Меню
ГлавнаяWindows 10

Где хранится реестр пользователя. Где хранится реестр

Разобравшись с типами папок реестра, давайте посмотрим, как именно они хранятся на компьютере. Это знание поможет вам в случае форс-мажорных обстоятельств восстановить вашу систему. Весь реестр, как и сле-довало ожидать, хранится в обычных файлах, причем разные папки реестра в разных физических файлах. Как правило, каждая корневая папка реестра хранится не в одном, а в трех разных физических файлах. Первый, без рас-ширения, и есть сам бинарный файл содержимого папки. Необходимость второго файла, с расширением LOG, вытекает из того обстоятельства, что ре-естр является журналируемой файловой системой. В файле LOG хранятся протоколы всех транзакций, проводившихся в реестре. В том случае, если ваш компьютер повиснет на половине дороги записи каких-либо данных в реестр, система по логам, хранящимся в файле LOG, сделает откат измене-ний. За счет этого механизма обеспечивается однозначность всех операций с реестром. Данные могут быть или записаны в реестр, или нет. «Наполовину» записанных данных в реестре не бывает тут дело обстоит как в известном анекдоте про беременность и файловой системе NTFS.

Третий тип файлов, называющийся SAV, малоинтересен. Эти файлы соз-дает установщик Windows по окончанию текстовой фазы установки. Если в последующем графическом режиме что-либо пойдет наперекосяк, Windows пользуется этими файлами для восстановления реестра. В дальнейшем, на-сколько я понял, эти файлы не используются. Если вы переименуете файлы SAV в одноименные файлы без расширения, этим самым вы вернетесь на этап самого начала установки Windows. Она затребует диск с дистрибутивом и продолжит установку так, как будто вы только что ее прервали, а не работали на системе несколько месяцев.

Итак, давайте посмотрим, как именно называются файлы, в которых хранятся основные папки реестра.

Папка HKEY_LOCAL_MACHINE\\SAM

Папка реестра, отвечающая за настройки всех участников безопасности Windows. В обычном REGEDIT эта папка выглядит пустой, хотя это вовсе не так. У вас просто нет прав даже на чтение ее содержимого. Существуют альтернативные редакторы реестра, с помощью которых можно увидеть и даже отредактировать ее ключи. Хранится содержимое этой папки в файлах, находящихся в каталоге C:\\WINDOWS\\SYSTEM32\\ CONFIG. Файлы называ-ются SAM, SAM.SAV и SAM.LOG.

Папка HKEY_LOCAL_MACHINE\\SECURITY

Папка реестра, также отвечающая за настройки безопасности Windows. Эта папка вообще не видна в обычном редакторе реестра REGEDIT. Редак-тор REGISTRAR позволяет смотреть и редактировать. В этой ветви живут пользователи, группы, относящиеся к ним политики безопасности и тому по-добные вещи. Содержимое этой папки хранится в файлах, также находящих-ся в каталоге C:\\WINDOWS\\SYSTEM32\\ CONFIG. Файлы называются SECU-RITY, SECURITY.SAV и SECURITY.LOG.

Папка HKEY_LOCAL_MACHINE\\SOFTWARE

Папка реестра, в которой хранятся настройки различных приложений и самого Windows, общие для всех пользователей. Папка доступна для редак-тирования обычным REGEDIT, так что сами посмотрите, что именно в ней лежит. Как вы уже, наверно, догадались, содержимое этой папки, опять-таки, хранится в файлах, находящихся в каталоге C:\\WINDOWS\\SYSTEM32\\CONFIG. Файлы называются SOFTWARE, SOFTWARE.SAV и SOFTWARE.LOG.

Папка HKEY_LOCAL_MACHINE\\SYSTEM

Папка реестра, в которой хранятся настройки вашего компьютерного железа. Тут же лежат описания запускаемых на вашей машине сервисов и тому подобные низкоуровневые вещи. Папка доступна для свободного ре-дактирования через REGEDIT. Содержимое этой папки хранится в файлах, находящихся в каталоге… Ну как, догадались? Так и есть: C:\\WINDOWS\\SYSTEM32\\CONFIG. Файлы называются SYSTEM, SYSTEM.SAV и SYSTEM.LOG.

Папка HKEY_USERS\\.DEFAULT

Папка реестра, в которой хранятся настройки так называемого «пользо-вателя по умолчанию». Настройки этого пользователя служат своеобразным макетом, на основе которого формируются настройки всех остальных вновь создаваемых вами пользователей. Система просто копирует все содержимое этой папки в папку HKEY_USERS вновь созданного пользователя. Папка дос-тупна для свободного редактирования через REGEDIT. Содержимое этой папки хранится в файлах, находящихся в каталоге C:\\WINDOWS\\SYSTEM32\\ CONFIG. Файлы называются DEFAULT, DE-FAULT.SAV и DEFAULT.LOG.

Папки каждого отдельного пользователя внутри HKEY_USERS

Хранят настройки программ под каждого конкретного пользователя, имеющегося в вашей системе. В момент установки WINDOWS XP регистри-рует как минимум двух пользователей «Администратора» и того пользовате-ля, имя которого вы указали на одном из экранов ее установки. Папка дос-тупна для свободного редактирования через REGEDIT. Содержимое этой папки хранится в файлах, находящихся в каталоге… а вот и не угадали! На этот раз в C:\\Documents and Settings\\<имя пользователя>. Файл называется NTUSER. DAT. Рядышком обычно лежат файлы-компаньоны. В файле NTUSER.LOG хранится содержимое ветви HKEY_ CURRENT_USER. Файлы NTUSER.POL и NTUSER.INI создаются редактором глобальных политик WINDOWS, в них хранятся созданные с его помощью политики для этого пользователя. О редакторе политик мы еще с вами поговорим в последую-щих статьях цикла.

Папка HKEY_USERS\\USER_CLASSES

Эта папка является дополнением к папке HKEY_LOCAL_MACHINE\\SOFTWARE\\CLASSES. В ней хранятся классы и ти-пы приложений, зарегистрированные (или измененные) под этого конкретно-го пользователя. Эти данные хранятся в файлах USRCLASS.DAT и USRCLASS.DAT.LOG. Файлы расположены в папке C:\\Documents and Settings\\ <имя пользователя>\\Local Settings\\Ap-plication Data\\Microsoft\\ Windows.

Такие папки как HKEY_LOCAL_ MACHINE и HKEY_USERS в реальности не существуют. Система строит их только для нашего удобства.

Работа с реестром Windows - дело не слишком трудное, особенно если это ваш собственный реестр и нужно внести изменения или устранить проблемы для текущего зарегистрированного пользователя. Однако, иногда, вы не один пользуетесь своим компьютером и вам необходимо внести изменения во всех аккаунтах. При чем, вы не можете полагаться на других пользователей, вам нужно быстро устранить проблему.

Не беспокойтесь, работать с файлами реестра в другой учётной записи пользователя ПК из учётной записи администратора вполне можно, что сэкономит ваше время, избавит от огорчений и необходимости сохранять содержащие все нужные изменения текстовые и конфигурационные файлы, не говоря уж о перенесении этих файлов с одного аккаунта на другой.

Ранее мы уже видели насколько в Windows важен реестр и как изменения в нём влияют на работу ПК. В рамках предприятия, системные администраторы для настройки, развёртывания, управления приложениями и установки пользовательских настроек персональных компьютеров часто используют групповые политики.

Regedit.exe

Инструмент RegEdit уже был описан в предыдущей статье, так что сосредоточимся на том, как использовать этот встроенный инструмент для редактирования реестра на другом компьютере. Если вы тестируете определённый сценарий, вы всегда можете экспортировать копию своего реестра, чтобы потом при необходимости его импортировать.
Откройте окно командной строки (от имени администратора), поиск в меню «Пуск», либо нажав Windows+X в Windows 8 или 8.1, и введите следующую команду:

C:\mkdir c:\Temp
Regedit.exe /e c:\temp\yourname.reg

Для того, чтобы загрузить другую ветвь реестра в текущую, выполните следующие действия:

  • Войдите на компьютер в качестве администратора.
  • Согласитесь с предупреждением User Account Control (UAC).
  • Выберите ветку HKEY_LOCAL_MACHINE.
  • В меню «Файл» выберите команду «Загрузить куст реестра».
  • Найдите нужный файл узла реестра и нажмите кнопку OK.
  • Дайте понятное имя для загружаемого файла реестра.

После того, как вы просмотрели или изменили параметры реестра, выгрузите этот файл, выбрав в меню «Файл» пункт выгрузки куста реестра.

Если вы хотите подключиться к реестру, принадлежащему другой учётной записи пользователя, как и раньше запустите программу regedit.exe, затем из профиля пользователя, к которому вы хотите получить доступ, откройте NTuser.dat. Файлы ntuser.dat (или NTUSER.MAN) в Windows Vista находятся в папке «Документы и настройки», в Windows 7 или более поздних версиях, в папке пользователя. По сути вы загрузите на свой ПК файл узла реестра другого пользователя.

  • Войдите в систему в качестве администратора.
  • На стартовом экране введите RegEdit и нажмите Enter.
  • Выберите ветку HKEY_USERS.
  • В меню «Файл» выберите команду «Загрузить куст».
  • Перейдите к папке профиля и выберите ntuser.dat.
  • При появлении запроса на имя ключа, введите имя пользователя в качестве справочной метки.
  • RegEdit будет импортировать данные реестра пользователя.
  • После того, как вы просмотрели или сделали изменения, выделите куст и из меню «Файл» выберите опцию выгрузки куста.

Для того, чтобы загрузить один и тот же куст в RegEdit, в командной строке с повышенными правами или административной консоли PowerShell, введите следующую команду, с именем учётной записи загружаемого куста:

reg.exe load HKLM\User "c:\users\User\ntuser.dat"

Внимание . С помощью RegEdit вы можете получить доступ только к кустам HKEY_USERS и HKEY_LOCAL_MACHINE другого пользователя.

По умолчанию система скрывает NTuser файлы, так что для отображения скрытых системных файлов вам придётся, в файловом проводнике, изменить настройки свойства папки.

Если у вас нет сторонних инструментов, а вы хотите сравнить два реестра, в административной консоли PowerShell, для запуска другого экземпляра RegEdit, используйте следующую команду:

Regedit.exe –m

Если RegEdit у вас не запущен, вы получите сообщение об ошибке. После запуска двух экземпляров RegEdit, если вы используете Windows 7 или более позднюю версию ОС, для сравнения результатов, вы можете использовать функцию Windows Snap.


Если вы ещё не знакомы с функцией привязки, используйте сочетания следующих клавиш:
Windows + стрелка влево, чтобы привязать окно к левой стороне или Windows + стрелка вправо, чтобы привязать к правой.

Внимание . Команда regedit.exe -m будет работать в Windows XP и более поздних версиях операционных систем, и требует, по крайней мере одного запущенного экземпляра RegEdit.

Удалённое администрирование

Для активации удалённого администрирования на ПК нужно пройти несколько шагов. Первый - открыть редактор групповой политики (gpedit.msc в поле поиска или на стартовом экране) и перейти к Конфигурация компьютера ➤ Административные шаблоны ➤ Сеть ➤ Сетевые подключенияМежсетевой экран, затем, в зависимости от того, как вы будете подключаться и управлять ПК, выбрать либо профиль домена либо стандартный профиль.

Потом нужно добавить разрешение в брандмауэр Windows: Разрешить входящие исключения для удалённого управления. Когда вы сделаете это, вас проинформируют, что теперь вам доступны дополнительные инструменты удалённого администрирования компьютера, такие как консоль управления Microsoft (MMC) и инструментарий управления Windows (WMI).

А также вам понадобится открыть в брандмауэре TCP-порты 135 и 445. Для чего, в открытом брандмауэре нажмите в левой панели на ссылку «Дополнительные настройки», или откройте с панели управления пункт администрирования, где в списке увидите брандмауэр Windows.

В расширенных настройках сетевого экрана, нажмите в левой панели на ссылку «Правила для входящих подключений», затем пункт «Новое правило» на правой панели. Теперь вы можете создать новое правило входящего трафика, разрешающее доступ к портам 135 и 445.



И последний шаг настройки удалённого администрирования, активация службы удалённого реестра ПК. Служба удалённого реестра находится на панели служб Windows, как альтернатива - services.msc в поле поиска или на стартовом экране.


Для активации службы, щёлкните правой кнопкой мыши и в появившемся контекстном меню выберите «Свойства». По умолчанию служба отключена, но в появившемся диалоговом окне вы можете включить и запустить её.

Внимание . Чтобы включить и запустить службу удалённого реестра из командной строки, введите: sc start RemoteRegistry. А также вы можете настроить её автоматический запуск при загрузке компьютера: sc config RemoteRegistry start = auto.

Подключение к удалённому реестру

Перед тем как пытаться получить информацию с другого компьютера, сначала убедитесь, что служба удалённого реестра запущена и работает.

Если на локальном или удалённом ПК запущена и работает служба удалённого реестра, вы можете попытаться подключиться к RegEdit по сети:

  • Войдите в систему как администратор.
  • Введите на стартовом экране regedit и нажмите Enter.
  • Согласитесь с предупреждением контроля учётных записей.
  • Щёлкните файл и выберите пункт подключения сетевого реестра.
  • Введите имя компьютера к которому вы хотите подключиться. А также, вы можете нажать кнопку «Дополнительно» и кнопку «Найти» для получения списка всех доступных в сети компьютеров.
  • Нажмите кнопку ОК.
  • Теперь вы увидите список ПК и в regedit появятся две новые ветки: HKLU и HKU.
  • После просмотра или внесения изменений, выделите значок компьютера и в меню «Файл» выберите пункт «Отключить сетевой реестр».

Если вы предпочитаете использовать командную строку, а не инструменты с графическим интерфейсом, для включения и запуска службы удалённого реестра, введите следующие команды, соответственно:

sc config remoteregistry start=demand

net start remoteregistry

Использование предпочтений групповой политики

Администраторы предприятий, в своих организациях, могут обслуживать тысячи компьютеров и серверов. А ручное изменение настроек каждого ПК занимает очень много времени и подвержено ошибкам. Групповая политика - характерная черта популярных сервисов Microsoft Active Directory Directory (AD DS), позволяющая централизованное управления такими ресурсами как учётные записи пользователей, групп, компьютеров и серверов.

Предпочтения групповой политики (GPPS) были введены ещё в Windows XP. Они позволили администратору более легко и быстро развёртывать и изменять параметры реестра на нескольких компьютерах и серверах организации. Параметры реестра - это всего лишь один из возможных для администратора типов настроек. Попробуем получить некоторое представление о использовании GPPS для развёртывания и изменения параметров реестра в своей среде.

Если вы вошли в домен компьютера и имеете учётную запись с правами администратора, вы можете использовать средства удалённого администрирования сервера (rsat) для управления AD DS со своего компьютера. В качестве альтернативы, вы можете открыть консольное подключение к серверу (если это возможно) с использованием протокола удалённого рабочего стола (RDP) и выполнять AD DS инструменты в интерактивном режиме.

Внимание . Скачать нужную вам версию вы можете с веб-сайта Microsoft. Для различных версий Windows существуют различные версии RSAT, так что найдите ту, что вам нужно.

Теперь используя свой ПК или сервер, вы можете просмотреть групповые политики и узнать как они могут быть использованы для управления параметрами реестра в рамках предприятия:

  • С помощью ПК, установив RSAT или серверную консоль RDP, откройте консоль управления групповыми политиками (gpmc).
  • Правой кнопкой мыши щёлкните на объектах групповой политики (gpo) и выберите «Новый», затем назовите его, например, ModifySoftware.
  • Щёлкните правой кнопкой мыши по объекту ModifySoftware и выберите команду изменить.
  • Дополнительные конфигурации компьютера ➤ параметры ➤ настройки Windows, дважды щёлкните по значку реестра.
  • Щёлкните правой кнопкой мыши на реестре и выберите «Новый».


На выбор доступны три опции ключа реестра.

Новая опция - Описание

Registry Item (элемент реестра) - позволяет создать один элемент реестра.
Collection Item (коллекция элементов) - создаёт и организует элементы реестра в папке. Полезно, если нужно добавить группу элементов реестра.
Registry Wizard (мастер реестра) - мастер, в качестве опорного, должен использовать локальный реестр или подключение к удалённому компьютеру. Позволяет создать одну или несколько записей.

  • Выберите мастера реестра.
  • Перейдите в нужное место и настройте необходимые ключи и значения для импорта в GPP.
  • Нажмите кнопку «Готово».
  • Разверните записи реестра и просмотрите их.
  • По умолчанию действие установлено для обновления.

На выбор доступно четыре варианта действий.

Доступные действия - Описание

Create (создать) - Создаёт элемент реестра. Существующий элемент игнорируется
Update (обновление (по умолчанию)) - Если элемент уже существует, он будет обновляться. Если элемент не существует, он будет создан
Replace (заменить) - Удаляет существующий элемент и создаёт новый
Delete (удалить) - Удаляет элемент.

  • После того как вы проверили опции, нажмите кнопку ОК.
  • Для подключения, свяжите GPO с подразделом.
  • Закройте консоль.

Примечание . При запуске групповой политики на локальном компьютере, вы используете не содержащую предпочтений локальную групповую политику. Групповыми политиками можно управлять в системах с клиентскими расширениями GPP. Эти расширения должны быть отдельно загружены для Windows XP и Windows Server 2003, но доступны как встроенная функция на клиентских компьютерах под управлением Windows Vista Service Pack 1 (или более поздних версий) с RSAT или Windows Server 2008 (или более поздних версий).

Сравнение реестра

Как мы уже упоминали, почти все, что устанавливается или настраивается на ПК под управлением Windows хранится в реестре. При стандартной установке программного обеспечения вы удивитесь масштабам происходящих в реестре операции. Часто десятки тысяч ключей реестра добавляются или изменяются в течение даже относительно небольшой установки программного обеспечения. Если сравнить реестр компьютера до и после одного из таких мероприятий, вы увидите все сделанные в реестре изменения.

Для эффективного сравнения снимков реестра до и после событий удобно использовать специальные утилиты. Другая методика - сравнение реестров одной машины и другой эталонной. Некоторые инструменты сравнения реестра приведены ниже.

File Compare (fc.exe) - входит в Windows XP
InstallWatch Pro - installwatch-pro.en.lo4d.com/
Process Monitor - technet.microsoft.com/sysinternals/bb896645.aspx
(Windows Sysinternals)
Regshot - aplusfreeware.com/categories/util/registry.html
Tiny Watcher - kubicle.dcmembers.com/watcher/
Total Commander - ghisler.com/
What Changed - majorgeeks.com/files/details/what_changed.html
WinDiff - grigsoft.com/download-windiff.htm
WinMerge - winmerge.org

Достаточно часто при работе на терминальном сервере для решения проблем пользователей приходится удалять их профили, тем самым при следующем входе пользователя будет создан новый чистый профиль. Однако многие системные администраторы Windows при переходе с Windows 2003 на Windows 2008 сталкиваются с тем, что удаление профиля в этих ОС необходимо выполнять по разному. Если в Windows Server 2003 было достаточно удалить профиль пользователя из каталога C:Documents and Settings, то в Windows 2008 не все так просто.

Во-первых, как вы знаете, в Windows Server 2008, Windows Vista и Windows 7 локальные профили пользователей хранятся в каталоге C:Users. Кроме того, эти ОС ведут учет всех локальных профилей в ветке реестра “HKEY _ LOCAL _ MACHINE\ SOFTWARE\ Microsoft\ Windows NT \CurrentVersion\ ProfileList ” Для каждого профиля, который хранится локально, внутри этого раздела реестра создается подраздел. Имя подраздела – это SID учетной записи пользователя. Сопоставить имя пользователя и SID можно с помощью PsGetSid так, или же просто откройте любую ветку и посмотрите значение параметра ProfileImagePath.

Что будет, если просто удалить каталог с профилем пользователя?

Что же будет, если удалить каталог с профилем пользователя в Windows 2008 или Windows 7 (C:Users”Username”) без модификации реестра? После удаления профиля, при следующем входе пользователя в системном трее появится сообщение, говорящее о том, что Windows не смогла загрузить профиль пользователя и пользователь будет работать с временным профилем.

Event ID 1511.Your user profile was not loaded correctly. You have been logged on with a temporary profile. Changes you make to this profile will be lost when you log off. Please see the event log for details or contact your administrator.

А как вы знаете, временный профиль Windows – это профиль, который загружается при наличии проблем с нормальным профилем, и который при завершении сеанса, не сохраняется.

Как же корректно удалить профиль пользователя в Windows 2008?

Воспользуйтесь одним из следующих методов удаления профиля:

  1. Удалите каталог с профилем пользователя И соответствующую ему ветку реестра в HKEY _ LOCAL _ MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ ProfileList
  2. Откройте Пуск > Выполнить и наберите sysdm.cpl. Перейдите на вкладку Advanced, затем в разделе User Profiles нажмите кнопку Settings и удалите нужный (или ненужный:)) вам профиль пользователя.

Поздно, я уже удалил каталог с профилем пользователя, что делать?

Не беспокойтесь, к счастью, Windows достаточно умна. Если система находит в реестре в ветке ProfileList, SID пользователя, с которым не ассоциирован ни один каталог с профилем пользователя (C:Users”username”), она создает резервную копию этой ветки с расширением .bak . Просто удалите эту резервную ветку.