Как настроить права на доступ пользователей к реестру в Windows

Как настроить права на доступ пользователей к реестру в Windows

Описание

В некоторых ситуациях может быть очень полезно задать различные разрешения на доступ к отдельным разделам реестра (и всем подразделам) для различных пользователей, например, чтобы запретить определенному пользователю доступ к определенному разделу. Делается это через стандартный редактор реестра - regedit.

Настраиваем права доступа к реестру

Для примера мы возьмем стандартный раздел HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run, именно сюда можно вносить программы, которые будут запускаться при входе текущего пользователя в ОС Windows. Предположим, что мы хотим запретить текущему пользователю вносить новые записи в данный раздел.

Будьте осторожны и помните о том, что разрешения наследуются, т.е. разрешения, заданные для раздела, будут распространены далее - на все подразделы и параметры в них.

Запускаем редактор реестра regedit и открываем в нем указанный раздел.

После этого нажимаем на пункт "Правка" и "Разрешения..."

Откроется окно с текущими группами и пользователями, имеющими доступ к данному разделу и с настройками ограничений для данного раздела, выглядит оно как на скриншоте ниже:

 

В данном примере мы вошли в систему под пользователем Admin, поэтому именно для него мы и будем ограничивать доступ к данному разделу. Для этого, мы выделяем мышкой нашего пользователя Admin и нажимаем на кнопку "Дополнительно".

После чего откроется меню с текущими разрешениями для пользователей и возможностью их изменения. Там мы выделяем нашего пользователя "Admin" и нажимаем на кнопку "Изменить..."

И выставляем галочку в колонке "Запретить" у пункта "Задание значения", после чего жмем на кнопку "ОК".

Теперь, мы видим что в дополнительных параметрах безопасности для раздела Run появилось новое значение запретить для пользователя Admin. Чтобы новые настройки доступа применились, необходимо нажать на кнопку "ОК"

Будет выведено информационное сообщение, объясняющее, что у элемента разрешений "Запретить" приоритет выше, чем у других, жмем на кнопку "Да".

 

После этого наш пользователь Admin больше не имеет прав на задание значений для данного раздела (и всех его подразделов).

Теперь проверяем, что все работает как должно. Для этого попытаемся задать новый параметр через regedit:

И в результате получаем вот такую ошибку:

Доступные разрешения для прав доступа к реестру

  • Полный доступ - как понятно из названия, это полный доступ ко всем возможным значениям (т.е. Разрешить напротив всех пунктов доступа);
  • Запрос значения - пользователь может получить значения параметров в реестре в данном разделе (для этого он должен указать полный путь к интересующему параметру);
  • Задание значения - пользователь может задавать новые параметры или же менять значения на свои для уже существующих параметров;
  • Создание подраздела - пользователь может создавать новые подразделы в том разделе, для которого ему заданы разрешающие права;
  • Перечисление подразделов - пользователь может получить список всех подразделов в том разделе, для которого ему заданы разрешающие права;
  • Уведомление - пользователь может регистрировать функцию обратного вызова (callback), запускаемую при изменении выбранных параметров;
  • Создание связи - пользователь может создавать связи с другими разделами реестра;
  • Удаление - пользователь может удалять параметры или разделы (подразделы), в том разделе, для которого ему заданы разрешающие права;
  • Запись DAC - пользователь может перезаписать настройки доступа в том разделе, для которого ему заданы разрешающие права;
  • Смена владельца - пользователь может менять владельца в том разделе, для которого ему заданы разрешающие права;
  • Чтение разрешений - пользователь может читать список разрешений доступа в том разделе, для которого ему заданы разрешающие права;
Была ли эта статья Вам полезна?

Добавить комментарий

Ваш адрес email не будет опубликован.

Напоминаем Вам, что Ваше сообщение будет опубликовано только после проверки администратором сайта. Обычно это занимает 1-2 рабочих дня.