Időnként annak érdekében, hogy megváltoztasson valamit a beállításjegyzékben (végezzen egy csípést, vagy csak elvégezze a szükséges változtatást), először meg kell férnie a beállításjegyzék ágához / kulcsához. Úgy tűnik, hogy ez nem jelent problémát az adminisztrátor számára. De az árnyalata az, hogy még a rendszergazda sem tudja módosítani a Windows beállításjegyzék egyes ágait. Az ilyen fiókokhoz való hozzáférést az ACL korlátozza, amelyekben vagy nincs írási engedély a helyi rendszergazdák számára, vagy a TrustedInstaller vagy a System az ilyen szakaszok tulajdonosai. Ebben az útmutatóban néhány egyszerű módszert mutatunk be, amellyel az adminisztrátorok tulajdonosainak jogait és az így védett rendszerleíró kulcsot teljes jogokkal ruházhatja fel..
Nem vesszük figyelembe a grafikus módszert a tulajdonos megváltoztatására és a jogok átruházására a regedit.exe segédprogram segítségével, és megfontoljuk a rendszerleíró kulcsok tulajdonjogának megváltoztatásának és a hozzáférés biztosításának lehetőségeit. a parancssorból. Az alább leírt összes módszer a Windows összes verziójában működik.!
Tartalom:
- Tulajdonosi jogok megszerzése a rendszerleíró kulcshoz a SubInACL segédprogrammal
- A regisztrációs kulcs tulajdonjogának és jogainak megváltoztatása a SetACL segédprogrammal
- Tulajdonságok megszerzése a rendszerleíró kulcshoz a REGINI beépített parancs segítségével
- Példa a felhasználásra
Tulajdonosi jogok megszerzése a rendszerleíró kulcshoz a SubInACL segédprogrammal
SubInACL - Ez egy hivatalos Microsoft segédprogram, amely felhasználásával megnézheti és módosíthatja az engedélyeket, a tulajdonosokat és a biztonsági információkat stb. fájlok, mappák, regisztrációs kulcsok, szolgáltatások stb. a Windows .
A segédprogramot Windows 2000, XP és Server 2003 rendszerre írták, de a Windows összes új verziója esetén használható.
1. LÉPÉS:
Töltse le a segédprogramot a Microsoft webhelyéről: https://www.microsoft.com/en-us/download/details.aspx?id=23510
2. LÉPÉS:
Ez egy szokásos MSI telepítő, amely a SubInACL.exe fájlt a Windows x64 "C: \ Program Files (x86) \ Windows Resource Kits \ Tools \" mappába, és a "C: \ Program Files \ Windows Resource Kits \ Tools \" mappába másolja. Windows x86-on.
De senkinek sem kell zavarnia, hogy egyszerűen bontsa ki az MSI fájlt (például a 7-Zip fájl használatával) bárhol, telepítés nélkül..
3. LÉPÉS:
Kiválaszthatja, hogyan kell futtatni a SubInACL.exe fájlt. A telepítési helyről (cd C: \ Program Files (x86) \ Windows Resource Kits \ Tools) vagy azon a helyen, ahol kicsomagolta, legalább a flash meghajtóról 🙂. Vagy másolhatja a SubInACL.exe fájlt a mappába C: \A windows\rendszer32 és akkor név szerint indul. Javasoljuk, hogy másolja a subinacl.exe fájlt a C: \ Windows \ System32 mappába (C: \ Windows \ SysWOW64), hogy az SubInACL fájlt bármilyen kényelmes helyről futtassa..
4. LÉPÉS:
Tanuljuk meg, hogyan kell dolgozni a SubInACL.exe-vel. Segédprogramok szintaxisa (a parancssorban rendszergazdai jogokkal):
SubInACL / típusnév / művelet
/típus: Adja meg a kívánt objektumtípust. Ha meg kell változtatnia a fájl vagy mappa tulajdonosát, használja a fájl, és ha meg kell változtatnia a regisztrációs kulcs tulajdonosát, akkor használja keyreg vagy subkeyreg. A különbség a keyreg és az subkeyreg között keyreg csak egy adott kulcs tulajdonosát változtatja meg, és subkeyreg megváltoztatja a kulcs és az összes alárendelt kulcs tulajdonosát.
név: Cserélje ki ezt a paramétert a fájl, mappa vagy rendszerleíró kulcs nevére.
/akció: Ez a paraméter határozza meg az objektumon végrehajtandó műveletet. Nos, mivel meg akarjuk változtatni a kulcs tulajdonosát és a kulcshoz fűződő jogokat, akkor ezt fogjuk használni /setowner=adminisztrátorok /támogatás=adminisztrátorok=f mint akció.
Nézzünk egy példát.
SUBINACL / keyreg "HKEY_LOCAL_MACHINE \ SOFTWARE \ Mozilla" / setowner = Administrators / grant = Administrators = f
Ez a parancs azt jelenti, hogy a kulcs tulajdonosa megváltozik, és az adminisztrátor teljes jogokat kap a kulcs kezelésére.
Nos, csak ki kell cserélnie a kulcs nevét a példából a sajátra, és futtatnia kell a parancsot ...
PS: Ha érdekli a SubInACL parancs összes elérhető szintaxisa, kulcsa és paramétere, akkor futtasson ilyen kulcsot SubInACL /segítségA regisztrációs kulcs tulajdonjogának és jogainak megváltoztatása a SetACL segédprogrammal
SetACL egy ingyenes konzol segédprogram. Töltse le a programot, és futtassa a szükséges parancsokat.
1. LÉPÉS:
Töltse le a SetACL programot: https://helgeklein.com/download/#setacl
STEP 2:
A letöltés után bontsa ki a ZIP fájlt, és tekintse meg a segédprogram két verzióját: az x86 és a Windows x64 verzióira. A Windows verziójának megfelelő SetACL.EXE-t kell használnia. Nézze meg a Windows verzióját a Rendszer tulajdonságai részben.
STEP 3:
Az alkalmazás kétféle módon használható. Például mentheti a segédprogramot az E: \ SetACL mappába, majd nyissa meg a parancssort rendszergazdaként, és lépjen ehhez a mappához szokásos parancsokkal, vagy írja be a teljes útvonalat a segédprogram elindításához, például E: \ SetACL \ SetACL.exe. Vagy másolhatja a SetACL.exe fájlt a rendszermappába C: \A windows\rendszer32 (C: \ Windows \ SysWOW64), akkor a SetACL parancsot bárhonnan futtathatja. Javasoljuk, hogy másolja az EXE fájlt a C: \ Windows \ System32 mappába (C: \ Windows \ SysWOW64)..
4. LÉPÉS:
Most, hogy elvégezte az összes előzetes eljárást, futtathatja a SetACL-t:
SetACL -on név -ot típus -actn akció
szintaxis:
Mi van kiemelve? bátor változatlan marad, amit kiemelünk dőlt betűvel meg fogunk változni:
-tovább: Ez a paraméter jelzi a fájl vagy a rendszerleíró kulcs teljes elérési útját, amelynek tulajdonosát meg akarja változtatni.
-ot: Ez a paraméter határozza meg az objektum típusát. Ha megváltoztatjuk a fájl tulajdonosát, akkor a paramétert erre változtatjuk fájl. Ha a rendszerleíró kulcs, akkor adja meg reg
-actn: Ez a paraméter jelzi, hogy mit kell tenni. Sokféle lehetőség létezik, de mivel a rendszerleíró kulcsokról beszélünk, különös tekintettel a tulajdonos megváltoztatására vagy a kulcshoz más jogok kiosztására, akkor csak az értékeket fogjuk használni setowner vagy ász.
Hogy jobban megértsük, hogyan működik ez, olvassa el egy példát:
Tegyük fel, hogy meg akarja változtatni a HKEY_LOCAL_MACHINE \ SOFTWARE \ Mozilla kulcs tulajdonosát. Ehhez a SetACL-t a következő paraméterekkel kell futtatnunk:
SetACL.exe -on "HKEY_LOCAL_MACHINE \ SOFTWARE \ Mozilla" -nem reg -actn városnév -tulajdonos "n: Administrators"
SetACL.exe --on "HKEY_LOCAL_MACHINE \ SOFTWARE \ Mozilla" - nem regisztrált-actn ace-ace "n: Administrators; p: full"
Az első parancs a helyi rendszergazdák csoportját teszi a kulcs tulajdonosává, a második pedig teljes hozzáférést biztosít a kulcshoz.
Csak meg kell változtatnia a kulcsot az idézőjelek ("") között a kívántra.
Megjegyzés: A SetACL-nek sok paramétere van, de magadról itt olvashatsz (https://helgeklein.com/setacl/documentation/command-line-version-setacl-exe/).Tulajdonságok megszerzése a rendszerleíró kulcshoz a REGINI beépített parancs segítségével
Ez a parancs megtalálható minden Windows rendszerben, és felhasználhatjuk arra, hogy engedélyeket rendeljünk a rendszerleíró kulcsokhoz. A parancs használata nagyon egyszerű. Készítünk egy szkriptfájlt a szükséges paraméterekkel, és továbbítjuk a feldolgozáshoz a REGINI parancsnak.
STEP 1:
Nyissa meg a Jegyzettömböt (Jegyzettömb) és írja be a szükséges kulcs nevét és az ACL (hozzáférés-vezérlési lista) formátumát:
KEY_NAME [ACL]
változás kulcs_név a szükséges kulcs nevét, de ügyeljen arra, hogy a kulcs neve helyes legyen, az alább látható módon:
\ Nyilvántartás \ gép \ szoftver \ osztályok (a HKEY_CLASSES_ROOT szakasz kulcsaihoz)
\ Nyilvántartás \ gép (a HKEY_LOCAL_MACHINE szakasz kulcsaihoz)
\ Nyilvántartás \ felhasználó \ felhasználó_sid (a HKEY_CURRENT_USER szakasz kulcsaihoz) (cserélje ki user_sid a felhasználó megfelelő biztonsági azonosítójához)
\ Nyilvántartás \ felhasználó (a HKEY_USERS szakasz kulcsaihoz)
Nézzük például a "HKEY_LOCAL_MACHINE \ SOFTWARE \ Mozilla" kulcsot, és írjuk be a szkriptet:
\ Nyilvántartás \ gép \ SZOFTVER \ Mozilla
cserélje ACL a szükséges listához:
| 1 | (teljes hozzáférés biztosítása az adminisztrátorok számára) | A rendszergazdáknak teljes hozzáférést kell biztosítani |
| 2 | (a rendszergazdák olvasási hozzáférésének biztosítása érdekében) | Adjon adminisztrátoroknak csak olvasási hozzáférést |
| 3 | (az adminisztrátorok olvasási és írási hozzáférésének biztosítása) | Adja meg a rendszergazdáknak a változtatás jogát |
| 4 | (az adminisztrátorok olvasási, írási és törlési hozzáférésének biztosítása) | Adja meg a rendszergazdáknak a változtatás és törlés jogát |
| 5 | (hogy a Teremtő / Tulajdonos teljes hozzáférést biztosítson) | Teljes hozzáférést biztosít a Teremtőnek / Tulajdonosnak |
| 6 | (a Teremtő / Tulajdonos olvasási és írási hozzáférésének biztosítása) | A Teremtő / Tulajdonos hozzáférést biztosít a változáshoz |
| 7 | (teljes hozzáférés biztosítása mindenkinek) | Mindenkinek teljes hozzáférést biztosít |
| 8 | (mindenki számára hozzáférés biztosítása) | Mindenkinek hozzáférést biztosít |
| 9 | (mindenki számára olvasási és írási hozzáférés biztosítása) | Mindenkinek adjon jogot a változáshoz |
| 10 | (mindenki számára hozzáférés biztosítása, olvasása, írása és törlése) | Mindenkinek biztosítson jogot a változtatásra és törlésre |
| 17 | (teljes rendszer hozzáférés biztosítása) | Adjon teljes hozzáférést a rendszerhez |
| 18 | (Rendszerolvasási és -írási hozzáférés biztosítása) | Adja meg a rendszernek a változás jogát |
| 19 | (Rendszerolvasási hozzáférés biztosítása) | A rendszer számára csak olvasható hozzáférést biztosít |
Most [ACL] a szkriptben ehhez hasonló módon kerül telepítésre:
[1 6 9 17]
Mint a táblázatban látható, ez teljes hozzáférést biztosít a Rendszergazdákhoz és a Rendszerhez, valamint a kulcskészítő és minden más megváltoztatásának jogát..
A végső sor így néz ki:
\ Nyilvántartás \ gép \ HKEY_LOCAL_MACHINE \ SZOFTVER \ Mozilla [1 6 9 17]
Bármilyen ACL kombinációt használhat, amire szüksége van.
STEP 2:
A szkriptet ACL.TXT néven menti, majd rendszergazdaként nyitja meg a parancssort és futtassa a parancsot:
Regini full_path_of_script_file
Vagy esetünkben ez így néz ki
REGINI c: \ install \ acl.txt
És ennyi is. Az engedélyeket azonnal megváltoztatják..
Nos, valami ilyesmi. Az 1. módszer a leghatékonyabb és 100% -ban működik.
Példa a felhasználásra
Indítani kellett a Remote Desktop Host programot, hogy a fejlesztők egy csoportja megosztott hozzáférést biztosítson a kiszolgálóhoz bizonyos alkalmazások és az adatbázis konfigurálásához. A jövőben nem volt tervek távoli hozzáférést biztosítani ehhez a szerverhez. Több mint 2 fejlesztő volt, és mindenki akart dolgozni egyszerre. És megígérte, hogy kevesebb, mint 4 hónap alatt teljesít.
Nem hamarosan mondta, mint megtenni. Felvetették a Remote Desktop Host alkalmazást a Windows 2012 R2 rendszeren, és elkezdtük a 120 napos ingyenes időszak használatát. De ... 4 hónap nem volt elég (mint mindig). Nem akartam egy jogi kulcsot használni a TS-hez, mert a munka ideiglenes, ahogy korábban mondtam. Ki kellett használnom azt a tudást, amelyet éppen kaptak.
A 120 napos türelmi idő számításáért felelős regisztrációs kulcs itt található:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminálkiszolgáló \ RCM \ GracePeriod
Az Rendszergazdák csoport csak írásvédett hozzáféréssel rendelkezik ehhez a kulcshoz..
Az 1. módszert alkalmazták. Tehát a Microsoft maguk büntették meg magukat :)
SUBINACL / keyreg "HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ RCM \ GracePeriod" / setowner = adminisztrátorok / grant = adminisztrátorok = f
Megváltoztatta a tulajdonosot, és teljes hozzáférést biztosít az adminisztrátorokhoz
Még könnyebb.
Törölje ennek a kulcsnak a tartalmát
reg törlés "HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ RCM \ GracePeriod" / va / f
És az újraindítás után kapunk ... Ez így van! Az új ingyenes időszak 120 napja.
Például végrehajthatja ezt a parancsot szkriptként, és az ütemezett módon 115 naponként futtathatja.
Használata vagy nem használata rajtad múlik, a lelkiismeretével és varangyával konzultálva 🙂
