Как дать права на ветку реестра

Главная / Как дать права на ветку реестра

Еще один начитался дурных советов из дурнета
Тебе повезет если ты найдешь другой, близкий по настройкам, компьютер и ветку за веткой будешь восстанавливать права, а их ужас как много.
Можно еще попробовать запустить установку в режиме восстановления, если конечно это применимо к Windows 2008, может это поможет восстановить нужные права.

Надо было давать права не на всю секцию HKEY_CLASSES_ROOT, а только на конкретные нужные ветки и то с бекапом реестра.

Я не могу дать доступ, мне отказано в доступе. Работаю под Администратором.
Чего можно сделать ?

Других решений, кроме выше изложеных я не знаю, а что вообще не дать, даже на корень?

Кстати ты особо на Администратора не расчитывай, в 2008 это вообще-то это довольно бесправный пользователь
Кроме попытки восстановить еще можно установить сервер с нуля, но боюсь, что это будет очень больно. Особенно если инсталяция экономная.

Откуда:
Сообщений: 309

Откуда:
Сообщений: 62926

Если не обращать внимания на безопасность, то
Сначала надо сделать администратора владельцем, естественно с наследованием по всей цепочки, потом аналогично сделать Полный доступ с наследованием по цепочке.

Возможно тогда получишь полные права, даже туда куда не нужно.

Особая надежда на Владельца.

Но это 2008 — возможно это не поможет, из-за виртуальных веток, но тогда надо проходить по нужным веткам, повторяя выше описаную последовательность.

Правой кнопкой по ветке и вроде пункт Права. Но придется так назначать возможно несколько десятков тысяч веток, спускаясь по ветке сверху вниз. При том дважды — сначала меняя владельца, потом меняя права. И не знаю как себя это поведет с виртуальными ветками. Поэтому не вариант. Лучше рассматривай вариант с восстановлением Виндос или даже с полностью чистой установкой.

Я тоже писал, что надо спускать по цепочке вниз, начиная с той ветки где есть права и возможность изменения. И менять владельца, после этого менять права. Не забывая про виртуализацию, про это тоже писал.

Да и разговор у нас какой то беспредметный, без указания веток, текущих прав и владельцев, и результатов изменения это по всей цепочке. Кроме фантазирования ничем помочь нельзя. Да и интерес к теме постоянно при такой ситуации все уменьшается и уменьшается. Тут хватает других нормальных тем, где можно нормально пообщаться.

www.sql.ru

Как дать права на ветку реестра

Доброго времени суток всем гуру!

В компании последнее время наблюдается такая проблема: юзеры хватают злополучный банер «Trololo» 🙂 (блочит рабочий стол картинками непристойного содержания).

Собственно бороться с ним достаточно просто, если это разовая акция (убить процесс самой программы, рестарнуть процесс explorer-а, удалить ключ автозапуска из указанной в теме поста ветки и почистить темпы).

Проблема в том, что в компании используется антивирус зарубежного производства, в связи с чем сигнатуры этой «отечественной разработки» попадают с опозданием — троян постоянно модифицируется, но у него всегда единая точка входа — он прописывает ссылку на исполняемый файл в ветку HKCU\software\microsoft\windows\currentversion\run для автозапуска.

Собственно проанализоровав, пришёл к выводу, что пользователю незачем иметь права на запись в оноую. В связи с чем столкнулся со следующей проблеммой: как на этой ветке отобрать права на запись у пользователей? В gpmc назначение какой-либо политики на ветку HKCU невозможно, т.к. эта ветка создается для каждого пользователя при первом логине живет она на самом деле в HKU\

Насколько я понял, шаблон для этой ветки со всем разрешениями берётся из локального Default User’s Profile (по умолчанию C:\Documents and Settings\Default User\NTUSER.DAT) Так ли это? (сначала думал, что HKU\.default и есть дефолотовые настройки для профиля пользователей).

Если так, то вопрос следующий: как сделать так, чтобы пользователю данная ветка создавалась с заранее установленными разрешениями и где их нужно устанавливать: в политике реестра или же в политике профилей пользователей?

С недавнего появилась проблема с IE. Не хочет сохранять файлы из интернета. На разных версиях эксплорера и на разных ОС: как на ХР так и на 7-ке. Лечится тем что даю все права пользователю на ветку реестра HKEY_USERS\ _Classes\CLSID.

Вопрос мой такой — можно ли как то назначать права логон-скриптом или как ни будь через групповые политики?

А то сейчас приходится пользователям давать админа назначать права и забирать права.

Самое простое скачать утилиту SetAcl и по запросу от пользователя, зная его компьютер. Для Windows 7 можно обойтись без данной утилиты, т.к. через WMI доступны методы (Get/Set)SecurityDescriptor , но вот с Windows Xp самой простой способ использования утилиты.

  • Помечено в качестве ответа Vector BCO Moderator 17 ноября 2015 г. 7:09
  • Изменено Kazun Editor 17 ноября 2015 г. 7:26
  • Помечено в качестве ответа Igor3000 17 ноября 2015 г. 8:55
  • Test-Connection можно добавить, а вот с проверкой хуже, т.к. у утилиты плохо с Unicode выводом, да и особого смысла нет. Следует запускать на проблемных пк, а не на всех подряд.

  • Изменено Kazun Editor 17 ноября 2015 г. 8:34 check acl
  • Все ответы

    дать то права можно, но что то мне кажется что это не решение а костыль

    когда «Не хочет сохранять файлы из интернета» как это выглядит. что фиксируется в журнале?

  • Изменено Vector BCO Moderator 5 ноября 2015 г. 10:10
  • В том то и дело что в логах ничего нет! Я и выловил это только регмонитором.

    И всё таки — кто ни будь знает как это побороть или как скриптом это сделать?

    Что конкретно происходит?
    Вот вы нажали на линк, он предложил сохранить/не предложил, или ссылка не открывается в принципе, или что?

    У всех или у одного юзера? Конкретику в студию!

    При нажатии на ссылку в низу экрана появляется стандартное окно эксплорера где он предлагает либо сохранить либо запустить. Если выбрать сохранить — он выдаёт ошибку «невозможно загрузить файл».

    Если выбрать открыть — происходит тоже самое. Лечится раздачей прав на ветку реестра. Вот я и спрашую как дать права на эту ветку конкретно залогининому сейчас пользователю

    пош практически все умеет, но тут вопрос не в этом

    пользователь без админ полномочий не сможет стать владельцем дать себе гранты

    В Ветку пользователей можно легко попасть

    The opinion expressed by me is not an official position of Microsoft

  • Создаем провайдер реестра.
  • Забираем желаемое описание прав объекта.
  • Описываем новые права доступа.
  • Применяем к переменной.
  • Устанавливаем права.
  • Спасибо за ответ!

    Но загвоздка в том что права необходимо назначать пользователю который в данный момент залогинен.

    То есть заранее sid не известен.

    Как в таком случае быть.

  • Изменено Kazun Editor 17 ноября 2015 г. 6:29
  • Выводит вот что:

    New-Object : Constructor not found. Cannot find an appropriate constructor for type System.Security.Principal.NTAccount.
    At line:6 char:14
    + $objUser = New-Object System.Security.Principal.NTAccount($user.UserName)
    +

    + CategoryInfo : ObjectNotFound: (:) [New-Object], PSArgumentException
    + FullyQualifiedErrorId : CannotFindAppropriateCtor,Microsoft.PowerShell.Commands.NewObjectCommand

    You cannot call a method on a null-valued expression.
    At line:7 char:3
    + $SID = $objUser.Translate([System.Security.Principal.SecurityIdentifier]).Valu .
    +

    + CategoryInfo : InvalidOperation: (:) [], RuntimeException
    + FullyQualifiedErrorId : InvokeMethodOnNull

    social.technet.microsoft.com

    Как получить полный доступ к разделу реестра

    Содержание

    Причины отсутствия доступа к реестру

    В некоторые разделы реестра Windows 7 изменения не может внести даже администратор, работающий в редакторе реестра, который запущен с полными правами. Это происходит потому, что у группы «Администраторы» нет прав на запись в этот раздел реестра. Причин для этого может быть три:

    • Группа «Администраторы» является владельцем раздела, но не имеет полных прав на него. В этом случае достаточно просто выдать группе «Администраторы» полные права.
    • Владельцем раздела является системная служба TrustedInstaller. Эта служба работает в рамках комплекса по укреплению безопасности операционной системы, но для любителей «поковырять» реестр она представляет собой досадную помеху на пути к цели. В этом случае нужно сначала стать владельцем раздела, а затем выдать своей группе полные права.
    • Владельцем раздела является системная учетная запись «Система». В этом случае можно поступить так же, как и с TrustedInstaller, но я также расскажу, как использовать другой способ, не связанный с изменениями разрешений.
    • Далее я покажу, как внести изменения в реестр при недостатке прав. Я также объясню, как восстановить исходные разрешения, и почему это нужно делать

      Получение полных прав и смена владельца

      Я полагаю, что в редакторе реестра у вас уже открыт нужный раздел.

      1. Щелкните правой кнопкой мыши на разделе реестра и выберите из меню пункт Разрешения.
      2. Выделите группу «Администраторы»:
        • Если доступен флажок Полный доступ, установите его и нажмите кнопку ОК. Этого может оказаться достаточно, если группа является владельцем раздела

        • Если флажок недоступен или вы видите сообщение об ошибке, переходите к пункту 3.
        • Нажмите кнопку Дополнительно и перейдите на вкладку Владелец.
        • Здесь я рекомендую различный подход в зависимости от владельца раздела.
          • Если владельцем является TrustedInstaller, выделите свою учетную запись, установите флажок Заменить владельца подконтейнеров и объектов и нажмите кнопку ОК.
          • Если владельцем является Система, можно поступить так же
          • Теперь ничто не препятствует записи в этот раздел реестра. Однако я рекомендую восстановить права, когда вы закончите редактирование раздела

            Возвращение исходных прав и восстановление владельца

            После внесения изменений в реестр я советую вернуть исходные права и восстановить владельца, чтобы не снижать безопасность системы. Кроме того, на форум не раз обращались за помощью люди, у которых правильная работа системы нарушалась после того, как у системной учетной записи TrustedInstaller было отобрано владение.

          • Щелкните правой кнопкой мыши на разделе реестра и выберите из меню пункт Разрешения.
          • Выделите группу «Администраторы», снимите флажок Полный доступ и нажмите кнопку Применить.

    • Нажмите кнопку Дополнительно и перейдите на вкладку Владелец. Вы увидите, что в отличие от вашей учетной записи, в списке нет служебных учетных записей Система и TrustedInstaller. Их нужно добавлять в список, как описано ниже.
    • Нажмите кнопку Другие пользователи и группы и в качестве имени объекта введите:
      • NT Service\TrustedInstaller, если владельцем являлась учетная запись TrustedInstaller
      • система, если владельцем являлась учетная запись Система (в английской ОС нужно вводить System)
      • Нажмите кнопку ОК.

      Теперь нужная учетная запись есть в списке. Выделите ее, установите флажок Заменить владельца подконтейнеров и объектов и нажмите кнопку ОК.

      Исходные права и владелец раздела реестра восстановлены.

      Внесение изменений в реестр от имени учетной записи «Система»

      Если владельцем раздела реестра является специальная учетная запись «Система», существует способ внести изменения в раздел, не изменяя владельца и разрешений. Для этого используется утилита PsExec, входящая в набор утилит Марка Руссиновича PsTools. Суть способа сводится к запуску редактора реестра от имени системы.

    • Загрузите набор PsTools и распакуйте утилиту PsExec в папку Windows, чтобы не указывать к ней путь в командной строке.
    • Откройте командную строку от имени администратора и выполните команду:

      psexec -i -s regedit

      Запустится редактор реестра, причем от имени системы, что задается параметром — s.

      В этом легко убедиться с помощью другой утилиты Марка Руссиновича – Process Explorer. В свойствах процесса видно, от чьего имени он запущен.

      Теперь вы можете вносить изменения в разделы реестра, владельцем которых является учетная запись «Система».

      К сожалению, я не нашел способа запустить редактор реестра от имени TrustedInstaller.

      www.windxp.com.ru

      Пермь — Teron.ru

      ORACLE под Пользователем домена

      Adv 09.02.2006 — 12:52

      Пользователю выдаются права «Пользователя домена».
      Потом на локальную машину производится вход под Администратором домена, и даются полные права в безопасности для Пользователя домена на 3 папки. Docements and Settings, Program Files, WinNT.
      Потом вхожу на комп под Юзером с правами Пользователя домена и пробую поставить ORACLE. Выходит ошибка «Не могу модифицировать реестр, нехватает прав, продолжение установки невозможно» (вольный перевод, но смыст отображает)

      Вопрос! Где включить для группы «Пользователи домена» полные права на локальный реестр! Заранее спасибо!

      АПГrade 09.02.2006 — 21:19

      RAK123 10.02.2006 — 10:33

      vsmith 10.02.2006 — 12:35

      Устанавливается Win 2000 Prov, загоняется в домен под Win 2000 Server.

      teron.ru

      Смотрите так же:

      • Разрешение macbook air 13 MacBook Air — уже не тот. Выбираем современную мощную альтернативу Самый дешевый из «МакБуков» — MacBook Air 13. Он обновился в 2017 году, но уже сейчас морально устарел. К тому же, продолжения, говорят, уже не будет. Поэтому мы попытаемся найти Windows-альтернативу за те же […]
      • Реестр стрелки ярлыков Как убрать стрелки с ярлыков Windows Приветствую Вас на своем блоге! Чтобы сделать рабочий стол своего компьютера более красивым, можно изменить внешний вид ярлыков на рабочем столе. Прочитав эту статью, вы узнаете,как убрать стрелки с ярлыков на рабочем столе Windows. Убрать стрелки с […]
      • Ошибки реестра операционной системы Оптимизация Windows с помощью CCleaner (Часть 2). Исправление проблем реестра Windows Снова здравствуйте! Это вторая статья из серии «Оптимизация Windows с помощью CCleaner». Первую часть можно найти здесь. Сегодня, продолжая серию статей о возможностях CCleaner’а, я расскажу о еще одной […]
      • Как удалить аваст с реестра полностью Как правильно удалить остатки avast free antivirus internet security с реестра в windows 7 Прошло время ваша программа avast начала вас не устраивать. Причин для этого много, а вот как удалить полностью антивирус аваст с компьютера или ноутбука известно не всем. Старый версии alwil […]
      • Путь реестра на explorer Internet Explorer и папка временных файлов интернета Temporary Internet Files В Windows XP временные файлы хранятся в: %USERPROFILE%\Local Settings\Temporary Internet Files В Windows 7: %USERPROFILE%\AppData\Local\Microsoft\Windows\Temporary Internet Files Кэш Internet Explorer в Windows […]
      • Александр васильев английский правила произношения Александр Васильев "Английский: правила произношения и чтения, грамматика, разговорный язык" Примечание : Для правильного отображения знаков ОБЯЗАТЕЛЬНО добавьте в свою папку 'Шрифты' шрифт фонетической транскрипции Phonetic TM ( скачать здесь) и перезагрузите компьютер! Шрифт […]
      • Написать в реестре мЙЮОЩЕ ЪБРЙУЙ Linux, РТПЗТБННЩ - РТПВМЕНЩ Й ТЕЫЕОЙС ъБРХУЛ тЕДБЛФПТБ ТЕЕУФТБ, УПЪДБОЙЕ Й РТЙНЕОЕОЙЕ reg-ЖБКМБ ъБРХУЛ тЕДБЛФПТБ тЕЕУФТБ: 1.1) пФЛТПКФЕ НЕОА рХУЛ -> чУЕ РТПЗТБННЩ -> уФБОДБТФОЩЕ -> чЩРПМОЙФШ (ЙМЙ ОБЦНЙФЕ УПЮЕФБОЙЕ ЛМБЧЙЫ Win+R) 1.2) чЧЕДЙФЕ ЛПНБОДХ regedit Й ОБЦНЙФЕ […]
      • Контейнер в реестре Контейнер в реестре Иногда случается так что необходимо перенести клиент-банк или другое разнообразное бухгалтерское и не очень ПО с одного компьютера на другой. В том случае когда в качестве криптопровайдера выступает СКЗИ Крипто-ПРО обычно проблем не возникает — СКЗИ имеет штатные […]