Včasih je treba, da spremenite nekaj v registru (opravite poteg ali preprosto opravite spremembo, ki jo potrebujete), najprej dostopiti do veje / ključa registra. Zdi se, da to ni problem za skrbnika. Vendar je odtenek, da tudi skrbnik ne more spremeniti nekaterih vej registra Windows. Dostop do takšnih podružnic je omejen z licencami ACL, v katerih bodisi ni dovoljenj za pisanje za skupino lokalnih skrbnikov, bodisi sta TrustedInstaller ali System dodeljena lastniku takih odsekov. V tem priročniku vam bomo pokazali nekaj preprostih načinov, kako lahko skrbniku lastniške pravice in popolne pravice do tako zaščitenega registra registra..
Ne bomo upoštevali grafičnega načina spreminjanja lastnika in dodelitve pravic prek pripomočka regedit.exe ter se osredotočili na možnosti spreminjanja lastništva katerega koli registracijskega ključa in zagotavljanja dostopa iz ukazne vrstice. Vse spodaj opisane metode delujejo v vseh različicah sistema Windows.!
Vsebina:
- Pridobitev lastniških pravic do registracijskega ključa s pomočjo pripomočka SubInACL
- Sprememba lastništva in pravic do registracijskega ključa s pomočjo pripomočka SetACL
- Pridobitev lastniških pravic do registracijskega ključa z vgrajenim ukazom REGINI
- Primer uporabe
Pridobitev lastniških pravic do registracijskega ključa s pomočjo pripomočka SubInACL
Subinacl - To je Microsoftov uradni pripomoček, ki ga lahko uporabite za ogled in spreminjanje dovoljenj, podatkov o lastniku in varnosti itd. za datoteke, mape, registrske ključe, storitve itd. na oknih .
Ta pripomoček je bil napisan za Windows 2000, XP in Server 2003, vendar ga je mogoče uporabljati pri vseh novih različicah sistema Windows.
1. KORAK:
Prenesite pripomoček s Microsoftovega spletnega mesta: https://www.microsoft.com/en-us/download/details.aspx?id=23510
2. KORAK:
To je standardni namestitveni program MSI, ki kopira datoteko SubInACL.exe v mapo "C: \ programske datoteke (x86) \ kompleti virov Windows \ Orodja \" v sistemu Windows x64 in v mapo "C: \ programske datoteke \ Windows Resource Kits \ Tools \" na windows x86.
Nihče pa vas ne moti, da datoteko MSI preprosto razpakirate (na primer z uporabo 7-Zip) kjer koli, ne da bi jo morali namestiti.
3. KORAK:
Izberete lahko, kako zagnati SubInACL.exe. Od mesta namestitve (cd C: \ Program Files (x86) \ Windows Resource Kits \ Tools) ali od mesta, kjer ste ga sami razpakirali, vsaj s bliskovnega pogona 🙂. Lahko pa kopirate SubInACL.exe v mapo C: \Windows\Sistem32 in potem se bo začelo po imenu. Predlagamo, da kopirate datoteko subinacl.exe v mapo C: \ Windows \ System32 (C: \ Windows \ SysWOW64), da lahko SubInACL zaženete s katerega koli primernega mesta.
KORAK 4:
Naučimo se delati s programom SubInACL.exe. Sintaksa pripomočka (v ukazni vrstici s skrbniškimi pravicami):
SubInACL / ime / dejanje tipa
/tip: Navedite želeno vrsto predmeta. Če želite spremeniti lastnika datoteke ali mape, uporabite datoteka, in če morate spremeniti lastnika registrskega ključa, potem uporabite keyreg ali subkeyreg. Razlika med keyreg in subkeyreg je v tem keyreg spremeni lastnika samo določenega ključa in subkeyreg spremeni lastnika tega ključa in vseh podrejenih ključev.
ime: Ta parameter zamenjajte z imenom datoteke, mape ali registrskega ključa.
/ukrepanje: Ta parameter določa dejanje, ki bo izvedeno na objektu. No, ker bomo spremenili lastnika ključa in pravice do ključa, bomo uporabili /posestnik=skrbniki /dotacija=skrbniki=f kot dejanje.
Gledamo primer.
SUBINACL / keyreg "HKEY_LOCAL_MACHINE \ SOFTWARE \ Mozilla" / setowner = Administratorji / grant = Administratorji = f
Ta ukaz pomeni, da se lastnik tega ključa spremeni in skrbnik prejme popolne pravice za upravljanje tega ključa.
No, ime ključa iz primera morate preprosto zamenjati s svojim in zaženite ukaz ...
PS: Če želite pogledati vse razpoložljive sintakse, ključe in parametre ukaza SubInACL, zaženite s tako tipko Subinacl /pomočSprememba lastništva in pravic do registracijskega ključa s pomočjo pripomočka SetACL
Setacl je brezplačni pripomoček za konzolo. Prenesite program in nato zaženite potrebne ukaze.
1. KORAK:
Prenesite program SetACL: https://helgeklein.com/download/#setacl
KORAK 2:
Po prenosu odstranite ZIP datoteko in si oglejte dve različici pripomočka: za x86 in x64 različice sistema Windows. Za svojo različico sistema Windows morate uporabiti pravilen SetACL.EXE. Oglejte si, katero različico sistema Windows lahko imate v sistemskih lastnostih.
KORAK 3:
Obstajata dva načina uporabe aplikacije. Na primer, lahko pripomoček shranite v mapo E: \ SetACL, nato odprete ukazni poziv kot skrbnik in pojdite v to mapo s standardnimi ukazi ali vnesite celotno pot za zagon pripomočka, na primer E: \ SetACL \ SetACL.exe. Lahko pa kopirate SetACL.exe v sistemsko mapo C: \Windows\Sistem32 (C: \ Windows \ SysWOW64), nato lahko ukaz SetACL zaženete od kjer koli. Predlagamo, da kopirate datoteko EXE v mapo C: \ Windows \ System32 (C: \ Windows \ SysWOW64).
KORAK 4:
Zdaj, ko ste končali vse predhodne postopke, lahko zaženete SetACL:
SetACL -on ime -ot tip -actn ukrepanje
Sintaksa:
Kar je poudarjeno krepko ostaja nespremenjeno, kar je poudarjeno v poševnem tisku spremenili bomo:
-naprej: Ta parameter prikazuje celotno pot do datoteke ali registracijskega ključa, katerega lastnika želite spremeniti.
-ot: Ta parameter določa vrsto predmeta. Če spremenimo lastnika datoteke, spremenimo parameter v datoteka. Če je ključ registra, potem določite reg
-actn: Ta parameter kaže, kaj storiti. Možnosti je veliko, a ker govorimo o registrskih ključih, zlasti o spremembi lastnika ali dodelitvi drugih pravic ključu, bomo uporabili le vrednosti posestnik ali as.
Če želite bolje razumeti, kako to deluje, poglejte primer:
Predpostavimo, da želite spremeniti lastnika ključa HKEY_LOCAL_MACHINE \ SOFTWARE \ Mozilla. Če želite to narediti, moramo zagnati SetACL z naslednjimi parametri:
SetACL.exe -on "HKEY_LOCAL_MACHINE \ SOFTWARE \ Mozilla" -ot reg -actn setowner -ownr "n: Administratorji"
SetACL.exe -on "HKEY_LOCAL_MACHINE \ SOFTWARE \ Mozilla" -ot reg -actn ace -ace "n: Administratorji; p: full"
S prvim ukazom bo skupina lokalnih skrbnikov lastnik ključa, drugi pa s polnim dostopom do ključa.
Samo ključno vrednost med narekovaji ("") morate spremeniti v tisto, ki jo potrebujete.
Opomba: SetACL ima veliko parametrov, vendar o tem preberite sami (https://helgeklein.com/setacl/documentation/command-line-version-setacl-exe/).Pridobitev lastniških pravic do registracijskega ključa z vgrajenim ukazom REGINI
Ta ukaz je vključen v kateri koli Windows in ga lahko uporabimo za dodelitev dovoljenj registrskim ključem. Uporaba ukaza je zelo preprosta. Ustvarimo datoteko skripta s potrebnimi parametri in to datoteko pošljemo v obdelavo ukazu REGINI.
KORAK 1:
Odpri beležnico (Beležnica) in s to obliko vnesite ime zahtevane tipke in ACL (seznam nadzora dostopa):
Ime_klica [ACL]
Spremeni se Ključ_ime ime ključa, ki ga potrebujete, vendar preverite, ali je ime ključa pravilno, kot je prikazano spodaj:
\ Registracija \ stroj \ programska oprema \ razredi (za ključe oddelka HKEY_CLASSES_ROOT)
\ Registracija \ stroj (za ključe razdelka HKEY_LOCAL_MACHINE)
\ Registracija \ uporabnik \ user_sid (za ključe razdelka HKEY_CURRENT_USER) (nadomestite user_sid do pravilnega varnostnega ID-ja tega uporabnika)
\ Registracija \ uporabnik (za ključe oddelka HKEY_USERS)
Poglejmo na primer ključ "HKEY_LOCAL_MACHINE \ SOFTWARE \ Mozilla" in napišite skript:
\ Registracija \ stroj \ PROGRAMSKA OPREMA \ Mozilla
Zamenjaj ACL na seznam, ki ga potrebujemo:
1 | (omogočiti skrbnikom popoln dostop) | Skrbnikom omogočite popoln dostop |
2 | (omogočiti skrbnikom dostop do branja) | Skrbnikom omogočite dostop samo za branje |
3 | (omogočiti skrbnikom dostop do branja in pisanja) | Dajte skrbnikom pravico do sprememb |
4 | (omogočiti skrbnikom branje, pisanje in brisanje dostopa) | Dajte skrbnikom pravico do spreminjanja in brisanja |
5 | (zagotoviti popoln dostop ustvarjalca / lastnika) | Dovoli ustvarjalcu / lastniku popoln dostop |
6 | (omogočiti ustvarjalcu / lastniku dostop za branje in pisanje) | Dajte ustvarjalcu / lastniku dostop do sprememb |
7 | (vsem omogočiti popoln dostop) | Vsem omogočite popoln dostop |
8 | (vsem uporabnikom omogočiti dostop za branje) | Vsakemu omogočite dostop samo za branje |
9 | (vsem uporabnikom omogočiti branje in pisanje) | Dajte vsem pravico do sprememb |
10 | (vsem omogočiti branje, pisanje in brisanje dostopa) | Dajte vsem pravico do sprememb in brisanja |
17 | (zagotoviti popoln sistemski dostop) | Daj sistemu popoln dostop |
18 | (omogočiti dostop do branja in pisanja sistema) | Dajte sistemu pravico do sprememb |
19 | (omogočiti dostop do branja sistema) | Sistemu omogočite dostop samo za branje |
Zdaj [ACL] bo v skriptu nameščeno nekaj takega:
[1 6 9 17]
Kot je prikazano v tabeli, bo to omogočilo popoln dostop skrbnikom in sistemom, pa tudi pravico do spremembe ustvarjalca ključev in vsega drugega.
Končna vrstica bo videti tako:
\ Registracija \ stroj \ HKEY_LOCAL_MACHINE \ SOFTWARE \ Mozilla [1 6 9 17]
Uporabite lahko poljubne kombinacije ACL, kot jih potrebujete.
Opomba: Ne pozabite, da bodo obstoječa dovoljenja za ključ, določena v skriptu, zamenjana z novimi. Ne pozabite v skript vključiti dovoljenja za vse račune. Če pozabite odobriti dovoljenja za račun SYSTEM, bo ta račun odstranjen s seznama dostopa.KORAK 2:
Skript shranimo pod imenom ACL.TXT in nato kot skrbnik odpremo ukazno vrstico in zaženemo naš ukaz:
REGINI full_path_of_script_file
Ali pa bo v našem primeru videti tako
REGINI c: \ namestite \ acl.txt
In to je vse. Dovoljenja bodo takoj spremenjena..
No, nekaj takega. Metoda 1 je najučinkovitejša in deluje na 100%.
Primer uporabe
Zagnati je bilo treba oddaljeni gostitelj namizja, da bi skupini razvijalcev omogočili skupni dostop do strežnika za konfiguriranje določenih aplikacij in baze podatkov. V prihodnosti ni bilo načrtovano omogočiti oddaljenega dostopa do tega strežnika. Obstajalo je več kot 2 razvijalca in vsi so želeli delati hkrati. In zaobljubil, da bom končal v manj kot 4 mesecih.
Ne prej kot rečeno kot storjeno. Dvižni namizni gostitelj v operacijskem sistemu Windows 2012 R2 je bil dvignjen in začeli smo uporabljati 120-dnevno brezplačno obdobje. Toda ... 4 mesece ni bilo dovolj (kot vedno). Za TS nisem hotel uporabiti zakonskega ključa, saj je delo začasno, kot sem že rekel. Moral sem ... izkoristiti znanje, ki ste ga pravkar dobili.
Tukaj se nahaja ključ registra, ki je odgovoren za štetje 120-dnevnega obdobja milosti:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ RCM \ GracePeriod
Skupina skrbnikov ima dostop do tega ključa samo za branje..
Uporabljena je bila metoda 1. Tako rečeno, Microsoft je sam kaznoval :)
SUBINACL / keyreg "HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ RCM \ GracePeriod" / setowner = administratorji / grant = administratorji = f
Spremenil je lastnika in omogočil popoln dostop skrbnikom
Nadaljnje lažje.
Izbrišite vsebino te tipke
reg delete "HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ RCM \ GracePeriod" / va / f
In po ponovnem zagonu dobimo…. Prav! 120 dni novega brezplačnega obdobja.
Ta ukaz lahko na primer izvedete kot skript in ga zaženete vsakih 115 dni, kot je predvideno.
Če ga želite uporabljati ali ne, je odvisno od vas, ob posvetovanju s svojo vestjo in krastačo 🙂