Установка разрешений для реестра



Как настроить права на доступ пользователей к реестру в Windows

Как настроить права на доступ пользователей к реестру в Windows

В некоторых ситуациях может быть очень полезно задать различные разрешения на доступ к отдельным разделам реестра (и всем подразделам) для различных пользователей, например, чтобы запретить определенному пользователю доступ к определенному разделу. Делается это через стандартный редактор реестра — regedit.

Настраиваем права доступа к реестру

Для примера мы возьмем стандартный раздел HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run , именно сюда можно вносить программы, которые будут запускаться при входе текущего пользователя в ОС Windows. Предположим, что мы хотим запретить текущему пользователю вносить новые записи в данный раздел.

Запускаем редактор реестра regedit и открываем в нем указанный раздел.

После этого нажимаем на пункт «Правка» и «Разрешения. »

Откроется окно с текущими группами и пользователями, имеющими доступ к данному разделу и с настройками ограничений для данного раздела, выглядит оно как на скриншоте ниже:

В данном примере мы вошли в систему под пользователем Admin, поэтому именно для него мы и будем ограничивать доступ к данному разделу. Для этого, мы выделяем мышкой нашего пользователя Admin и нажимаем на кнопку «Дополнительно«.

После чего откроется меню с текущими разрешениями для пользователей и возможностью их изменения. Там мы выделяем нашего пользователя «Admin» и нажимаем на кнопку «Изменить. «

И выставляем галочку в колонке «Запретить» у пункта «Задание значения«, после чего жмем на кнопку «ОК«.

Теперь, мы видим что в дополнительных параметрах безопасности для раздела Run появилось новое значение запретить для пользователя Admin. Чтобы новые настройки доступа применились, необходимо нажать на кнопку «ОК«

Будет выведено информационное сообщение, объясняющее, что у элемента разрешений «Запретить» приоритет выше, чем у других, жмем на кнопку «Да«.

После этого наш пользователь Admin больше не имеет прав на задание значений для данного раздела (и всех его подразделов).

Теперь проверяем, что все работает как должно. Для этого попытаемся задать новый параметр через regedit:

Источник

Как получить полный доступ к разделу реестра через реестр или командную строку?

Получение полного доступа к разделу реестра, используя программу regedit или командную строку.

Изменение разрешений и владельца для получения полного доступа к разделу реестра.

  1. Нажмите кнопку Пуск и введите в строке поиска regedit
  2. Щелкните на найденном правой кнопкой мыши и выберите пункт Запуск от имени администратора.
  3. Откройте раздел реестра, права которого Вы желаете изменить.
  4. В списке слева, щелкните на данном разделе реестра правой кнопкой мыши и выберите пункт Разрешения.
  5. Щелкните левой кнопкой мыши на группу Администраторы (Administrators):
  6. Установите флажок в колонке Разрешить напротив разрешения Полный доступ и нажмите кнопку ОК.
  7. Если флажок недоступен или Вы видите сообщение об ошибке, то нажмите кнопку Дополнительно и перейдите на вкладку Владелец.
  8. Щелкните левой кнопкой мыши на свою учетную запись, установите флажок Заменить владельца подконтейнеров и объектов и нажмите кнопку ОК.
  9. Выделите группу Администраторы (Administrators), установите флажок Полный доступ и нажмите кнопку ОК.
  10. Если у Вас отсутствует группа Администраторы (Administrators), то нажмите поочередно кнопки Добавить… → Дополнительно… → Поиск
  11. В результатах поиска выберите Администраторы (Administrators) и нажмите кнопку OK, и еще раз ОК.
  12. Щелкните левой кнопкой мыши на группу Администраторы (Administrators) и установите флажок в колонке Разрешить напротив разрешения Полный доступ и нажмите кнопку ОК.
Читайте также:  Мицубиси аутлендер круиз контроль установка

Восстановление настроек, если владельцем являлись служба TrustedInstaller или учетная запись Система.

  1. Щелкните правой кнопкой мыши на разделе реестра, права которого Вы желаете восстановить и выберите пункт Разрешения.
  2. Щелкните левой кнопкой мыши на группу Администраторы:
  3. Снимите флажок в колонке Разрешить напротив разрешения Полный доступ и нажмите кнопку Применить.
  4. Нажмите кнопку Дополнительно и перейдите на вкладку Владелец.
  5. Нажмите кнопку Другие пользователи или группы… и в качестве имени объекта в текстовом поле введите:
  • NT SERVICE\TrustedInstaller , если владельцем являлась служба TrustedInstaller
  • система , если владельцем являлась учетная запись Система (в английской Windows 7 нужно вводить System)

6.В окне Изменить владельца на: выберите TrustedInstaller или система .
7. Установите флажок Заменить владельца подконтейнеров и объектов и нажмите кнопку ОК.

А теперь рассмотрим как можно изменить разрешения, используя командную строку запущенную от имени администратора.
Если после использовании команды, разрешения не сменятся, то возможно Вам придется зайти в систему под встроенной учётной записью «Администратор» для их выполнения заново.

Изменение разрешений используя командную строку.

  1. Создайте в любом месте txt-файл (Например в папке D:\Reg создайте файл regperm.txt)
  2. Добавьте в данный файл разделы реестра и присваиваемые им разрешения в следующем формате: \Registry\куст\раздел [разрешения]

где куст – имя куста реестра, раздел – имя раздела реестра, а [разрешения] – двоичный числовой формат разрешений.

Обозначения используемые для кустов реестра:

Наименование куста реестра Следует указывать
HKEY_CLASSES_ROOT \Registry\machine\software\classes
HKEY_CURRENT_USER \Registry\users\user_sid
где user_sid — идентификатор безопасности пользователя.
HKEY_LOCAL_MACHINE \Registry\machine
HKEY_USERS \Registry\users
HKEY_CURRENT_CONFIG \Registry\machine\SYSTEM\CurrentControlSet\Hardware Profiles\0001

Если Вы не знаете свой SID, то узнать его Вы сможете введя в командной строке команду: whoami /user

Двоичные числовые представления разрешений имеют следующий вид (выборочно):

Значение Задаваемое разрешение
1 Администратор, полный доступ
2 Администратор, чтение
3 Администратор, чтение и запись
4 Администратор, чтение, запись и удаление
5 СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ, полный доступ
6 СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ, чтение и запись
7 Все, полный доступ
8 Все, чтение
9 Все, чтение и запись
10 Все, чтение, запись и удаление
11 Опытные пользователи, полный доступ
12 Опытные пользователи, чтение и запись
13 Опытные пользователи, чтение, запись и удаление
17 Система, полный доступ
18 Система, чтение и запись
19 Система, чтение

Чтобы задать полный доступ группам и пользователям Администратор, СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ и Система для раздела реестра:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer в txt-файл необходимо добавить

\Registry\user\S-1-5-21-2624363243-3215778383-3226633259-500\Software\Microsoft\Windows\CurrentVersion\Explorer [1 5 17]

3. Запустите командную строку от имени администратора.
4. Введите указанную команду и нажмите Enter ↵ : regini Ваш_файл

regini «D:\Reg\regperm.txt»

Примечание! Для поддержания безопасности системы, после внесения изменений в реестр верните исходные права и восстановите владельца.

Источник

Как стать владельцем раздела реестра и получить права полного доступа

В этой статье показаны действия, с помощью которых можно стать владельцем раздела реестра и получить права полного доступа, а также как вернуть исходные права и восстановить исходного владельца.

Некоторые разделы системного реестра Windows не доступны для редактирования, даже если ваша учётная запись относится к группе «Администраторы». Это обычно происходит из-за того что у группы «Администраторы» нет соответствующих разрешений (прав) на запись в этот раздел реестра.

Есть несколько причин, почему вы не можете редактировать раздел реестра:

  1. Группа «Администраторы» является владельцем раздела, но не имеет полных прав на него. В этом случае достаточно просто выдать группе «Администраторы» полные права.
  2. Владельцем раздела является системная служба TrustedInstaller . В этом случае нужно сначала стать владельцем раздела, а затем выдать своей группе полные права, как раз в этой статье и будет рассмотрен такой пример.
  3. Владельцем раздела является системная учетная запись «Система». В этом случае действия будут такими же, как и с TrustedInstaller .
Читайте также:  Установка адаптера для датчиков давления масла

Далее в статье будет описано, как внести изменения в реестр при отсутствии соответствующих разрешений, а также как восстановить исходные разрешения, и для чего это нужно делать. Перед тем как редактировать системный реестр, рекомендуется создать точку восстановления системы

При изменении какого-либо параметра в реестре, если у вас недостаточно прав, то вы получите сообщение об ошибке.

► Рассмотрим первый пример, когда группа «Администраторы» является владельцем раздела, но не имеет полных прав на него.

Щелкните правой кнопкой мыши на разделе реестра и выберите из меню пункт Разрешения..

Выделите группу «Администраторы»:

Если доступен флажок Полный доступ, установите его и нажмите кнопку ОК . Этого может оказаться достаточно, если группа является владельцем раздела.

Если флажок недоступен или вы видите сообщение об ошибке как на скриншоте ниже, то переходим к второму примеру.

► Второй пример, когда владельцем раздела является системная служба TrustedInstaller .

В окне Разрешения для группы нажмите кнопку Дополнительно .

В следующем окне Дополнительные параметры безопасности нажмите ссылку Изменить вверху окна, и в появившемся диалоговом окне Выбор: «Пользователь» или «Группа» введите имя локальной учетной записи или адрес электронной почты учетной записи Microsoft, проверьте имя и нажмите кнопку ОК .

Установите флажок Заменить владельца подконтейнеров и объектов вверху окна и нажмите кнопку ОК .

Выделите группу «Администраторы», установите флажок Полный доступ, нажмите кнопку OK .

Теперь у вас есть полный доступ к разделу реестра и можно редактировать все его параметры.

► Третий пример, когда владельцем раздела является системная учетная запись «Система». В этом случае действия будут такими же, как и с TrustedInstaller .

Возвращение исходных прав и восстановление владельца

В целях безопасности системы, после редактирования необходимых параметров раздела реестра, нужно возвратить исходные права доступа и восстановить в качестве владельца раздела системную учётную запись TrustedInstaller .

Щелкните правой кнопкой мыши на разделе реестра и выберите из меню пункт Разрешения. В окне Разрешения для группы нажмите кнопку Дополнительно .

В следующем окне Дополнительные параметры безопасности нажмите ссылку Изменить вверху окна, и в появившемся диалоговом окне Выбор: «Пользователь» или «Группа» введите имя учетной записи:

Нажмите кнопку OK .

Далее установите флажок Заменить владельца подконтейнеров и объектов вверху окна и нажмите кнопку ОК .

В окне Разрешения для группы выделите группу «Администраторы», снимите флажок Полный доступ, нажмите кнопку OK .

Исходные права и владелец раздела реестра восстановлены.

Если владельцем раздела являлась учетная запись Система (в английской варианте System ), то вместо NT Service\\TrustedInstaller введите Система (в английской варианте System ).

Данная инструкция применима для операционных систем Windows 8, Windows 8.1, Windows 10.

Источник

Как получить полный доступ к разделу реестра

Напечатать страницу

В некоторые разделы реестра Windows 7 изменения не может внести даже администратор, работающий в редакторе реестра, который запущен с полными правами. Это происходит потому, что у группы «Администраторы» нет прав на запись в этот раздел реестра. Причин для этого может быть три:

    • Группа «Администраторы» является владельцем раздела, но не имеет полных прав на него. В этом случае достаточно просто выдать группе «Администраторы» полные права.
    • Владельцем раздела является системная служба TrustedInstaller. Эта служба работает в рамках комплекса по укреплению безопасности операционной системы, но для любителей «поковырять» реестр она представляет собой досадную помеху на пути к цели. В этом случае нужно сначала стать владельцем раздела, а затем выдать своей группе полные права.
    • Владельцем раздела является системная учетная запись «Система». В этом случае можно поступить так же, как и с TrustedInstaller, но я также расскажу, как использовать другой способ, не связанный с изменениями разрешений.

    Нет прав на изменения записи

    Далее я покажу, как внести изменения в реестр при недостатке прав. Я также объясню, как восстановить исходные разрешения, и почему это нужно делать

    Получение полных прав и смена владельца

    Я полагаю, что в редакторе реестра у вас уже открыт нужный раздел.

      1. Щелкните правой кнопкой мыши на разделе реестра и выберите из меню пункт Разрешения.
      2. Выделите группу «Администраторы»:
        • Если доступен флажок Полный доступ, установите его и нажмите кнопку ОК. Этого может оказаться достаточно, если группа является владельцем раздела

      Получение прав

          • Если флажок недоступен или вы видите сообщение об ошибке, переходите к пункту 3.
        1. Нажмите кнопку Дополнительно и перейдите на вкладку Владелец.
        2. Здесь я рекомендую различный подход в зависимости от владельца раздела.
          • Если владельцем является TrustedInstaller, выделите свою учетную запись, установите флажок Заменить владельца подконтейнеров и объектов и нажмите кнопку ОК.

        Смена владельца

          • Если владельцем является Система, можно поступить так же

        Теперь ничто не препятствует записи в этот раздел реестра. Однако я рекомендую восстановить права, когда вы закончите редактирование раздела

        Возвращение исходных прав и восстановление владельца

        После внесения изменений в реестр я советую вернуть исходные права и восстановить владельца, чтобы не снижать безопасность системы. Кроме того, на форум не раз обращались за помощью люди, у которых правильная работа системы нарушалась после того, как у системной учетной записи TrustedInstaller было отобрано владение.

        1. Щелкните правой кнопкой мыши на разделе реестра и выберите из меню пункт Разрешения.
        2. Выделите группу «Администраторы», снимите флажок Полный доступ и нажмите кнопку Применить.

        Возврат прав

        • NT Service\TrustedInstaller, если владельцем являлась учетная запись TrustedInstaller
        • система, если владельцем являлась учетная запись Система (в английской ОС нужно вводить System)
        • Нажмите кнопку ОК.

        Изменение прав

        Изменение прав

        Исходные права и владелец раздела реестра восстановлены.

        Внесение изменений в реестр от имени учетной записи «Система»

        Если владельцем раздела реестра является специальная учетная запись «Система», существует способ внести изменения в раздел, не изменяя владельца и разрешений. Для этого используется утилита PsExec, входящая в набор утилит Марка Руссиновича PsTools. Суть способа сводится к запуску редактора реестра от имени системы.

        1. Загрузите набор PsTools и распакуйте утилиту PsExec в папку Windows, чтобы не указывать к ней путь в командной строке.
        2. Откройте командную строку от имени администратора и выполните команду:

        psexec -i -s regedit

        Запустится редактор реестра, причем от имени системы, что задается параметром — s.

        Запуск редактора реестра

        В этом легко убедиться с помощью другой утилиты Марка Руссиновича – Process Explorer. В свойствах процесса видно, от чьего имени он запущен.

        Проверка владельца

        Теперь вы можете вносить изменения в разделы реестра, владельцем которых является учетная запись «Система».

        К сожалению, я не нашел способа запустить редактор реестра от имени TrustedInstaller.

        Источник

Adblock
detector