В многопользовательской системе такой как Windows 10, администратор может предоставить или аннулировать разрешение вносить изменения для любых пользователей. Это касается и реестра Windows при удалении или редактировании.
Что же делать, если вы не можете изменить или удалить важный параметр реестра, просто необходимо сменить владельца ветки реестра! Достаточно сменить владельца один раз и вам будет предоставлен полный контроль.
После прочтения, вы получите возможность менять владельца для любого раздела реестра после чего сможете вносить нужные вам правки и изменения в реестре.
Как изменить владельца ветки реестра Windows 10.
Примечание: Ваша учетная запись пользователя должна иметь права администратора.
Вы, возможно уже сталкивались с проблемой при удалении или внесения изменений для записи реестра, получая сообщение «Не удается удалить. Ошибка при удалении ключа», «Не удается удалить все выделенные параметры» «Ошибка при записи нового параметра» и тд.. Это происходит потому, что вы не имеете достаточных прав для редактирования или удаления данного раздела реестра.
Будучи администратором, вы можете легко обойти эту проблему и использовать неограниченные права, для удаления разделов, параметров или модифицировать реестр с помощью твиков. Все, что вам нужно, это дать разрешение на владение разделом реестра конкретному пользователю:
Давайте предположим, вы выбрали ключ «Attributes», который находится в разделе реестра:
КомпьютерHKEY_LOCAL_MACHINESOFTWAREClassesCLSID{679f85cb-0220-4080-b29b-5540cc05aab6}ShellFolder
Изменив запись «Attributes», мы удалим Панель быстрого доступа из проводника Windows, но если вы попытаетесь изменить ее, вы получите сообщение, «Не удаётся изменить параметр «Attributes» Ошибка при записи нового параметра».
Изменить владельца для определенного раздела реестра Windows 10.
Шаг 1. Кликните правой кнопкой мыши на разделе реестра (папке) в которой находится нужный вам параметр (ключ) реестра и выберите в контекстном меню «Разрешения».
Шаг 2. В открывшемся окне нажмите на кнопку «Дополнительно».
Шаг 3. В окне дополнительных параметров безопасности, Вы видите, что владельцем данного раздела и объектов в нем является «Система».
Шаг 4. В строке Владелец нажмите надпись «Изменить».
Шаг 5. В диалоговом окне «Выбор: Пользователь или Группа» нажмите кнопку «Дополнительно».
Шаг 6. В следующем окне нажмите кнопку «Поиск».
Шаг 7. В нижней части окна найдите и кликните мышкой надпись «Администраторы» (см. картинку) и нажмите «Ок».
Шаг 8. Вернувшись в окно «Выбор: Пользователь или Группа», снова нажмите кнопку «ОК».
Шаг 9. В окне «Дополнительных параметров безопасности» необходимо установить флажки в два чекбокса (см картинку ниже):
- Заменить владельца подконтейнеров и объектов
- Заменить все записи разрешений дочернего объекта наследуемыми от этого объекта
Шаг 10. Нажмите кнопку «Применить» → «ОК». Подтвердите запрос безопасности.
Шаг 11. Вы вернетесь к диалоговому окну «Разрешение для Группы». Выберите группу «Администраторы», в разрешениях группы необходимо также установить флажки в чекбоксы в пункте «Полный доступ», «Чтение» и нажмите «Применить» → «ОК».
Все, теперь вы сможете вносить изменения или удалить ключ в этой ветке реестра. Если вам потребуется изменить другой раздел реестра вам придется повторить все действия снова.
Теперь вы знаете, как получить полный доступ к конкретной записи реестра для редактирования или удаления, не забывайте делать резервную копию реестра если что то пойдет не так.
Рекомендуем: Как восстановить владельца TrustedInstaller в Windows 10.
В этой статье показаны действия, с помощью которых можно стать владельцем раздела реестра и получить права полного доступа, а также как вернуть исходные права и восстановить исходного владельца.
Некоторые разделы системного реестра Windows не доступны для редактирования, даже если ваша учётная запись относится к группе «Администраторы». Это обычно происходит из-за того что у группы «Администраторы» нет соответствующих разрешений (прав) на запись в этот раздел реестра.
Есть несколько причин, почему вы не можете редактировать раздел реестра:
- Группа «Администраторы» является владельцем раздела, но не имеет полных прав на него. В этом случае достаточно просто выдать группе «Администраторы» полные права.
- Владельцем раздела является системная служба TrustedInstaller. В этом случае нужно сначала стать владельцем раздела, а затем выдать своей группе полные права, как раз в этой статье и будет рассмотрен такой пример.
- Владельцем раздела является системная учетная запись «Система». В этом случае действия будут такими же, как и с TrustedInstaller.
Далее в статье будет описано, как внести изменения в реестр при отсутствии соответствующих разрешений, а также как восстановить исходные разрешения, и для чего это нужно делать. Перед тем как редактировать системный реестр, рекомендуется создать точку восстановления системы
При изменении какого-либо параметра в реестре, если у вас недостаточно прав, то вы получите сообщение об ошибке.
► Рассмотрим первый пример, когда группа «Администраторы» является владельцем раздела, но не имеет полных прав на него.
Щелкните правой кнопкой мыши на разделе реестра и выберите из меню пункт Разрешения..
Выделите группу «Администраторы»:
Если доступен флажок Полный доступ, установите его и нажмите кнопку ОК. Этого может оказаться достаточно, если группа является владельцем раздела.
Если флажок недоступен или вы видите сообщение об ошибке как на скриншоте ниже, то переходим к второму примеру.
► Второй пример, когда владельцем раздела является системная служба TrustedInstaller.
В окне Разрешения для группы нажмите кнопку Дополнительно.
В следующем окне Дополнительные параметры безопасности нажмите ссылку Изменить вверху окна, и в появившемся диалоговом окне Выбор: «Пользователь» или «Группа» введите имя локальной учетной записи или адрес электронной почты учетной записи Microsoft, проверьте имя и нажмите кнопку ОК.
Установите флажок Заменить владельца подконтейнеров и объектов вверху окна и нажмите кнопку ОК.
Выделите группу «Администраторы», установите флажок Полный доступ, нажмите кнопку OK.
Теперь у вас есть полный доступ к разделу реестра и можно редактировать все его параметры.
► Третий пример, когда владельцем раздела является системная учетная запись «Система». В этом случае действия будут такими же, как и с TrustedInstaller.
Возвращение исходных прав и восстановление владельца
В целях безопасности системы, после редактирования необходимых параметров раздела реестра, нужно возвратить исходные права доступа и восстановить в качестве владельца раздела системную учётную запись TrustedInstaller.
Щелкните правой кнопкой мыши на разделе реестра и выберите из меню пункт Разрешения. В окне Разрешения для группы нажмите кнопку Дополнительно.
В следующем окне Дополнительные параметры безопасности нажмите ссылку Изменить вверху окна, и в появившемся диалоговом окне Выбор: «Пользователь» или «Группа» введите имя учетной записи:
NT Service\TrustedInstaller
Нажмите кнопку OK.
Далее установите флажок Заменить владельца подконтейнеров и объектов вверху окна и нажмите кнопку ОК.
В окне Разрешения для группы выделите группу «Администраторы», снимите флажок Полный доступ, нажмите кнопку OK.
Исходные права и владелец раздела реестра восстановлены.
Если владельцем раздела являлась учетная запись Система (в английской варианте System), то вместо NT Service\TrustedInstaller введите Система (в английской варианте System).
Данная инструкция применима для операционных систем Windows 8, Windows 8.1, Windows 10.
Некоторые разделы реестра важны для правильной работы системы и поэтому защищены. При редактировании таких разделов и параметров в них вы можете получить ошибки: «Ошибка при записи нового значения параметра», «Не удается удалить все выделенные параметры», «Не удается удалить раздел. Ошибка при удалении раздела», «Ошибка при переименовании раздела».
Если вы столкнулись с таким ошибками и уверены, что вам необходимо изменить соответствующие параметры в реестре, вы можете стать владельцем раздела реестра и предоставить себе необходимые права для его редактирования. Учитывайте, что это потенциально может привести к проблемам и разумным будет создать точку восстановления системы перед редактированием.
Исправление «Ошибка при записи нового значения параметра», «Не удается удалить все выделенные параметры», «Не удается удалить раздел», «Ошибка при переименовании раздела» при редактировании реестра
Для того, чтобы изменить владельца раздела реестра и предоставить себе права на изменение параметров в этом разделе, выполните следующие шаги (напоминаю: нет гарантий, что это не повредит системе в дальнейшем):
- Нажмите правой кнопкой мыши по разделу в редакторе реестра и откройте пункт «Разрешения».
- В открывшемся окне нажмите кнопку «Дополнительно».
- В поле «Владелец» нажмите «Изменить».
- В следующем окне введите имя своего пользователя (того, под которым вы работаете в системе и из-под которого требуется редактирование реестра), при использовании учетной записи Майкрософт — введите адрес E-mail для этой учетной записи. Нажмите «Проверить имена», а затем — кнопку «Ок».
- Вместо 4-го шага можно нажать «Дополнительно», затем — «Поиск» и выбрать пользователя из списка, а затем также нажмите «Ок».
- Вверху окна параметров безопасности раздела, рядом с пунктом «Владелец» отметьте пункт «Заменить владельца подконтейнеров и объектов» и нажмите «Ок».
- Вы вернетесь в окно установки разрешений для раздела реестра. Если в списке групп и пользователей вверху присутствует ваш пользователь, выберите его, установите разрешения «Полный доступ» и примените настройки.
- Если пользователя нет, снова нажмите кнопку «Дополнительно», а в следующем окне — кнопку «Добавить» внизу списка «Элементы разрешений» и добавьте в список вашего пользователя (нажимаем «Выберите субъект» и действуем как в 4 или 5-м шаге). Отметьте пункты «Полный доступ» и «Применять эти разрешения к объектам и контейнерам только внутри этого контейнера». Нажмите «Ок».
- Вы вернетесь в окно дополнительных параметров безопасности раздела реестра. Отметьте пункт «Заменить все записи разрешений дочернего объекта наследуемыми от этого объекта» и нажмите «Ок».
- Подтвердите применение изменений.
После выполнения этих шагов вы сможете редактировать и удалять параметры и разделы реестра, находящиеся внутри раздела, для которого были изменены разрешения. Ошибки «Ошибка при записи нового значения параметра», «Не удается удалить все выделенные параметры», «Ошибка при удалении раздела», «Ошибка при переименовании раздела» появиться не должны.
Обратите внимание: если речь идет о разделах реестра, имеющих отношение к работе антивируса, они могут быть дополнительно защищены самим антивирусом. Например, чтобы появилась возможность менять параметры Microsoft Defender в реестре, предварительно потребуется отключить функцию «Защита от подделки» в параметрах защиты от вирусов и угроз.
Иногда, чтобы поменять что-то в реестре (выполнить твик или просто внести нужное вам изменение) в первую очередь требуется получить доступ к ветке/ключу реестра. Казалось бы, для администратора это не проблема. Но нюанс в том, что в некоторые ветки реестра Windows не может внести изменения даже администратор. Доступ к таким веткам ограничивается ACL, в которых либо отсутствуют права записи для группы локальных администраторов, либо владельцем таких разделов назначены TrustedInstaller или System. В этом руководстве мы покажем несколько простых способов предоставить администратору права владельца и полные права на защищенный таким образом раздел реестра.
Не будем рассматривать графический способ смены владельца и назначения права через утилиту regedit.exe, и остановимся на возможностях смены владельца любого ключа реестра и предоставления доступа из командной строки. Все описанные ниже методы работают во всех версиях Windows!
Содержание:
- Получение прав владельца на ключ реестра с использованием утилиты SubInACL
- Смена владельца и прав на ключ реестра с помощью утилиты SetACL
- Получение прав владельца на ключ реестра с использованием встроенной команды REGINI
- Пример использования
Получение прав владельца на ключ реестра с использованием утилиты SubInACL
SubInACL – это официальная утилита от Microsoft, которую можно использовать для просмотра и изменения прав, владельца и информации о безопасности и т.д. для файлов, папок, ключей реестра, сервисов и т.д. в ОС Windows .
Утилита была написана для Windows 2000, XP и Server 2003, однако ее можно использовать и со всеми новыми версиями Windows.
ШАГ 1:
Скачайте утилиту с сайта Microsoft: https://www.microsoft.com/en-us/download/details.aspx?id=23510
ШАГ 2:
Это стандартный MSI инсталлятор, который копирует SubInACL.exe file в папку «C:Program Files (x86)Windows Resource KitsTools» в Windows x64 и в папку «C:Program FilesWindows Resource KitsTools» в Windows х86.
Но никто не мешает вам просто распаковать MSI файл (например, с помощью 7-Zip) в любое место без необходимости его установки.
ШАГ 3:
Вы можете выбрать как запускать SubInACL.exe. Из места установки (cd C:Program Files (x86)Windows Resource KitsTools), или из места куда вы сами его распаковали, да хоть с флэшки 🙂 . Или можете скопировать SubInACL.exe в папку С:WindowsSystem32 и тогда он будет запустится по имени. Мы предлагаем скопировать subinacl.exe файл в папку C:WindowsSystem32 (C:WindowsSysWOW64) чтобы была возможность запустить SubInACL из любого удобного места.
ШАГ 4:
Давайте научимся, как работать с SubInACL.exe. Синтаксис утилиты (в командной строке с правами администратора):
SubInACL /type name /action
/type: Укажите нужный тип объекта. Если надо сменить владельца файла или папки используем file, а если надо поменять владельца ключа реестра, то используем keyreg или subkeyreg. Разница между keyreg и subkeyreg в том, что keyreg меняет владельца только конкретного ключа, а subkeyreg меняет владельца этого ключа и всех подчиненных ключей.
name: Замените этот параметр на название файла, папки или ключа реестра.
/action: Этот параметр определяет то действие, которое будет произведено над объектом. Ну а раз мы собрались менять владельца ключа и прав на ключ, будем использовать /setowner=administrators /grant=administrators=f в качестве действия.
Смотрим на пример.
SUBINACL /keyreg "HKEY_LOCAL_MACHINESOFTWAREMozilla" /setowner=Администраторы /grant=Администраторы=f
Примечание. В английской версии Windows вместо Администраторы нужно указывать Administrators.
Эта команда означает, что меняется владелец данного ключа и Администратор получает полные права управления данным ключом.
Ну а вам остается только заменить название ключа из примера, на ваш собственный и запустить команду..
PS: Если интересно посмотреть весь доступный синтаксис, ключи и параметры команды SubInACL, запустите с таким ключом SubInACL /help
Смена владельца и прав на ключ реестра с помощью утилиты SetACL
SetACL является бесплатной консольной утилитой. Вам нужно скачать программку и затем запустить нужные команды.
ШАГ 1:
Качаем программу SetACL: https://helgeklein.com/download/#setacl
ШАГ 2:
После скачивания распакуйте ZIP файл и увидите две версии утилиты: для x86 и для x64 версий Windows. Вам надо использовать правильный SetACL.EXE для вашей версией Windows. Посмотреть какая версия Windows можно в Свойствах Системы (System Properties).
ШАГ 3:
Есть два способа использовать приложение. Вы можете, например, сохранить утилиту в папке E:SetACL, затем открыть Командную строку от имени Администратора и перейти в эту папку используя стандартные команды или ввести полный путь для запуска утилиты, например E:SetACLSetACL.exe. Или вы можете скопировать SetACL.exe в системную папку C:WindowsSystem32 (C:WindowsSysWOW64) тогда можно запускать команду SetACL из любого места. Мы предлагаем скопировать EXE файл в папку C:WindowsSystem32 (C:WindowsSysWOW64).
ШАГ 4:
Теперь, когда вы сделали все предварительные процедуры, вы можете запустить SetACL:
SetACL -on name -ot type -actn action
Синтаксис:
То что выделено жирным остается неизменным, то что выделено курсивом будем менять:
—on: Этот параметр указывает на полный путь к фалу или ключ реестра, владельца которого надо изменить.
—ot: Этот параметр определяет тип объекта. Если меняем владельца файла, то меняем параметр на file. Если ключ реестра, то указываем reg
—actn: Этот параметр указывает, что именно сделать. Возможно много вариантов, но так как мы говорим о ключах реестра, в частности о смене владельца или назначении других прав на ключ, будем использовать только значения setowner или ace.
Чтобы лучше понять как это работает, посмотрим пример:
Предположим, что нужно сменить владельца ключа HKEY_LOCAL_MACHINESOFTWAREMozilla. Для этого нам надо запустить SetACL со следующими параметрами:
SetACL.exe -on "HKEY_LOCAL_MACHINESOFTWAREMozilla" -ot reg -actn setowner -ownr "n:Администраторы"
SetACL.exe -on "HKEY_LOCAL_MACHINESOFTWAREMozilla" -ot reg -actn ace -ace "n:Администраторы;p:full"
Первая команда сделает группу локальных администраторов владельцем ключа, а вторая предоставит полный доступ к ключу.
Вам просто надо поменять значение ключа между кавычками(«»), на тот, который вам нужен.
Примечание: SetACL имеет много параметров, но об этом почитайте самостоятельно здесь (https://helgeklein.com/setacl/documentation/command-line-version-setacl-exe/).
Получение прав владельца на ключ реестра с использованием встроенной команды REGINI
Эта команда идет в составе любой Windows и мы можем ее использовать для назначения разрешений на ключи реестра. Использование команды очень простое. Создаем файл скрипта с необходимыми параметрами и передаем этот файл для обработки команде REGINI.
ШАГ 1:
Открываем Блокнот (Notepad) и вписываем название необходимого ключа и ACL (Access Control List) используя вот такой вот формат:
Key_name [ACL]
Меняем Key_name на название нужного ключа, но смотрите, чтобы название ключа была корректным, как показано ниже:
Registrymachinesoftwareclasses (для ключей раздела HKEY_CLASSES_ROOT)
Registrymachine (для ключей раздела HKEY_LOCAL_MACHINE)
Registryuseruser_sid (для ключей раздела HKEY_CURRENT_USER) (замените user_sid на правильный Security ID этого пользователя)
Registryuser (для ключей раздела HKEY_USERS)
Для примера, давайте рассмотрим ключ «HKEY_LOCAL_MACHINESOFTWAREMozilla» и запишем скрипт:
RegistrymachineSOFTWAREMozilla
Заменяем ACL на те, которые нам необходимы list:
1 | (to provide Administrators Full Access) | Дать Администраторам полный доступ |
2 | (to provide Administrators Read Access) | Дать Администраторам доступ только на чтение |
3 | (to provide Administrators Read and Write Access ) | Дать Администраторам право на изменение |
4 | (to provide Administrators Read, Write and Delete Access) | Дать Администраторам право на изменение и удаление |
5 | (to provide Creator/Owner Full Access) | Дать Создателю/Владельцу полный доступ |
6 | (to provide Creator/Owner Read and Write Access) | Дать Создателю/Владельцу доступ на изменение |
7 | (to provide Everyone Full Access) | Дать Всем полный доступ |
8 | (to provide Everyone Read Access) | Дать Всем доступ только на чтение |
9 | (to provide Everyone Read and Write Access) | Дать Всем право на изменение |
10 | (to provide Everyone Read, Write and Delete Access) | Дать Всем право на изменение и удаление |
17 | (to provide System Full Access) | Дать Системе полный доступ |
18 | (to provide System Read and Write Access) | Дать Системе право на изменение |
19 | (to provide System Read Access) | Дать Системе доступ только на чтение |
Сейчас [ACL] в скрипте будет установлен как-то так:
[1 6 9 17]
Как показано в таблице это даст полный доступ Администраторам и Системе, а также право на изменение создателю ключа и все остальным.
Окончательно строка будет выглядеть так:
RegistrymachineHKEY_LOCAL_MACHINESOFTWAREMozilla [1 6 9 17]
Вы можете использовать любые комбинации ACL как вам нужно.
Примечание: Помните, что существующие разрешения для указанного в скрипте ключа будут заменены на новые. Не забывайте включить в скрипт разрешения для всех аккаунтов. Если вы забудете дать права аккаунту СИСТЕМА, то этот аккаунт будет удален из списка предоставления доступа.
ШАГ 2:
Сохраняем скрипт под именем ACL.TXT затем открываем командную строку от имени администратора и запускаем нашу команду:
REGINI full_path_of_script_file
Или, в нашем случае, это будет выглядеть так
REGINI c:installacl.txt
И все. Разрешения будут немедленно изменены.
Ну вот как-то так. Метод 1 наиболее эффективен и работает на все 100%.
Пример использования
Было необходимо запустить Remote Desktop Host, предоставить группе разработчиков совместный доступ к серверу для настройки определенных приложений и базы данных. В дальнейшем, предоставлять удаленный к доступ к этому серверу не планировалось. Разработчиков было более 2-х и все хотели работать одновременно. И клятвенно обещали закончить менее чем за 4 месяца.
Сказано-сделано. Был поднят Remote Desktop Host на Windows 2012 R2 и мы начали пользоваться 120-ти дневным бесплатным периодом. Но … 4 месяцев не хватило (как всегда). Использовать же легальный ключ для TS не хотелось, так как работа, временная, как я уже сказал ранее. Пришлось … воспользоваться знаниями, которые вы только что получили.
Ключ реестра, отвечающий за отсчет 120-ти дневного Grace Period расположен здесь:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerRCMGracePeriod
У группы Администраторы есть доступ только на чтение этого ключа.
Был использован Метод 1. Так сказать, Microsoft сами себя и наказали : )
SUBINACL /keyreg "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerRCMGracePeriod" /setowner=administrators /grant=administrators=f
Сменили владельца и дали полный доступ администраторам
Дальше проще.
Удаляем содержимое этого ключа
reg delete "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerRCMGracePeriod" /va /f
И после перезагрузки получаем …. Правильно! 120 дней нового бесплатного периода.
Например, можно эту команду оформить в виде скрипта и запускать каждые 115 дней по расписанию.
Пользоваться этим или нет – решать вам, на основании консультаций с вашей совестью и жабой 🙂
Вы тут: Главная → Windows → Как получить доступ к разделу реестра или папке и вернуть все на свои места
В некоторые разделы реестра Windows или папки изменения не может внести даже администратор, работающий в редакторе реестра или файловом менеджере, который запущен с полными правами.
Это происходит потому, что у группы «Администраторы» нет прав на запись в этот раздел реестра или папку. Причин для этого может быть две:
- Группа «Администраторы» является владельцем раздела или папки, но не имеет полных прав на объект. В этом случае достаточно просто выдать группе «Администраторы» полные права.
- Владельцем раздела реестра или папки являются системная учетная запись Система или TrustedInstaller (Вторая служит в рамках комплекса по укреплению безопасности операционной системы, но для любителей «поковырять» систему она представляет собой досадную помеху на пути к цели). В этом случае можно сначала стать владельцем раздела или папки, а затем выдать своей группе полные права. Но есть и более интересные альтернативы — утилиты для запуска исполняемых файлов от имени этих учетных записей.
Далее я покажу, как внести изменения в реестр при недостатке прав. Я также объясню, как восстановить исходные разрешения, и почему это нужно делать.
👉 Инструкции в этой статье одинаково применимы к разделам реестра и папкам файловой системы. Реестр используется в качестве примера.
На этой странице
- Как делать грамотно и быстро
- Внесение изменений в реестр от имени учетной записи «Система»
- Внесение изменений в реестр от имени учетной записи TrustedInstaller
- Как делать неграмотно и медленно
- Получение полных прав и смена владельца
- Возвращение исходных прав и восстановление владельца
Как делать грамотно и быстро
Быстрее всего запускать редактор реестра или командную строку с правами системы или TrustedInstaller и вносить изменения. Тогда не надо будет тратить время на смену прав и их восстановление.
Внесение изменений в реестр от имени учетной записи «Система»
Если владельцем раздела реестра является специальная учетная запись «Система», существует способ внести изменения в раздел, не изменяя владельца и разрешений. Для этого используется утилита PsExec, входящая в набор утилит Марка Руссиновича PsTools. Суть способа сводится к запуску редактора реестра от имени системы.
- Загрузите набор PsTools и распакуйте утилиту PsExec в папку Windows, чтобы не указывать к ней путь в командной строке.
- Откройте командную строку от имени администратора и выполните команду:
psexec64 -i -s regedit
Запустится редактор реестра, причем от имени системы, что задается параметром -s (параметр -i обеспечивает интерактивный запуск приложения).
В этом легко убедиться с помощью другой утилиты Марка Руссиновича – Process Explorer. В свойствах процесса видно, от чьего имени он запущен.
Теперь вы можете вносить изменения в разделы реестра, владельцем которых является учетная запись «Система».
Внесение изменений в реестр от имени учетной записи TrustedInstaller
Попробуйте эти утилиты:
- Trusted Shell (64-разрядная версия в архиве, пароль:
tshell
). Достаточно запустить утилиту с правами администратора, затем в командной строке ввести regedit. Автор, Дмитрий Стариков, рассказывает о принципах работы в комментариях к этой записи. - DevxExec. Краткие инструкции в комментариях.
- ExecTI от Winaero.
- RunAsTI. Запуск от имени системы и/или TrustedInstaller. Принцип работы по ссылке. По информации участников форума, утилита работает из setupcomplete.cmd в отличие от tshell и devxexec.
- PowerRun. Запуск от имени системы и/или TrustedInstaller.
- Advanced Run от NirSoft
Как делать неграмотно и медленно
В Windows 8 слегка изменился графический интерфейс смены владельца, что стало непреодолимым препятствием для ряда читателей, судя по комментариям. Мне претит, когда на одной странице дублируются практически одинаковые инструкции, но другие варианты еще хуже. Поэтому выбирайте инструкции для своей ОС. Я полагаю, что в редакторе реестра у вас уже открыт нужный раздел реестра.
Получение полных прав и смена владельца
По ходу дела вы увидите, кто является владельцем раздела реестра. Если это Система или TrustedInstaller, можно воспользоваться подходящей утилитой ↓
Windows 8 и новее
- Щелкните правой кнопкой мыши на разделе реестра и выберите из меню пункт Разрешения.
- Выделите группу «Администраторы»:
- Если доступен флажок Полный доступ, установите его и нажмите кнопку ОК. Этого может оказаться достаточно, если группа является владельцем раздела.
- Если флажок недоступен или вы видите сообщение об ошибке, переходите к пункту 3.
- Нажмите кнопку Дополнительно, нажмите ссылку Изменить вверху окна, введите адрес электронной почты учетной записи Microsoft или имя локальной учетной записи, проверьте имя и нажмите кнопку ОК.
- Установите флажок Заменить владельца подконтейнеров и объектов вверху окна и нажмите кнопку ОК.
- Установите флажок «Полный доступ», как описано в пункте 2.
Windows 7
Посмотреть инструкции
Теперь ничто не препятствует записи в этот раздел реестра. Однако я рекомендую восстановить права, когда вы закончите редактирование раздела.
Возвращение исходных прав и восстановление владельца
После внесения изменений в реестр я советую вернуть исходные права и восстановить владельца, чтобы не снижать безопасность системы. Кроме того, на форум не раз обращались за помощью люди, у которых правильная работа системы нарушалась после того, как у системной учетной записи TrustedInstaller было отобрано владение.
Windows 8 и новее
- Щелкните правой кнопкой мыши на разделе реестра и выберите из меню пункт Разрешения.
- Нажмите кнопку Дополнительно, нажмите ссылку Изменить вверху окна и введите имя учетной записи:
- NT ServiceTrustedInstaller, если владельцем являлась учетная запись TrustedInstaller
- система, если владельцем являлась учетная запись Система (в английской ОС нужно вводить System)
- Установите флажок Заменить владельца подконтейнеров и объектов вверху окна и нажмите кнопку ОК.
- Выделите группу «Администраторы», снимите флажок Полный доступ и нажмите кнопку Применить.
Windows 7
Посмотреть инструкции
02.09.2016
Просмотров: 7306
Часто, чтобы внести изменения в раздел реестра или отредактировать параметр, нужно иметь права администратора. Однако в некоторых случаях изменить ключ реестра не может даже администратор, так как доступ ограничивается ACL и права записи для группы администраторов или владельцев системы просто отсутствуют или владельцами веток реестра назначены System, TrustedInstaller. В таком случае быстро и без вреда системе можно заполучить права на ключ или ветку реестра через командную строку и с помощью специальных программ. Описанные способы подходят для всех версий ОС Windows.
Читайте также: Недопустимое для реестра значение Windows 10
Содержание:
- Получаем права на ветку или ключ реестра с помощью блокнота и командной строки
- Использование утилиты SubInACL для получения прав на ветку реестра
- Меняем права на ключ реестра программой SetACL
Получаем права на ветку или ключ реестра с помощью блокнота и командной строки
Способ с Блокнотом достаточно прост при условии, если вы правильно указали путь к нужному ключу или ветке реестра. Рассмотрим пример.
- Открываем реестр и смотрим путь к ветке или параметру, права на которые нужно получить. К примеру, нам нужно получить права на ветку антивируса.
- Открываем блокнот и вставляем следующую команду: RegistrymachineSOFTWAREESET.
- Рекомендуем запомнить правильные адреса разделов, а именно:
- Registrymachinesoftwareclasses – адрес для ключей раздела HKEY_CLASSES_ROOT;
- Registrymachine — адрес для ключей раздела HKEY_LOCAL_MACHINE;
- Registryuseruser_sid – адрес для ключей раздела HKEY_CURRENT_USER (user_sid нужно заменить на корректный Security ID вашего пользователя);
- Registryuser – адрес для ключей раздела HKEY_USERS.
- После этого в блокноте открываем квадратные скобки и вставляем номера определённого доступа, которые смотрим в таблице.
1 | (to provide Administrators Full Access) | Дать Администраторам полный доступ |
2 | (to provide Administrators Read Access) | Дать Администраторам доступ только на чтение |
3 | (to provide Administrators Read and Write Access ) | Дать Администраторам право на изменение |
4 | (to provide Administrators Read, Write and Delete Access) | Дать Администраторам право на изменение и удаление |
5 | (to provide Creator/Owner Full Access) | Дать Создателю/Владельцу полный доступ |
6 | (to provide Creator/Owner Read and Write Access) | Дать Создателю/Владельцу доступ на изменение |
7 | (to provide Everyone Full Access) | Дать Всем полный доступ |
8 | (to provide Everyone Read Access) | Дать Всем доступ только на чтение |
9 | (to provide Everyone Read and Write Access) | Дать Всем право на изменение |
10 | (to provide Everyone Read, Write and Delete Access) | Дать Всем право на изменение и удаление |
17 | (to provide System Full Access) | Дать Системе полный доступ |
18 | (to provide System Read and Write Access) | Дать Системе право на изменение |
19 | (to provide System Read Access) | Дать Системе доступ только на чтение |
- В блокноте окончательная команда будет выглядеть следующим образом: RegistrymachineSOFTWAREESET [1 3 5 6].
- Сохраняем блокнот под названием ACL.txt
- Запускаем командную строку с правами администратора и вводим команду «REGINI full_path_of_script_file». В нашем примере она будет выглядеть так: «REGINI c:installacl.txt».
- Все права будут примерены к нужной ветке реестра.
Использование утилиты SubInACL для получения прав на ветку реестра
Эту утилиту специально для таких целей, как получение прав на ветку или ключ реестра, выпустила компания Microsoft. Её можно скачать на сайте разработчика бесплатно.
Далее, чтобы изменить права, стоит выполнить следующие действия:
- Выполняем установку программы.
- Принимаем условия лицензионного соглашения.
- Выбираем диск для распаковки файлов софта. Запустится инсталляция.
- Далее переходим в ту папку, в которую вы распаковали файлы программы и запускаем «exe».
- Теперь, чтобы управлять утилитой, нужно в командной строке с правами администратора ввести следующую команду: «SubInACL /type name /action», где «SubInACL» – запуск утилиты, «type name» – тип объекта, права которого нужно получить и «action» – действие.
- Только в командную строку вместо этих команд вводим следующее. Вместо «type» указывает тип объекта. Если нужно получить права на папку или файл, то прописываем «file». Если необходимо поменять владельца одного ключа реестра, то используем «keyreg». Если же нужно изменить всю ветку реестра с подчинёнными ключами, то используем «subkeyreg». Вместо команды «name» вводим название файла, папки или ключа реестра. Команда «action» отвечает за действие, которое будет произведено над объектом.
- Поскольку нам нужно поменять владельца реестра, то вводим в командной строке «/setowner=administrators/grant=administrators=f». Стоит отметить, что если у вас русскоязычная система, то слово «Администратор» вводим русскими.
- На примере готовая команда будет выглядеть следующим образом: «SUBINACL /keyreg «HKEY_LOCAL_MACHINESOFTWAREESET» /setowner=Администраторы /grant=Администраторы=f».
- Данной командой мы меняем владельца одного ключа и передаём его права администратору.
Читайте также: Нет доступа к системной папке и файлу. Как его получить?
Меняем права на ключ реестра программой SetACL
Программа SetACL является бесплатной и позволяет менять права владельцев папок, файлов, ключей реестра.
Содержание
- Windows 11: Настройка прав доступа к отдельным разделам реестра
- Настройка ОС MS Windows 11 для последующей смены владельца раздела реестра
- Несколько способов открытия редактора реестра в ОС MS Windows 11
- Смена владельца раздела реестра для получения полного доступа
- Как стать владельцем раздела реестра и получить права полного доступа
- Возвращение исходных прав и восстановление владельца
- Как внести изменения в реестр Windows 10, если отказано в доступе?
- Как разрешить внести изменения в реестр Windows 10?
- Редактирование групповой политики
- Как изменить владельца ветки реестра Windows 10.
- Редактор реестра не может задать безопасность для выбранного windows 10
- Лучший отвечающий
- Вопрос
- Ответы
Windows 11: Настройка прав доступа к отдельным разделам реестра
В некоторые разделы реестра Windows изменения не могут внесены без дополнительных действий администратора. Причиной является отсутствие прав локальной группы Администраторы для редактирования определенных разделов реестра, где в роли владельца выступает Система или TrustedInstaller.
TrustedInstaller – это служба, которая отвечает не только за установку различных программных компонентов Windows 11, но и за безопасность доступа к системным файлам, защищает определенные объекты Windows от несанкционированного изменения.
Также как и Система, TrustedInstaller может быть владельцем определенных разделов реестра. И один из способов редактирования реестра – это смена владельца раздела и присвоение ему полных прав.
Примечание. Перед тем как вносить изменения в реестр рекомендуется сделать его резервную копию, так как редактирование может привести к серьезным нарушениям системы, вследствие которых может потребоваться восстановление реестра.
В статье Получение доступа к отдельным разделам реестра с использованием сторонних утилит описан механизм получения доступа к отдельным разделам реестра для их последующего редактирования в ОС MS Windows 11 с использованием сторонних утилит.
Настройка ОС MS Windows 11 для последующей смены владельца раздела реестра
Чтобы была возможность сменить владельца раздела реестра для последующего редактирования параметров, необходимо отключить функции Защита в режиме реального времени, а также Защита от подделки (статья Отключение функций Защита в режиме реального времени и Защита от подделки Microsoft Defender в ОС MS Windows 11).
Как отключить на постоянной основе данные функции рассмотрено в статье Отключение функций Защита в режиме реального времени и Защита от подделки Microsoft Defender в Windows 11.
Несколько способов открытия редактора реестра в ОС MS Windows 11
Смена владельца раздела реестра для получения полного доступа
Если система не позволяет установить нового владельца, проверить отключены ли функции Защита в режиме реального времени и Защита от подделки.
Для того, чтобы заменить владельца всех дочерних объектов раздела, установить флажки в чекбоксах Заменить владельца подконтейнеров и объектов, а также Заменить все записи разрешений дочернего объекта наследуемыми от этого объекта.
В окне Разрешения для группы … выделить группу Администраторы и установить флажок в чекбоксе Полный доступ
После проделанных изменений можно вносить изменения в реестр. Чтобы не снижался уровень безопасности, после внесения изменений необходимо восстановить исходные права и владельца раздела реестра.
Источник
Как стать владельцем раздела реестра и получить права полного доступа
В этой статье показаны действия, с помощью которых можно стать владельцем раздела реестра и получить права полного доступа, а также как вернуть исходные права и восстановить исходного владельца.
Некоторые разделы системного реестра Windows не доступны для редактирования, даже если ваша учётная запись относится к группе «Администраторы». Это обычно происходит из-за того что у группы «Администраторы» нет соответствующих разрешений (прав) на запись в этот раздел реестра.
Есть несколько причин, почему вы не можете редактировать раздел реестра:
Далее в статье будет описано, как внести изменения в реестр при отсутствии соответствующих разрешений, а также как восстановить исходные разрешения, и для чего это нужно делать. Перед тем как редактировать системный реестр, рекомендуется создать точку восстановления системы
При изменении какого-либо параметра в реестре, если у вас недостаточно прав, то вы получите сообщение об ошибке.
► Рассмотрим первый пример, когда группа «Администраторы» является владельцем раздела, но не имеет полных прав на него.
Щелкните правой кнопкой мыши на разделе реестра и выберите из меню пункт Разрешения..
Выделите группу «Администраторы»:
Если флажок недоступен или вы видите сообщение об ошибке как на скриншоте ниже, то переходим к второму примеру.
Теперь у вас есть полный доступ к разделу реестра и можно редактировать все его параметры.
Возвращение исходных прав и восстановление владельца
В следующем окне Дополнительные параметры безопасности нажмите ссылку Изменить вверху окна, и в появившемся диалоговом окне Выбор: «Пользователь» или «Группа» введите имя учетной записи:
Исходные права и владелец раздела реестра восстановлены.
Если владельцем раздела являлась учетная запись Система (в английской варианте System ), то вместо NT Service\TrustedInstaller введите Система (в английской варианте System ).
Данная инструкция применима для операционных систем Windows 8, Windows 8.1, Windows 10.
Источник
Как внести изменения в реестр Windows 10, если отказано в доступе?
Реестр Windows 10 — не что иное, как структурированная база данных, в которой хранится информация о параметрах аппаратного и программного обеспечение вашего ПК.
Для запуска редактора реестра достаточно в строке поиска ввести regedit и в предложенных вариантах запустить одноименную программу от имени администратора.
Первая, вполне логичная мысль — скачать компонент и установить его. Но не все так гладко, при установке появляется другая ошибка — Windows 10 выдаст «.NET Framework 4.5 уже является частью этой операционной системы.».
Как всегда в таких случаях идем в Яндекс и получаем ответ: «Редактирование групповой политики… Отключение запрета на изменения реестра… используйте команду gpedit.msc».
Как разрешить внести изменения в реестр Windows 10?
Как внести изменения в реестр Windows 10 при помощи «Групповой политики» рассмотрим ниже, а сейчас предлагаю познакомиться с методом, который подойдет абсолютно любому пользователю независимо от сборки Windows 10. В большинстве случаев, при запуске gpedit.msc из строки «Выполнить» (вызывается клавишами Win + R), ОС информирует о отсутствии компонента в системе, и вы вспоминаете о том что ваша версия операционной системы «Windows 10 Домашняя», которая лишена возможности редактирования групповой политики.
Безвыходных ситуаций не бывает, внести изменения в реестр Windows 10 — просто. Воспользуйтесь пунктом «Разрешения…» в выпадающем контекстном меню, для этого кликните правой кнопкой мыши нужный пункт в ветке реестра.
В открывшемся окне щелкните по кнопке «Дополнительно», затем «Изменить» и в поле «Введите имена выбираемых объектов:» укажите имя своего профиля (под которым вы вошли в систему), далее «Ok» — «Применить» и «Ok».
Теперь, добавьте в список групп свой профиль. Для этого, кликнете «Добавить», в поле «Введите имена выбираемых объектов:» вбейте имя профиля и нажмите «Ok». Выделите свою учетную запись, а в поле ниже поставьте галочку «Полный доступ», затем «Применить» и «Ок».
Всё, полный доступ к выбранному пункту ветки реестра Windows 10 — открыт.
Редактирование групповой политики
И так, вернемся к групповой политике.
В меню «Выполнить» вводим gpedit.msc и кликаем «Ок».
В новом окне проследуйте: «Конфигурация пользователя» — «Административные шаблоны» – «Система» и кликните «Запретить доступ к средствам редактирования реестра».
Выберите «Отключено», после чего примените настройки и перезагрузите компьютер.
Источник
Публикация: 5 September 2018 Обновлено: 26 February 2020
В многопользовательской системе такой как Windows 10, администратор может предоставить или аннулировать разрешение вносить изменения для любых пользователей. Это касается и реестра Windows при удалении или редактировании.
Что же делать, если вы не можете изменить или удалить важный параметр реестра, просто необходимо сменить владельца ветки реестра! Достаточно сменить владельца один раз и вам будет предоставлен полный контроль.
После прочтения, вы получите возможность менять владельца для любого раздела реестра после чего сможете вносить нужные вам правки и изменения в реестре.
Как изменить владельца ветки реестра Windows 10.
Примечание: Ваша учетная запись пользователя должна иметь права администратора.
Вы, возможно уже сталкивались с проблемой при удалении или внесения изменений для записи реестра, получая сообщение «Не удается удалить. Ошибка при удалении ключа», «Не удается удалить все выделенные параметры» «Ошибка при записи нового параметра» и тд.. Это происходит потому, что вы не имеете достаточных прав для редактирования или удаления данного раздела реестра.
Будучи администратором, вы можете легко обойти эту проблему и использовать неограниченные права, для удаления разделов, параметров или модифицировать реестр с помощью твиков. Все, что вам нужно, это дать разрешение на владение разделом реестра конкретному пользователю:
Давайте предположим, вы выбрали ключ «Attributes», который находится в разделе реестра:
Изменив запись «Attributes», мы удалим Панель быстрого доступа из проводника Windows, но если вы попытаетесь изменить ее, вы получите сообщение, «Не удаётся изменить параметр «Attributes» Ошибка при записи нового параметра».
Изменить владельца для определенного раздела реестра Windows 10.
Шаг 1. Кликните правой кнопкой мыши на разделе реестра (папке) в которой находится нужный вам параметр (ключ) реестра и выберите в контекстном меню «Разрешения».
Шаг 2. В открывшемся окне нажмите на кнопку «Дополнительно».
Шаг 3. В окне дополнительных параметров безопасности, Вы видите, что владельцем данного раздела и объектов в нем является «Система».
Шаг 4. В строке Владелец нажмите надпись «Изменить».
Шаг 5. В диалоговом окне «Выбор: Пользователь или Группа» нажмите кнопку «Дополнительно».
Шаг 6. В следующем окне нажмите кнопку «Поиск».
Шаг 7. В нижней части окна найдите и кликните мышкой надпись «Администраторы» (см. картинку) и нажмите «Ок».
Шаг 8. Вернувшись в окно «Выбор: Пользователь или Группа», снова нажмите кнопку «ОК».
Шаг 9. В окне «Дополнительных параметров безопасности» необходимо установить флажки в два чекбокса (см картинку ниже):
Шаг 10. Нажмите кнопку «Применить» → «ОК». Подтвердите запрос безопасности.
Шаг 11. Вы вернетесь к диалоговому окну «Разрешение для Группы». Выберите группу «Администраторы», в разрешениях группы необходимо также установить флажки в чекбоксы в пункте «Полный доступ», «Чтение» и нажмите «Применить» → «ОК».
Все, теперь вы сможете вносить изменения или удалить ключ в этой ветке реестра. Если вам потребуется изменить другой раздел реестра вам придется повторить все действия снова.
Теперь вы знаете, как получить полный доступ к конкретной записи реестра для редактирования или удаления, не забывайте делать резервную копию реестра если что то пойдет не так.
Источник
Редактор реестра не может задать безопасность для выбранного windows 10
Этот форум закрыт. Спасибо за участие!
Лучший отвечающий
Вопрос
Здравствуйте!! У меня такая проблема: не могу удалить ветки реестра, нет прав,нашёл в сети статью,как дать права, следуя инструкции при смене владельца,установки флажка Заменить владельца подконтейнеров и обьектов, выдаёь ошибку: Редактор реестра не может задать владельца для выбранного раздела или одного из его подразделов!! В чём проблема и как её решить?
P.S.Сижу под локальным админом и редактор реестра запускаю от имени администратора
Ответы
А что за ветку реестра хотите удалить?
Даже у администратора не везде есть разрешения на доступ. Некоторые разделы реестра контролируются системой (SYSTEM), администратор не может на них влиять. Дополнительную защиту могут также вносить Уровни Целостности (Integrity Level). Учётка SYSTEM имеет IL выше, нежели Администратор. Преодолеть этот барьер Администратор не в силах.
Удалить ветку реестра, защищённую SYSTEM, можно, запустив Regedit от имени SYSTEM (cmd должен быть запущен от имени Администратора):
Источник
Содержание
- Причины отсутствия доступа к реестру
- Получение полных прав и смена владельца
- Возвращение исходных прав и восстановление владельца
- Внесение изменений в реестр от имени учетной записи «Система»
Причины отсутствия доступа к реестру
В некоторые разделы реестра Windows 7 изменения не может внести даже администратор, работающий в редакторе реестра, который запущен с полными правами. Это происходит потому, что у группы «Администраторы» нет прав на запись в этот раздел реестра. Причин для этого может быть три:
- Группа «Администраторы» является владельцем раздела, но не имеет полных прав на него. В этом случае достаточно просто выдать группе «Администраторы» полные права.
- Владельцем раздела является системная служба TrustedInstaller. Эта служба работает в рамках комплекса по укреплению безопасности операционной системы, но для любителей «поковырять» реестр она представляет собой досадную помеху на пути к цели. В этом случае нужно сначала стать владельцем раздела, а затем выдать своей группе полные права.
- Владельцем раздела является системная учетная запись «Система». В этом случае можно поступить так же, как и с TrustedInstaller, но я также расскажу, как использовать другой способ, не связанный с изменениями разрешений.
Далее я покажу, как внести изменения в реестр при недостатке прав. Я также объясню, как восстановить исходные разрешения, и почему это нужно делать
Получение полных прав и смена владельца
Я полагаю, что в редакторе реестра у вас уже открыт нужный раздел.
- Щелкните правой кнопкой мыши на разделе реестра и выберите из меню пункт Разрешения.
- Выделите группу «Администраторы»:
- Если доступен флажок Полный доступ, установите его и нажмите кнопку ОК. Этого может оказаться достаточно, если группа является владельцем раздела
- Если флажок недоступен или вы видите сообщение об ошибке, переходите к пункту 3.
- Нажмите кнопку Дополнительно и перейдите на вкладку Владелец.
- Здесь я рекомендую различный подход в зависимости от владельца раздела.
- Если владельцем является TrustedInstaller, выделите свою учетную запись, установите флажок Заменить владельца подконтейнеров и объектов и нажмите кнопку ОК.
- Если владельцем является Система, можно поступить так же
Теперь ничто не препятствует записи в этот раздел реестра. Однако я рекомендую восстановить права, когда вы закончите редактирование раздела
Возвращение исходных прав и восстановление владельца
После внесения изменений в реестр я советую вернуть исходные права и восстановить владельца, чтобы не снижать безопасность системы. Кроме того, на форум не раз обращались за помощью люди, у которых правильная работа системы нарушалась после того, как у системной учетной записи TrustedInstaller было отобрано владение.
- Щелкните правой кнопкой мыши на разделе реестра и выберите из меню пункт Разрешения.
- Выделите группу «Администраторы», снимите флажок Полный доступ и нажмите кнопку Применить.
- Нажмите кнопку Дополнительно и перейдите на вкладку Владелец. Вы увидите, что в отличие от вашей учетной записи, в списке нет служебных учетных записей Система и TrustedInstaller. Их нужно добавлять в список, как описано ниже.
- Нажмите кнопку Другие пользователи и группы и в качестве имени объекта введите:
- NT ServiceTrustedInstaller, если владельцем являлась учетная запись TrustedInstaller
- система, если владельцем являлась учетная запись Система (в английской ОС нужно вводить System)
- Нажмите кнопку ОК.
- Теперь нужная учетная запись есть в списке. Выделите ее, установите флажок Заменить владельца подконтейнеров и объектов и нажмите кнопку ОК.
Исходные права и владелец раздела реестра восстановлены.
Внесение изменений в реестр от имени учетной записи «Система»
Если владельцем раздела реестра является специальная учетная запись «Система», существует способ внести изменения в раздел, не изменяя владельца и разрешений. Для этого используется утилита PsExec, входящая в набор утилит Марка Руссиновича PsTools. Суть способа сводится к запуску редактора реестра от имени системы.
- Загрузите набор PsTools и распакуйте утилиту PsExec в папку Windows, чтобы не указывать к ней путь в командной строке.
- Откройте командную строку от имени администратора и выполните команду:
psexec -i -s regedit
Запустится редактор реестра, причем от имени системы, что задается параметром — s.
В этом легко убедиться с помощью другой утилиты Марка Руссиновича – Process Explorer. В свойствах процесса видно, от чьего имени он запущен.
Теперь вы можете вносить изменения в разделы реестра, владельцем которых является учетная запись «Система».
К сожалению, я не нашел способа запустить редактор реестра от имени TrustedInstaller.