Управление удаленным доступом к системному реестру

Аннотация

В данной статье содержатся инструкции по управлению доступом к реестру на удаленном компьютере.

Некоторые службы требуют доступ к системному реестру для надлежащей работы. Например, в системе, на которой установлена служба репликации каталогов, учетная запись репликатора должна иметь доступ к соответствующему разделу реестра. Редактор реестра обеспечивает доступ к реестру Windows, но его можно и ограничить.

Дополнительная информация

Предупреждение. Неправильное использование редактора реестра может привести к возникновению серьезных неполадок, требующих переустановки операционной системы. Корпорация Майкрософт не несет ответственности за неправильное использование редактора реестра. При изменении реестра полагайтесь на свой опыт и знания.

Управление удаленным доступом к реестру с помощью раздела реестра

Для ограничения удаленного доступа к системному реестру используется следующий раздел:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\ winreg
Description: REG_SZ
Значение: Сервер реестра

Заданные в этом разделе разрешения безопасности определяют, какие пользователи или группы могут иметь удаленный доступ к системному реестру.

  • По умолчанию на компьютере под управлением Windows XP Professional доступ к реестру по сети имеют только члены группы «Администраторы» и «Операторы архива». При этом администраторы имеют разрешение на полный доступ, а операторы архива – на чтение.
  • На компьютере под управлением Windows XP Home Edition доступ к реестру по сети по умолчанию имеют только члены группы «Администраторы», и им предоставляется полный доступ.

Если раздел, ограничивающий доступ к реестру, уже присутствует, то запустите редактор реестра и сразу переходите к шагу 7 и 8, чтобы добавить, удалить или изменить пользователей, группы и разрешения.

Создание раздела реестра для управления удаленным доступом к нему

Чтобы создать раздел, ограничивающий доступ к реестру, выполните следующие действия:

  1. Запустите редактор реестра (Regedt32.exe) и перейдите к следующему разделу:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
  2. В меню Правка выберите пункт Добавить раздел и введите следующие значения:
    Имя раздела: SecurePipeServers
    Класс: REG_SZ
  3. Выделите следующий раздел:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ SecurePipeServers
  4. В меню Правка выберите пункт Добавить раздел и введите следующие значения:
    Имя раздела: winreg
    Класс: REG_SZ
  5. Выделите следующий раздел:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ SecurePipeServers\winreg
  6. В меню Правка выберите пункт Добавить значение и введите следующие значения:
    Параметр: Description
    Тип данных: REG_SZ
    Строка: Сервер реестра
  7. Выделите следующий раздел:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ SecurePipeServers\winreg
  8. Правой кнопкой мыши щелкните раздел winreg, выберите пункт Разрешения и измените текущие разрешения либо добавьте пользователей или группы, которым необходимо предоставить доступ.
  9. Закройте редактор реестра и перезапустите компьютер.

Обход ограничений доступа, заданных в разделе реестра

Для надлежащей работы некоторых служб они требуют удаленный доступ к системному реестру. Например, доступ к удаленному реестру необходим службе репликации каталогов, а также службе «Диспетчер очереди печати» при подключении к сетевому принтеру.

Доступ можно предоставить двумя способами: добавить имя учетной записи службы в список доступа в разделе Winreg или настроить в Windows обход ограничений доступа к определенным разделам, перечислив их в параметрах Machine или Users раздела AllowedPaths.

Чтобы добавить определенные подразделы в раздел AllowedPaths, выполните следующие действия:

  1. Запустите редактор реестра (Regedt32.exe) и перейдите к следующему разделу:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\ Winreg\AllowedPaths
  2. В параметре Machine добавьте разделы, для которых будет использоваться обход ограничений доступа, введя следующие сведения:
       Значение:        Machine
       Тип параметра:   REG_MULTI_SZ – мультистроковый
       Данные по умолчанию: System\CurrentControlSet\Control\ProductOptions
                     System\CurrentControlSet\Control\Print\Printers
                     System\CurrentControlSet\Control\Server Applications
                     System\CurrentControlSet\Services\Eventlog
                     Software\Microsoft\Windows NT\CurrentVersion
    
       Допустимые значения:  Правильный путь к параметру реестра
       Описание:  Разрешает компьютеру доступ к перечисленным разделам
                     реестра при условии, что доступ к этому разделу
                     явно не ограничен
    
  3. В параметре Users добавьте разделы, для которых будет использоваться обход ограничений доступа, введя следующие данные:
       Значение:        Пользователи
       Тип параметра:   REG_MULTI_SZ – мультистроковый
       Данные по умолчанию: (отсутствуют)
    
       Допустимые значения:  Правильный путь к параметру реестра
       Описание:  Разрешает пользователям доступ к перечисленным разделам
                     реестра при условии, что доступ к этому разделу
                     явно не ограничен
    

    Следует помнить, что параметр «Пользователи» не содержится в реестре по умолчанию. Возможно, его потребуется создать.

  4. Закройте редактор реестра и перезапустите компьютер.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *