_LOCAL_MACHINE\Software |
HKEY_LOCAL_MACHINE\System | System, System.alt, System.log, System.sav |
HKEY_CURRENT_CONFIG | System, System.alt, System.log, System.sav, Ntuser.dat, Ntuser.dat.log |
HKEY_USERS\DEFAULT | Default, Default.log, Default.sav |
В Windows 98 файлам реестра присвоены имена User.dat и System.dat. В Windows Millennium Edition файлам реестра присвоены имена Classes.dat, User.dat и System.dat.
Функции безопасности в Windows позволяют администратору управлять доступом к разделам реестра.
В следующей таблице перечислены предопределенные разделы, используемые системой. Максимальная длина имени раздела: 255 символов.
Папка или предопределенный раздел | Описание |
---|---|
HKEY_CURRENT_USER | Содержит корневой каталог сведений о конфигурации для пользователя, который в настоящее время выполнил вход. Здесь хранятся папки пользователя, образец экрана и параметры панели управления. Эти сведения связаны с профилем пользователя. Этот раздел иногда сокращается как HKCU. |
HKEY_USERS | Содержит все активно загруженные профили пользователей на компьютере. HKEY_CURRENT_USER является подразделом HKEY_USERS. HKEY_USERS иногда сокращается как HKU. |
HKEY_LOCAL_MACHINE | Содержит сведения о конфигурации, относящиеся к компьютеру (для любого пользователя). Этот раздел иногда сокращается как HKLM. |
HKEY_CLASSES_ROOT | Является подразделом HKEY_LOCAL_MACHINE\Software . Хранимая здесь информация гарантирует, что при открытии файла с помощью Windows Explorer откроется правильная программа. Этот раздел иногда сокращается как HKCR. Начиная с Windows 2000, эти сведения хранятся в разделах HKEY_LOCAL_MACHINE и HKEY_CURRENT_USER. Раздел HKEY_LOCAL_MACHINE\Software\Classes содержит параметры по умолчанию, которые могут применяться ко всем пользователям на локальном компьютере. Раздел HKEY_CURRENT_USER\Software\Classes содержит параметры, которые переопределяют параметры по умолчанию и применяются только к интерактивному пользователю. Раздел HKEY_CLASSES_ROOT обеспечивает представление реестра, который объединяет сведения из этих двух источников. HKEY_CLASSES_ROOT также обеспечивает это объединенное представление для программ, предназначенных для более ранних версий Windows. Чтобы изменить параметры интерактивного пользователя, необходимо внести изменения в раздел HKEY_CURRENT_USER\Software\Classes вместо HKEY_CLASSES_ROOT. Чтобы изменить параметры по умолчанию, необходимо внести изменения в раздел HKEY_LOCAL_MACHINE\Software\Classes . Если запись разделов осуществляется в раздел реестра в разделе HKEY_CLASSES_ROOT, система сохраняет сведения в разделе HKEY_LOCAL_MACHINE\Software\Classes . Если запись значений осуществляется в раздел реестра в разделе HKEY_CLASSES_ROOT, при этом раздел реестра уже существует в разделе HKEY_CURRENT_USER\Software\Classes , система будет хранить сведения там, а не в разделе HKEY_LOCAL_MACHINE\Software\Classes . |
HKEY_CURRENT_CONFIG | Содержит сведения о профиле оборудования, используемом локальным компьютером при запуске операционной системы. |
Реестр в 64-разрядных версиях Windows XP, Windows Server 2003 и Windows Vista делится на 32-разрядные и 64-разрядные разделы. Многие 32-разрядные разделы имеют те же имена, что и 64-разрядные разделы, и наоборот. 64-разрядная версия редактора реестра по умолчанию, включенная в 64-разрядные версии Windows XP, Windows Server 2003 и Windows Vista, отображает 32-разрядные разделы под узлом HKEY_LOCAL_MACHINE\Software\WOW6432Node . Дополнительные сведения о просмотре реестра в 64-разрядных версиях Windows см. в статье Просмотр системного реестра с помощью 64-разрядных версий Windows.
В следующей таблице перечислены типы данных, которые в настоящее время определены и используются Windows. Максимальная длина имени значения выглядит следующим образом:
- Windows Server 2003, Windows XP и Windows Vista: 16 383 символа
- Windows 2000: 260 символов ANSI или 16 383 символа Юникода
- Windows Millennium Edition/Windows 98/Windows 95: 255 символов
Длинные значения (более 2048 байт) должны храниться в виде файлов с именами файлов, хранящимися в реестре. Это помогает реестру работать эффективно. Максимальный размер значения выглядит следующим образом:
- Windows NT 4.0/Windows 2000/Windows XP/Windows Server 2003/Windows Vista: доступная память
- Windows Millennium Edition/Windows 98/Windows 95: 16 300 байт
Для общего размера всех значений раздела существует ограничение в 64 КБ.
Имя | Тип данных | Описание |
---|---|---|
Двоичное значение | REG_BINARY | Необработанные двоичные данные. Большинство сведений о компонентах оборудования хранятся в виде двоичных данных и отображаются в редакторе реестра в шестнадцатеричном формате. |
Параметр DWORD | REG_DWORD | Данные, представленные числом длиной 4 байта (32-разрядное целое число). Многие параметры драйверов и служб устройств имеют этот тип и отображаются в редакторе реестра в двоичном, шестнадцатеричном или десятичном формате. Связанные значения DWORD_LITTLE_ENDIAN (младший значащий байт находится по самому младшему адресу) и REG_DWORD_BIG_ENDIAN (младший значащий байт находится по самому старшему адресу). |
Расширяемый строковый параметр | REG_EXPAND_SZ | Строка данных переменной длины. Этот тип данных включает переменные, которые разрешены при использовании данных программой или службой. |
Многострочный параметр | REG_MULTI_SZ | Несколько строк. Значения, содержащие списки или несколько значений в форме, доступной для чтения пользователями, обычно являются этим типом. Записи разделяются пробелами, запятыми или другими знаками. |
Строковый параметр | REG_SZ | Текстовая строка фиксированной длины. |
Двоичное значение | REG_RESOURCE_LIST | Ряд вложенных массивов, предназначенных для хранения списка ресурсов, используемых драйвером аппаратного устройства или одним из физических устройств, которые он контролирует. Эти данные обнаруживаются и записываются системой в дерево \ResourceMap и отображаются в редакторе реестра в шестнадцатеричном формате в виде двоичного значения. |
Двоичное значение | REG_RESOURCE_REQUIREMENTS_LIST | Ряд вложенных массивов, предназначенных для хранения списка возможных аппаратных ресурсов, используемых драйвером устройства или одного из физических устройств, которые он контролирует. Система записывает подмножество этого списка в дерево \ResourceMap. Эти данные обнаруживаются системой и отображаются в редакторе реестра в шестнадцатеричном формате в виде двоичного значения. |
Двоичное значение | REG_FULL_RESOURCE_DESCRIPTOR | Ряд вложенных массивов, предназначенных для хранения списка ресурсов, используемых физическим аппаратным устройством. Эти данные обнаруживаются и записываются системой в дерево \HardwareDescription и отображаются в редакторе реестра в шестнадцатеричном формате в виде двоичного значения. |
Нет | REG_NONE | Данные без определенного типа. Эти данные записываются в реестр системой или приложениями и отображаются в редакторе реестра в шестнадцатеричном формате в виде двоичного значения. |
Ссылка | REG_LINK | Строка Юникода, именуемая символьной ссылкой. |
Параметр QWORD | REG_QWORD | Данные, представленные числом, которое является 64-разрядным целым числом. Эти данные отображаются в редакторе реестра в виде двоичного значения и были введены в Windows 2000. |
Ссылки
Для получения дополнительных сведений посетите указанные ниже веб-сайты:
Каталог Windows Server протестированных продуктов — это справочник по продуктам, которые были протестированы на совместимость с Windows Server.
Data Protection Manager (DPM) является ключевым членом семейства продуктов управления Microsoft System Center и предназначен для помощи ИТ-специалистам в управлении средой Windows. DPM — это новый стандарт резервного копирования и восстановления Windows, который обеспечивает непрерывную защиту данных для приложений Майкрософт и файловых серверов, использующих легко интегрированный диск и ленточный носитель. Для получения дополнительной информации о том, как создать резервную копию и восстановить реестр, см. статью Сведения о резервном копировании и восстановлении реестра в Windows XP и Windows Vista.
Команда iCACLS позволяет отображать или изменять списки управления доступом ( A ccess C ontrol L ists (ACLs) ) к файлам и папкам файловой системы. Утилита iCACLS.EXE является дальнейшим усовершенствованием утилиты управления доступом CACLS.EXE.
Управление доступом к объектам файловой системы NTFS реализуется с использованием специальных записей в таблице MFT (Master File Table). Каждому файлу или папке файловой системы NTFS соответствует запись в таблице MFT, содержащая специальный дескриптор безопасности SD (Security Descriptor). Каждый дескриптор безопасности содержит два списка контроля доступа:
System Access-Control List (SACL) - системный список управления доступом .
Discretionary Access-Control List (DACL) - список управления избирательным доступом.
SACL управляется системой и используется для обеспечения аудита попыток доступа к объектам файловой системы, определяя условия при которых генерируется события безопасности. В операционных системах Windows Vista и более поздних, SACL используется еще и для реализации механизма защиты системы с использованием уровней целостности ( Integrity Level, IL).
DACL - это собственно и есть список управления доступом ACL в обычном понимании. Именно DACL формирует правила, определяющие, кому разрешить доступ к объекту, а кому - запретить.
Каждый список контроля доступа (ACL) представляет собой набор элементов (записей) контроля доступа - Access Control Entries , или ACE ) . Записи ACE бывают двух типов (разрешающий и запрещающий доступ), и содержит три поля:
SID - Security ID – уникальный идентификатор, который присваивается каждому пользователю или группе пользователей в момент их создания. Посмотреть примеры SID можно , например с помощью команды WHOAMI /ALL . Как видим, система управления доступом к объектам NTFS оперирует не именами, а идентификаторами SID. Поэтому, например нельзя восстановить доступ к файлам и папкам, существовавший для удаленного из системы пользователя, создав его заново с тем же самым именем – он получит новый SID и правила записей ACE, применяемые к старому идентификатору SID, выполняться не будут.
При определении результатов запросов на доступ к объектам файловой системы NTFS применимы следующие правила:
Для того чтобы изменить DACL объекта, пользователь (процесс) должен обладать правом записи в DACL (WRITE_DAC - WDAC). Право записи может быть разрешено или запрещено, с помощью утилиты icalc.exe , но даже если установлен запрет, все равно разрешение на запись имеется хотя бы у одного пользователя владельца файла или папки (поле Owner в дескрипторе безопасности), так как владелец всегда имеет право изменять DAC.
Варианты применения команды iCACLS:
/grant[:r] Sid:perm — предоставление указанных прав доступа пользователя. С параметром :r эти разрешения заменяют любые ранее предоставленные явные разрешения. Без параметра :r разрешения добавляются к любым ранее предоставленным явным разрешениям.
/deny Sid:perm — явный отзыв указанных прав доступа пользователя. Добавляется ACE явного отзыва для заявленных разрешений с удалением этих же разрешений в любом явном предоставлении.
/remove[:[g|:d]] Sid — удаление всех вхождений ИД безопасности в ACL. С параметром :g удаляются все вхождения предоставленных прав в этом ИД безопасности. С параметром :d удаляются все вхождения отозванных прав в этом ИД безопасности.
/setintegritylevel [(CI)(OI)]уровень — явное добавление ACE уровня целостности ко всем соответствующим файлам. Уровень задается одним из следующих значений:
Уровню могут предшествовать параметры наследования для ACE целостности, применяемые только к каталогам.
Механизм целостности Windows Vista и более поздних версий ОС, расширяет архитектуру безопасности путём определения нового типа элемента списка доступа ACE для представления уровня целостности в дескрипторе безопасности объекта (файла, папки). Новый ACE представляет уровень целостности объекта. Он содержится в системном ACL (SACL), который ранее используемом только для аудита. Уровень целостности также назначается токену безопасности в момент его инициализации. Уровень целостности в токене безопасности представляет уровень целостности (Integrity Level, IL) пользователя (процесса). Уровень целостности в токене сравнивается с уровнем целостности в дескрипторе объекта когда монитор безопасности выполняет проверку доступа. Система ограничивает права доступа в зависимости от того выше или ниже уровень целостности субъекта по отношению к объекту, а также в зависимости от флагов политики целостности в соответствующей ACE объекта. Уровни целостности (IL) представлены идентификаторами безопасности (SID), которые представляют также пользователей и группы, уровень которых закодирован в относительном идентификаторе (RID) идентификатора SID. Наиболее распространенные уровни целостности:
SID = S-1-16-4096 RID=0x1000 - уровень Low (Низкий обязательный уровень)
SID= S-1-16-8192 RID=0x2000 – уровень Medium (Средний обязательный уровень)
SID= S-1-16-12288 RID=0x3000 – уровень High (Высокий обязательный уровень)
SID= S-1-16-16384 RID=0x4000 – уровень системы (Обязательный уровень системы).
e - включение наследования
d - отключение наследования и копирование ACE
r - удаление всех унаследованных ACE
ИД безопасности могут быть в числовой форме (SID), либо в форме понятного имени (username). Если задана числовая форма, добавьте * в начало ИД безопасности, например - *S-1-1-0 . Параметры командной строки iCACLS:
/T - операция выполняется для всех соответствующих файлов и каталогов, расположенных в заданном каталоге.
/L - операция выполняется над самой символьной ссылкой, а не над ее целевым объектом.
Утилита ICACLS сохраняет канонический порядок записей ACE:
разрешение - это маска разрешения, которая может задаваться в одной из двух форм:
N - доступ отсутствует
F - полный доступ
M - доступ на изменение
RX - доступ на чтение и выполнение
R - доступ только на чтение
W - доступ только на запись
D - доступ на удаление
DE - удаление
RC - чтение
WDAC - запись DAC
WO - смена владельца
S - синхронизация
AS - доступ к безопасности системы
MA - максимально возможный
GR - общее чтение
GW - общая запись
GE - общее выполнение
GA - все общие
RD - чтение данных, перечисление содержимого папки
WD - запись данных, добавление файлов
AD - добавление данных и вложенных каталогов
REA - чтение дополнительных атрибутов
WEA - запись дополнительных атрибутов
X - выполнение файлов и обзор папок
DC - удаление вложенных объектов
RA - чтение атрибутов
WA - запись атрибутов
Права наследования могут предшествовать любой форме и применяются только к каталогам:
(OI) - наследование объектами
(CI) - наследование контейнерами
(IO) - только наследование
(NP) - запрет на распространение наследования
(I) - наследование разрешений от родительского контейнера
Примеры использования iCACLS:
icacls - запуск без ключей используется для получения краткой справки по использованию команды.
icacls C:\Users - отобразить список управления доступом для папки C:\Users. Пример отображаемой информации:
C:\Users NT AUTHORITY\система:(OI)(CI)(F)
BUILTIN\Администраторы:(OI)(CI)(F)
BUILTIN\Пользователи:(RX)
BUILTIN\Пользователи:(OI)(CI)(IO)(GR,GE)
Все:(RX)
Все:(OI)(CI)(IO)(GR,GE)
Успешно обработано 1 файлов; не удалось обработать 0 файлов
icacls c:\windows\* /save D:\win7.acl /T - сохранение ACL для всех файлов в каталоге c:\windows и его подкаталогах в ACL-файл D:\win7.acl . Сохраненные списки ACL позволят восстановить управление доступом к файлам и каталогам в исходное состояние, поэтому, прежде чем выполнять какие-либо изменения, желательно иметь файл сохраненных списков ACL.
Пример данных сохраненных списков доступа ACL:
В тех случаях, когда при выполнении команды iCACLS возникает ошибка, вызванная отказом в доступе к обрабатываемому объекту, можно продолжить выполнение команды, если задан параметр /C :
Для восстановления доступа к файлам и папкам используется параметр /restore :
icacls c:\windows\ /restore D:\win7.acl - восстановление списков контроля доступа к файлам и папкам каталога c:\windows из ранее сохраненного ACL-файла D:\win7.acl .
icacls C:\Users\user1\tmp\Myfile.doc /grant boss:(D,WDAC) - предоставление пользователю boss разрешений на удаление и запись DAC для файла C:\Users\user1\tmp\Myfile.doc .
icacls C:\Users\user1\tmp\Myfile.doc /grant *S-1-1-0:(D,WDAC) - предоставление пользователю с ИД безопасности S-1-1-0 (группа ”Все”) разрешений на удаление и запись DAC для файла C:\Users\user1\tmp\Myfile.doc . icacls C:\Users\user1\tmp\Myfile.doc /grant boss:F - предоставление пользователю boss полного доступа к файлу C:\Users\user1\tmp\Myfile.doc .
Файл с расширением .reg – является файлом реестра Windows. Это текстовый файл, созданный путём экспорта значений из реестра, а также может использоваться для добавления или изменения значений в реестре.
Использование файла реестра (REG)
Создайте файл реестра (REG), содержащий изменения реестра, а затем запустите REG-файл на компьютере, где необходимо внести изменения. REG-файл можно запустить вручную или с помощью сценария входа. Дополнительные сведения см. в разделе Как создавать, изменять или удалять подразделы и значения реестра с помощью файла реестра (REG).
Восстановление реестра
Чтобы восстановить реестр, используйте соответствующий метод.
Использование инструментария управления Windows
Инструментарий управления Windows (WMI) является компонентом операционной системы Microsoft Windows и реализацией управления предприятием через Интернет (WBEM). WBEM — это отраслевая инициатива по разработке стандартной технологии для обеспечения доступа к сведениям об управлении в корпоративной среде. WMI можно использовать для автоматизации административных задач (например, изменение реестра) в корпоративной среде. WMI можно использовать на языках сценариев, которые имеют подсистему в Windows и обрабатывают объекты Microsoft ActiveX. Вы также можете использовать программу командной строки WMI (Wmic.exe) для изменения реестра Windows.
Дополнительные сведения о WMI см. в статье Инструментарий управления Windows.
Изменение реестра
Чтобы изменить данные реестра, программа должна использовать функции реестра, определенные в разделе Функции реестра.
Администраторы могут изменять реестр с помощью редактора реестра (Regedit.exe или Regedt32.exe), групповой политики, системной политики, файлов реестра (REG) или выполнения сценариев, таких как файлы сценариев VisualBasic.
Использование средства реестра консоли для Windows
Для изменения реестра можно использовать средство реестра консоли (Reg.exe). Для получения справки по использованию средства Reg.exe введите reg /? в командной строке и нажмите кнопку ОК.
Что такое реестр Windows
Реестр Windows представляет собой иерархическую базу данных, где хранятся параметры конфигурации системы и многих приложений. Вы можете получить доступ к реестру через приложение редактора реестра в Windows.
Его интерфейс разделен на список ключей (папок) слева и значения справа. Навигация по нему очень похожа на просмотр файлов с помощью File Explorer. Выберите ключ слева, и вы увидите значения, которые содержит ключ справа.
Реестр имеет сложный набор ключей и значений, которых десятки тысяч, поэтому простой переход от ключа к ключу не особенно полезен. Скорее всего, Вы будете использовать редактор реестра, чтобы реализовать трюк с системой, который хотели бы попробовать. За эти годы мы опубликовали много таких.
Метод 2. Восстановление всего реестра
Чтобы восстановить весь реестр, восстановите состояние системы из резервной копии. Дополнительные сведения о восстановлении состояния системы из резервной копии см. в статье Использование резервной копии для защиты данных и восстановления файлов и папок на компьютере в Windows XP и Windows Vista.
При резервном копировании состояния системы также создаются обновленные копии файлов реестра в папке %SystemRoot%\Repair .
Использование редактора реестра
При неправильном изменении реестра с использованием редактора реестра или другого способа могут случиться серьезные проблемы. Для решения этих проблем может потребоваться переустановка операционной системы. Компания Microsoft не может гарантировать, что эти проблемы могут быть решены. Вносите изменения в реестр на ваш страх и риск.
Редактор реестра можно использовать для выполнения следующих действий:
- Поиск поддерева, раздела, подраздела или значения
- Добавление подраздела или значения
- Изменение значения
- Удаление подраздела или значения
- Переименование подраздела или значения
В области навигации редактора реестра отображаются папки. Каждая папка представляет предопределенный раздел на локальном компьютере. При доступе к реестру удаленного компьютера отображаются только два предопределенных раздела: HKEY_USERS и HKEY_LOCAL_MACHINE.
Дополнительная информация
Синтаксис для изменения значений реестра или разрешений с Regini:
Файлы REGINI [-m \ \ machinename]
Здесь параметр используется для изменения реестра удаленного компьютера, а файлы представляют имена файлов скриптов, содержащих изменения -m \\machinename в реестре.
Текстовый файл или файлы должны содержать изменения реестра в следующем формате.
\Registry\Hiveroot\Subkeys registrys registry value=data [permissions]
Утилита Regini работает со строками реестра ядра. При доступе к реестру в режиме User с помощью и так далее строка преобразуется в HKEY_LOCAL_MACHINE, HKEY_CURRENT_USER режиме Ядра следующим образом:
- HKEY_LOCAL_MACHINE преобразуется в \registry\machine .
- HKEY_USERS преобразуется в \registry\user .
- HKEY_CURRENT_USER преобразуется в \registry\user\user_sid , где user_sid является ID безопасности, связанный с пользователем.
- HKEY_CLASSES_ROOT преобразуется в \registry\machine\software\classes .
Например, файл скрипта для изменения значения реестра, расположенного в HKEY_LOCAL_MACHINE, на 0x00000000 будет написан DiskSpaceThreshold следующим образом.
Разрешения ключей реестра определяются двоичными номерами, разделенными пробелами, соответствующими Regini.doc, которые указывают определенные разрешения, выданные определенным группам. (Например, номер 1 указывает Администраторы . Полный контроль). Вы можете использовать утилиту Resource Kit REGDMP для получения текущих разрешений ключа реестра в двоичном формате номеров.
При использовании Regini для изменения разрешений текущие разрешения заменяются, а не редактированы.
В следующем примере скрипта показан синтаксис для изменения разрешений на ключе реестра.
Этот скрипт изменяет HKEY_LOCAL_MACHINE\Software для получения разрешений.
В Windows XP и Windows Server 2003 необходимо заключить значение в кавычках. Например, можно использовать следующий сценарий для вызова AUoptions.txt.
Дополнительные сведения см. в Regini.doc файла, включенного в набор ресурсов для конкретной системы операций.
В этой статье описывается реестр Windows и приводятся сведения о том, как его изменить и создать его резервную копию.
Применимо к: Windows 10 (все выпуски), Windows Server 2012 R2
Оригинальный номер базы знаний: 256986
Как открыть файл REG
При открытии файлов REG существует серьезный риск, если вы не знаете, откуда он происходит. Поскольку эти файлы могут изменять и удалять важную информацию, слепое открытие может сделать вашу систему нестабильной или даже неработоспособной. При этом вам может потребоваться предварительная резервная копия реестра (и вашего компьютера!).
Если вы хотите применить REG-файл к своему реестру, всё, что вам нужно сделать, это дважды щелкнуть файл. Вам будет предложено предоставить разрешение для Windows на изменение реестра.
Если вы хотите увидеть, что содержит файл REG (или даже изменить его самостоятельно), вам нужен только текстовый редактор, например «Блокнот» или «Notepad++».
Щелкните правой кнопкой мыши любой файл REG и выберите команду «Изменить», чтобы открыть файл в текстовом редакторе по умолчанию.
Если вы хотите использовать нестандартный текстовый редактор, щелкните его правой кнопкой мыши и выберите команду «Открыть с помощью».
Файл откроется в текстовом редакторе, где вы сможете читать, редактировать или удалять любые строки из файла перед слиянием его с вашим реестром.
Использование групповой политики
В консоли управления (MMC) размещены средства администрирования, которые можно использовать для администрирования сетей, компьютеров, служб и других системных компонентов. Оснастка групповой политики MMC позволяет администраторам определять параметры политики, применяемые к компьютерам или пользователям. Групповую политику можно реализовать на локальных компьютерах с помощью Gpedit.msc — локальной оснастки групповой политики MMC. Групповую политику можно реализовать в Active Directory с помощью оснастки «Пользователи и компьютеры Active Directory» MMC. Дополнительные сведения об использовании групповой политики см. в разделах справки в соответствующей оснастке групповой политики MMC.
Создание резервной копии реестра
Перед изменением реестра экспортируйте разделы в реестр, который планируется изменить, или создайте резервную копию всего реестра. В случае возникновения проблемы можно выполнить действия, описанные в разделе Восстановление реестра, чтобы восстановить реестр до предыдущего состояния. Чтобы создать резервную копию всего реестра, используйте программу резервного копирования для резервного копирования состояния системы. Состояние системы включает реестр, базу данных регистрации класса COM+ и файлы загрузки. Дополнительные сведения об использовании программы резервного копирования для резервного копирования состояния системы см. в следующих статьях:
Использование пользовательского интерфейса Windows
Мы рекомендуем использовать пользовательский интерфейс Windows для изменения параметров системы вместо изменения реестра вручную. Однако изменение реестра иногда может быть лучшим способом решения проблемы с продуктом. Если проблема задокументирована в базе знаний Майкрософт, будет доступна статья с пошаговыми инструкциями по изменению реестра для решения этой проблемы. Мы рекомендуем точно следовать этим инструкциям.
Что такое файл REG
REG-файл – это просто текстовый файл с расширением .reg. Он создаётся путём экспорта выбранных ключей из реестра. И хотя вы можете использовать его для резервного копирования реестра (особенно важно, прежде чем вносить изменения!), в большинстве случаев вы будете встречать reg-файлы в виде загружаемых файлов на тех же сайтах, которые рассказывают как «взломать реестр».
Вы можете вручную внести изменения в реестр, экспортировать эти изменения, немного очистить файл, а затем поделиться файлом с другими. Затем они могут просто дважды щелкнуть файл, чтобы внести те же изменения в свой собственный реестр.
Использование сервера сценариев Windows
На сервере сценариев Windows можно выполнять сценарии VBScript и JScript непосредственно в операционной системе. Вы можете создавать файлы VBScript и JScript, использующие методы сервера сценариев Windows для удаления, чтения и записи разделов и значений реестра. Для получения дополнительных сведений об этих методах посетите указанные ниже веб-сайты Майкрософт:
Сводка
Чтобы изменить значение реестра или разрешения реестра из командной строки или сценария, используйте Regini.exe утилиту. Утилита Regini.exe включена в набор ресурсов Windows NT Server 4.0, в набор ресурсов Microsoft Windows 2000 и в набор ресурсов Microsoft Windows Server 2003.
Утилита Regini.exe 2000 Windows более не поддерживается и недоступна для скачивания из Microsoft. Этот инструмент доступен только на оригинальном компакт-диске Microsoft Windows 2000 Resource Kit CD-ROM.
Метод 1. Восстановление подразделов реестра
Чтобы восстановить экспортированные подразделы реестра, дважды щелкните файл реестра (REG), сохраненный в разделе «Экспорт подразделов реестра». Кроме того, можно восстановить весь реестр из резервной копии. Дополнительные сведения о восстановлении всего реестра см. в приведенном ниже разделе Метод 2. Восстановление всего реестра этой статьи.
Читайте также: