Архив форумов ЦИТФорума

[epros]

Все же я не могу врубиться в этот предмет.

Тут я недавно словил вредную spyware и при мониторинге операций с реестром обнаружил некий подозрительный процесс, который от имени текущего пользователя лазит в настройки интернет. Я, ессно, захотел его возможности ограничить с целью посмотреть, что из этого будет. Ну, залез в этот раздел реестра, посмотрел разрешения - они все оказались унаследованными от корневого раздела - HKCU. Я это наследование отменил, а потом взял, да и исключил текущего юзера из списка доступа (а у него был полный доступ). Процесс после этого получил ACCESS DENIED, но и я, увы, вошедший под именем того же пользователя, ничего уже не мог сделать с этим разделом. В том числе - не мог установить разрешения обратно.

Хм, ладно, мы и как администраторы можем войти. Но вот прикол: если regedit запускается от администратора, то мне виден уже совсем другой раздел HKCU - принадлежащий этому юзеру (администратору). А соответствующий раздел первого юзера, ессно, не виден. К счастью, в разрешениях оставался полный доступ администраторам, так что я просто временно включил первого юзера в группу "администраторы", запустил regedit от его имени и все там исправил. А если бы не так? Что делать с такой странной логикой администрирования прав, когда можно навсегда закрыть себе какой-нибудь доступ без всякой возможности восстановления?

[4u3u]

Вопрос тут не в администрировании, а в структуре реестра. Советую прочитать что-нибудь по этому поводу. Коротко, HKCU - это ссылка на одну из ветвей реестра из раздела HK_USERS, где хранятся разделы реестра всех пользователей. HKCU ссылается на ветку текущего пользователя.

Что касается прав доступа к элементам реестра (то же относится и к разрешениям NTFS), то ничего странного тут нет. Представь себе, что тебе дано право приказать охраннику на входе в свой офис не пускать ни под каким предлогом кого угодно. В том числе и тебя. Вот ты и воспользовался этим правом. А Администратор, он просто еще и начальник охраны :)
Или еще лучше: у тебя есть ключ от квартиры. Так вот представь что ты его выкинул. Ничего странного что ты не можешь попасть к себе домой. А у администратора есть мастер-ключ. Да еще наручником к руке пристегнутый :)

[nkls]

То что тебе не виден раздел это не беда. Ты можешь загрузить его как ветвь, внести исправления. Только не забудь выгрузить.

[epros]

Ага, действительно, когда запускаю регедит от администратора, то в HKCU вижу только раздел администратора, а в HKU - раздел того юзера, который в настоящий момент прилогинился. Соответственно, права последнего я могу редактировать. Только вот как найти его раздел я сразу не соображу: он имеет длинный номерной идентификатор, который непонятно как сопоставляется с его логином.

Кстати, как я понял, разделы неприлогиненных юзеров в HKU не видны.

[4u3u]

[epros]

Спасибо, понял.
А как можно подгрузить раздел неприлогиненного пользователя из его ntuser.dat, чтобы что-нибудь сделать с его правами

[Гость]

http://www.petri.co.il/edit_registry_settings_for_users_other_than_myself.htm