Question

В Win Server 2008 R2 есть раздел реестра,

HKCR:\CLSID\{76A64158-CB41-11D1-8B02-00600806D9B6}

, владелец которого не является администратором. Это TrustedInstaller. Теперь сделать Remote Соединение DCOM / WMI работает, мне нужно дать администратору разрешение на Полный контроль над этим ключом и собственностью. Как это должно быть сделано на несколько машин, я надеялся, что смогу сделать это с помощью Powershell. Я последовал за это

Управление разрешениями ACL реестра с помощью Powershell

Смена владельца каталогов с powershell

но я все еще получаю эту ошибку

Exception calling "OpenSubKey" with "3" argument(s):
"Requested registry access is not allowed."

Код, который я пытаюсь запустить, прост

$key = [Microsoft.Win32.Registry]::ClassesRoot.OpenSubKey(
  "CLSID\{76A64158-CB41-11D1-8B02-00600806D9B6}",
  [Microsoft.Win32.RegistryKeyPermissionCheck]::ReadWriteSubTree,
  [System.Security.AccessControl.RegistryRights]::TakeOwnership
)
echo $key

Есть идеи, как сменить владельца этого ключа? Я считаю, что когда-то владение изменен на Администратор, я смогу изменить разрешения, используя Set-Acl.

Elitecoder · Answer 1 · 04 марта 2014

Мне удалось добиться этого в powershell, используя следующий скрипт

# Checking OS Version and changing Registry Key permissions accordingly. We do need
# to change reg-key ownership for Win Server 2008, but in 2008 R2, owner of one of
# the required keys is TrustedInstaller instead of Administrator. Thus we need to
# change the owner back to Admin in order to make any changes to that key.
echo "Checking Operating System Version..."
$cv = (gi "HKLM:SOFTWARE\Microsoft\Windows NT\CurrentVersion")
$wv = $cv.GetValue("ProductName")
echo "$wv"
# Mounting HKey_ClassesRoot Registry key as a drive - Silent
New-PSDrive -name HKCR -PSProvider Registry -root HKEY_CLASSES_ROOT | Out-Null
$acl = Get-Acl "HKCR:\CLSID\{76A64158-CB41-11D1-8B02-00600806D9B6}"
$owner = $acl.Owner
# Case 48188: Because Windows has server version like Windows Web Server 2008 R2, we
# cannot validate the version name using "Windows Server 2008 R2". We will only
# check if the name contains "Server 2008 R2".
if($wv.Contains("Server 2008 R2") -and !$owner.Contains("Administrators"))
{
  echo "Setting Administrators Group privileges in Windows Registry..."
  $boolResult = enable-privilege SeTakeOwnershipPrivilege
    if(-not $boolResult)
    {
      echo "Privileges could not be elevated. Changing ownership of the registry"
      echo "key would fail. Please change ownership of key"
      echo "HKCR\CLSID\{76A64158-CB41-11D1-8B02-00600806D9B6} to Administrators"
      echo "Group manually."
      return
    }
  $key = [Microsoft.Win32.Registry]::ClassesRoot.OpenSubKey(
    "CLSID\{76A64158-CB41-11D1-8B02-00600806D9B6}",
    [Microsoft.Win32.RegistryKeyPermissionCheck]::ReadWriteSubTree,
    [System.Security.AccessControl.RegistryRights]::takeownership
  )
  # You must get a blank acl for the key b/c you do not currently have access
  $acl = $key.GetAccessControl(
    [System.Security.AccessControl.AccessControlSections]::None
  )
  $owner = [System.Security.Principal.NTAccount]"Administrators"
  $acl.SetOwner($owner)
  $key.SetAccessControl($acl)

  # After you have set owner you need to get the acl with the perms so you can
  # modify it.
  $acl = $key.GetAccessControl()
  $person = [System.Security.Principal.NTAccount]"Administrators"
  $access = [System.Security.AccessControl.RegistryRights]"FullControl"
  $inheritance = [System.Security.AccessControl.InheritanceFlags]"ContainerInherit"
  $propagation = [System.Security.AccessControl.PropagationFlags]"None"
  $type = [System.Security.AccessControl.AccessControlType]"Allow"

  $rule = New-Object System.Security.AccessControl.RegistryAccessRule(
    $person,$access,$inheritance,$propagation,$type
  )
  $acl.SetAccessRule($rule)
  $key.SetAccessControl($acl)

  $key.Close()
  echo "Administrators Group ownership privileges set."
}

Li C Zhao · Answer 2 · 24 августа 2011

Я столкнулся с подобной проблемой ранее. Вместо того, чтобы пытаться завладеть ключом, я изменил его разрешение, чтобы он мог быть доступен для чтения всем (8). Это можно сделать с помощью 'regini'. У меня есть функция-обертка, которая может изменить разрешение предоставленного ключа.

Пример: RegistryPermission -server 'localhost' -key "HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Enum" -string '[1 8 17]'

Для получения дополнительной информации запустите 'regini' в командной строке для настройки разрешений.

function Fix-RegistryPermission {
    param (
        [string] $server,
        [string] $key = "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum",
        [string] $permissions = "[1 8 17]"
    )

    $("{0} {1}" -f $key, $permissions) | Out-File $("{0}\regini_input.txt" -f $Env:Temp);

    & "regini" -m \\$server $("{0}\regini_input.txt" -f $Env:Temp);
    sleep 3;
    Remove-Item $("{0}\regini_input.txt" -f $Env:Temp);     
}

Изменение владельца ключа HKCR \ CLSID \ * на Администратор в Windows Server 2008 R2

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Изменение владельца ключа HKCR \ CLSID \ * на Администратор в Windows Server 2008 R2

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы