Все выпуски  

Секреты Windows: статьи о реестре, rundll32.exe, программах Книга Реестр Windows Vista. Основные сведения о реестре - 4


На нашем сайте появился новый раздел — Задать вопрос (http://onestyle.com.ua/q.php). Если у вас есть вопросы по работе с операционной системой Windows, вы можете задать их нам и нашим посетителям. Быть может, мы сможем помочь вам решить возникшие проблемы.

Новости нашего сайта:

Продолжение, начало в выпусках: 1 2 3

В конец записи

Книга "Реестр Windows Vista. На 100%", Глава 1. Основные сведения о реестре, Часть 4. Работа с реестром: Программа regedit.exe. Права доступа к разделу.

Каждая ветвь реестра кроме описания параметров и дочерних подразделов хранит в себе права доступа пользователей к содержимому данной ветви реестра. Чтобы отобразить диалог настройки прав пользователей, достаточно в контекстном меню раздела реестра выбрать команду Разрешения (рис. 2.09).

Диалог Разрешения для

Диалог РАЗРЕШЕНИЯ ДЛЯ состоит из двух полей: поля ГРУППЫ И ПОЛЬЗОВАТЕЛИ и поля РАЗРЕШЕНИЯ ДЛЯ.

Поле Группы и пользователи Данное поле позволяет выбрать учетную запись пользователя, для которого будут настраиваться права доступа к ветви реестра. Для этого вам достаточно либо выбрать пользователя из списка пользователей, для которых права доступа уже настроены, либо добавить нового пользователя.

Чтобы добавить нового пользователя, нужно нажать на кнопку ДОБАВИТЬ, расположенную под соответствующим полем. После этого отобразится диалог ВЫБОР: ПОЛЬЗОВАТЕЛИ ИЛИ ГРУППЫ, в котором нужно ввести имя учетной записи пользователя или название группы. Если вы достоверно не знаете имя пользователя или название группы, просто нажмите на кнопку ДОПОЛНИТЕЛЬНО…, после чего нажмите на кнопку ПОИСК, и перед вами отобразится список всех пользователей и групп, зарегистрированных на локальном компьютере.

Рис. 2.09. Диалог настройки прав доступа пользователей к ветви реестра отобразить
Рисунок ch1

Поле Разрешения для Данное поле содержит список установленных разрешений для выбранного вами пользователя. Данный список состоит всего из трех элементов: ПОЛНЫЙ ДОСТУП, ЧТЕНИЕ и ОСОБЫЕ РАЗРЕШЕНИЯ.

Вы можете либо разрешить определенное право доступа, либо запретить его. При этом запретить право доступа можно двумя способами — сняв флажок в поле РАЗРЕШИТЬ или установив флажок в поле ЗАПРЕТИТЬ. Флажок в поле ЗАПРЕТИТЬ имеет больший приоритет, чем флажок в поле РАЗРЕШИТЬ.

Заметьте, что на рисунке 2.09 установленные флажки разрешений прав доступа отображаются серым цветом. Такое происходит в том случае, если права доступа для данного пользователя не были установлены конкретно для выбранной вами ветви реестра, а были заимствованы у ветви реестра, для которой данная ветвь является дочерней.

В этом случае, чтобы активировать возможность изменения установленных прав доступа, вам нужно нажать на кнопку ДОПОЛНИТЕЛЬНО и в появившемся диалоговом окне ДОПОЛНИТЕЛЬНЫЕ ПАРАМЕТРЫ БЕЗОПАСНОСТИ ДЛЯ снять флажок ДОБАВИТЬ РАЗРЕШЕНИЯ, НАСЛЕДУЕМЫЕ ОТ РОДИТЕЛЬСКИХ ОБЪЕКТОВ. После этого перед вами отобразит диалог БЕЗОПАСНОСТЬ WINDOWS со следующими кнопками.

  • КОПИРОВАТЬ. При снятии флажка присвоить данной ветви реестра те же права доступа, что были унаследованы ей от родительской ветви реестра.
  • УДАЛИТЬ. При снятии флажка удалить все права доступа, которые были унаследованы данной ветвью реестра от родительской ветви реестра.
  • ОТМЕНА. Отменить операцию снятия флажка.

Также обратите внимание на флажок ЗАМЕНИТЬ ВСЕ НАСЛЕДУЕМЫЕ РАЗРЕШЕНИЯ ДЛЯ ВСЕХ ПОТОМКОВ НА НОВЫЕ НАСЛЕДУЕМЫЕ РАЗРЕШЕНИЯ ОТ ЭТОГО ОБЪЕКТА. Если вы установите данный флажок, тогда все права доступа к соответствующей ветви реестра будут наследоваться дочерними разделами данной ветви реестра.

Диалог Дополнительные параметры безопасности для Кроме двух описанных выше флажков, диалог ДОПОЛНИТЕЛЬНЫЕ ПАРАМЕТРЫ БЕЗОПАСНОСТИ ДЛЯ содержит множество других настроек, которые можно разделить на следующие категории.

НАСТРОЙКА И ПРОСМОТР ДОПОЛНИТЕЛЬНЫХ ПРАВ ДОСТУПА ПОЛЬЗОВАТЕЛЯ.

Вы, наверное, обратили внимание на то, что в списке прав доступа пользователей поля РАЗРЕШЕНИЯ ДЛЯ содержится довольно странный элемент — ОСОБЫЕ РАЗРЕШЕНИЯ. Что еще за особые разрешения?

Список всех разрешений прав доступа, которые можно настроить для конкретного пользователя, отображается при помощи кнопки ИЗМЕНИТЬ на вкладке РАЗРЕШЕНИЯ диалога ДОПОЛНИТЕЛЬНЫЕ ПАРАМЕТРЫ БЕЗОПАСНОСТИ ДЛЯ (рис. 2.10).

Рис. 2.10. Все разрешения прав доступа отобразить
Рисунок ch2

Иногда процесс определения прав доступа конкретного пользователя к ветви реестра бывает довольно трудоемкой задачей. Все дело в том, что администратор может настроить права доступа не только для определенной учетной записи пользователя, но и также для группы, в которую входит данный пользователь. А если пользователь участвует сразу в нескольких группах, для которых настроены отдельные разрешения, поиск действующих в данный момент прав доступа для учетной записи пользователя может превратиться в кошмар.

К счастью, в операционной системе Windows Vista реализован алгоритм автоматического высчитывания действующих прав доступа пользователя. Чтобы им воспользоваться, достаточно перейти на вкладку ДЕЙСТВУЮЩИЕ РАЗРЕШЕНИЯ, после чего нажать кнопку ВЫБРАТЬ… и в появившемся диалоге ВЫБРАТЬ: ПОЛЬЗОВАТЕЛЬ ИЛИ ГРУППА указать учетную запись пользователя, для которой нужно просчитать разрешения.

СМЕНА ВЛАДЕЛЬЦА ВЕТВИ РЕЕСТРА.

Если вы запустили редактор реестра от имени администратора и пытаетесь изменить права доступа к ветви реестра, но редактор реестра regedit.exe не дает вам этого сделать, то, скорее всего, администраторам запрещено изменять права доступа к данной ветви реестра, и вдобавок вы не являетесь ее владельцем.

Чтобы решить данную проблему, первым делом нужно сменить владельца соответствующей ветви реестра на группу АДМИНИСТРАТОРЫ, либо только на вашу учетную запись.

Для этого нужно перейти на вкладку ВЛАДЕЛЕЦ, в списке ИЗМЕНИТЬ ВЛАДЕЛЬЦА НА выбрать нужный вам элемент (если он не отображается в списке, нажмите на кнопку ДРУГИЕ ПОЛЬЗОВАТЕЛИ ИЛИ ГРУППЫ… и в появившемся диалоге укажите учетную запись пользователя, который должен стать владельцем данной ветви реестра), и после этого нажмите на кнопку ОК.

Если вы хотите сменить владельца не только для данной ветви реестра, но и для подразделов, которые в нее входят, также перед нажатием кнопки ОК установите флажок ЗАМЕНИТЬ ВЛАДЕЛЬЦА КОНТЕЙНЕРОВ И ОБЪЕКТОВ.

После этого владелец будет изменен, и вы сможете редактировать права доступа к ветви реестра.

НАСТРОЙКА АУДИТА ДОСТУПА.

Еще одной возможностью диалога ДОПОЛНИТЕЛЬНЫЕ ПАРАМЕТРЫ БЕЗОПАСНОСТИ ДЛЯ является настройка аудита доступа к данной ветви реестра конкретного пользователя.

Если вы хотите, чтобы в журнал БЕЗОПАСНОСТЬ консоли eventvwr.exe записывались сведения о применении конкретным пользователем прав доступа к содержимому данной ветви реестра, нужно воспользоваться вкладкой АУДИТ.

Однако перед этим необходимо убедиться, что политика аудита доступа к объектам включена. Для этого запустите консоль gpedit.msc, перейдите к разделу КОНФИГУРАЦИЯ КОМПЬЮТЕРА/КОНФИГУРАЦИЯ WINDOWS/ПАРАМЕТРЫ БЕЗОПАСНОСТИ/ЛОКАЛЬНЫЕ ПОЛИТИКИ/ПОЛИТИКИ АУДИТА, и посмотрите, установлен ли аудита успеха или отказа для политики АУДИТА ДОСТУПА К ОБЪЕКТАМ. Если ни аудит успеха, ни аудит отказа не установлен, тогда сведения аудита не будут заноситься в журнал БЕЗОПАСНОСТЬ консоли eventvwr.exe.

Если аудит доступа к объектам установлен, тогда имеет смысл настраивать аудит доступа к ветви реестра. Для этого нужно перейти на вкладку АУДИТ и нажать на кнопку ДОБАВИТЬ…. После этого отобразится знакомый нам диалог выбора учетной записи, для которой нужно создать политику аудита. После того, как вы это сделаете, перед вами отобразится диалог для выбора прав доступа, сведения о применении которых будут заноситься в журнал БЕЗОПАСНОСТЬ. Данный диалог аналогичен диалогу 2.10, рассмотренному нами ранее.

Виртуализация каталогов

Операционная система Windows Vista с включенным механизмом UAC поддерживает новую возможность, называемую виртуализацией каталогов и разделов реестра. Данная возможность позволяет решить проблему установки приложений учетными записями пользователей, которые не имеют административных прав (точнее, не имеют прав на модификацию определенных ветвей реестра и каталогов).

Виртуализация реестра Если механизм виртуализации включен, тогда при обнаружении попытки какой-либо программы модифицировать раздел реестра, находящийся в ветви HKLM\Software, доступ к которой запрещен текущему пользователю, операционная система перенаправляет запрос программы в ветвь реестра HKCU\Software\Classes\VirtualStore\MACHINE и выполняет модификацию в ней.

Например, если программа пытается записать данные в ветвь HKLM\Software\program_folder, операционная система перенаправляет ее в HKCU\Software\Classes\VirtualStore\MACHINE\Software\program_folder.

При последующих запусках программы, она будет работать с данными, хранящимися не в ветви реестра, доступ к которой пользователю запрещен, а в ветви реестра HKCU\Software\Classes\VirtualStore\MACHINE.

Виртуализация каталогов Аналогично механизм виртуализации работает и с папками. Только в этом случае операционная система перенаправляет запрос программы в каталог вида %userprofile%\AppData\Local\VirtualStore.

Виртуализация каталогов действует для следующих папок операционной системы: %ProgramFiles%, %Windir%; %Windir%\system32.

Отключение механизма виртуализации Если вы обладаете административными правами, вы можете запретить механизм виртуализации каталогов и ветвей реестра, реализованный в операционной системе Windows Vista. После этого действия попытка записи программы в запрещенную для записи ветвь реестра или каталог будет вызывать ошибку и прекращение работы программы.

Чтобы запретить механизм виртуализации, нужно запустить консоль gpedit.msc, перейти к разделу КОНФИГУРАЦИЯ КОМПЬЮТЕРА/КОНФИГУРАЦИЯ WINDOWS/ПАРАМЕТРЫ БЕЗОПАСНОСТИ/ЛОКАЛЬНЫЕ ПОЛИТИКИ/ПАРАМЕТРЫ БЕЗОПАСНОСТИ, и в контекстном меню элемента УПРАВЛЕНИЕ УЧЕТНЫМИ ЗАПИСЯМИ ПОЛЬЗОВАТЕЛЕЙ: ВИРТУАЛИЗАЦИЯ СБОЕВ ЗАПИСИ В ФАЙЛ ИЛИ РЕЕСТР В РАСПОЛОЖЕНИЯ ПОЛЬЗОВАТЕЛЕЙ выбрать команду СВОЙСТВА. После этого, в появившемся диалоговом окне, нужно установить переключатель в положение ОТКЛЮЧЕН.

Чтобы отключить механизм виртуализации при помощи реестра, нужно параметру REG_DWORD типа EnableVirtualization, расположенному в ветви реестра HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System, присвоить значение 0.

Отключение механизма виртуализации для конкретной ветви реестра Также отключить механизм виртуализации можно только для определенной ветви реестра. Для этого нужно воспользоваться новой командой операционной системы reg flags «ветвь реестра» set DONT_VIRTUALIZE. Подробнее данная команда будет описана ниже в этой главе книги.

Продолжение следует

Рейтинг: 0 
Оцените: 1 2 3 4 5
В начало записи
Оригинал статьи: http://www.onestyle.com.ua/txt.php?u=272

В избранное