none
Zugriff auf Registry - regedit vs reg

    Frage

  • Hallo

    Ist es möglich den Server derart zu konfigurieren dass ein User zwar regedit nicht aufrufen darf, aber dennoch export und import mittels reg durchführen kann? Die Gruppenrichtlinie scheint dahingehend irreführend zu sein. So heißt es dort:

    Leider scheint dadurch aber jeglicher Zugriff auf die registry gesperrt zu sein?

    Wenn der user mit "reg export" einen Schlüßel exportieren will erhällt er 

    C:\Windows>reg export HKCU\Software\ORM y:\stella_registry\stella_konfig.reg
    FEHLER: Die Registrierungsbearbeitung wurde vom Administrator deaktiviert.

    Ist das irgendwie machbar dass das geht?

    Hintergund ist dass wir hier eine Software laufen haben die ihre Konfiguration in die User Registry schreibt.

    Um diese Einstellungen zu sichern und ggfls wieder zu importieren müsste der User diese eben erstmal exportieren können. Ich möchte jedoch nicht das User regedit aufrufen können.


    • Bearbeitet Sascha Loth Mittwoch, 11. Oktober 2017 13:32
    Mittwoch, 11. Oktober 2017 13:32

Antworten

Alle Antworten

  • Sowohl für Regedit als auch für reg wird doch normalerweise Adminrecht benötigt.
    Da ja nun beide Programme für das selbe zuständig sind (eins für Dialog, eins für Batch), lässt sich das von den Rechten nicht unterscheiden.
    Es wird ja nicht das Programm erlaubt/verboten sondern der Zugriff auf die Registry, und zwar egal womit.
    Das Problem könnte dann ebenso sein, dass die Software ihre Einträge in die Registry ebenso nicht mehr durchführen kann außer man führt sie als Admin aus, was natürlich auach ein anderer User ist.
    Mittwoch, 11. Oktober 2017 14:00
  • Moin,

    naja, der Titel der Policy ist nicht irreführend und beschreibt genau das Verhalt, das ihr beobachtet.

    Wenn ihr den Dropdown auf "Nein" stellt, kann die gewünschte Aktion im Hintergrund, z.B. in einem Login-Skript ausgeführt werden.


    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> http://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    • Als Antwort markiert Sascha Loth Mittwoch, 11. Oktober 2017 14:13
    Mittwoch, 11. Oktober 2017 14:01
  • Sowohl für Regedit als auch für reg wird doch normalerweise Adminrecht benötigt.
    nein, auf den eigenen HKCU und lesend auf große Teile des HKLM nicht ;-)

    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> http://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    Mittwoch, 11. Oktober 2017 14:03
  • Hallo Evgenij.

    Danke für den Tipp, hatte den Dropdown gar nicht bemerkt. Damit könnte ich es wohl bewerkstelligen. Import muss man dann von Fall zu Fall sehen, wird hoffentlich nicht allzuoft vorkommen.

    Danke dir

    • Als Antwort markiert Sascha Loth Mittwoch, 11. Oktober 2017 14:14
    Mittwoch, 11. Oktober 2017 14:13
  • Allein beim Aufruf von Regedit, wo noch nicht klar ist, auf welche Schlüssel ich zugreife, kommt schon die UAC-Meldung. Beim reg will ich mich da nun nicht festlegen, da ja hier explizit auf Schlüssel zugegriffen wird.

    Mittwoch, 11. Oktober 2017 14:53
  • Allein beim Aufruf von Regedit, wo noch nicht klar ist, auf welche Schlüssel ich zugreife, kommt schon die UAC-Meldung. Beim reg will ich mich da nun nicht festlegen, da ja hier explizit auf Schlüssel zugegriffen wird.

    Also halten wir fest: Nicht Administratorrechte werden benötigt, sondern man muss am UAC vorbei. Das von Dir zitierte Verhalten ist so alt wie UAC selbst und lässt sich für einige Programme leider auch nicht beeinflussen, und REGEDIT gehört dazu.

    Es geht auch nicht darum, welcher Schlüssel angefordert wird. UAC ist nicht wirklich dynamisch, sondern schaut in das (explizite oder implizite) Manifest der ausführbaren Datei, ob sie RunAsAdmin mein zu brauchen oder nicht, und zwar vor dem Start.


    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> http://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    Mittwoch, 11. Oktober 2017 16:23
  • > Allein beim Aufruf von Regedit, wo noch nicht klar ist, auf welche Schlüssel ich zugreife, kommt schon die UAC-Meldung.

    Ja, weil im Manifest steht "highestAvailable"... Wenn Du ablehnst oder kein Admin bist, läufts mit Benutzerrechten.

    Mittwoch, 11. Oktober 2017 16:23
    Beantworter
  • > Allein beim Aufruf von Regedit, wo noch nicht klar ist, auf welche Schlüssel ich zugreife, kommt schon die UAC-Meldung.

    Ja, weil im Manifest steht "highestAvailable"... Wenn Du ablehnst oder kein Admin bist, läufts mit Benutzerrechten.

    Ablehnen hat hier (W10.1607) nicht funktioniert, ich meine auch, dass es früher ging.

    Was aber auch auf W10 hilft, ist


    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> http://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    Mittwoch, 11. Oktober 2017 17:12
  • Hi,
     
    Am 11.10.2017 um 16:00 schrieb bfuerchau:
    > Sowohl für Regedit als auch für reg wird doch normalerweise Adminrecht
    > benötigt.
     
    Nein. Solange du als Benutzer in HKCU schreiben möchtest, ohne die
    .\Policies Ordner, dann braucht es keine Adminrechte.
     
    Der Registry/Policy Wert "Zugriff auf Bearbeitung der Registry" ist nur
    eine "Bremse", aber kein Rechte/Berechtigungs Problem.
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Group Policy - Cloud and Datacenter Management
     
    Homepage:  http://www.gruppenrichtlinien.de - deutsch
     
    GET Privacy and DISABLE Telemetry on Windows 10 - gp-pack PaT
     
    Donnerstag, 12. Oktober 2017 09:17
  • > Ablehnen hat hier (W10.1607) nicht funktioniert, ich meine auch, dass es früher ging.

    Ne Du hast recht - wenn da steht "highestavailable" und Du lehnst ab, dann ist das nicht "highestavailable" :-)

    Donnerstag, 12. Oktober 2017 13:36
    Beantworter
  • Hallo Leute.

    Also ich habe das jetzt mal getestet. Leider scheint das nicht zu funktionieren.

    Ich habe ein LoginScript (Benutzerkonfiguration - Windows - Scripts - Anmelden) angelegt und eben die Hintgergrundausführung nicht deaktiviert.

    Leider funktioniert das nicht. Andere Anweisungen in diesem Script werden jedoch ausgeführt, also das Script als solches wird aufgerufen.

    Wenn ich komplette Einstellung deaktivere dann geht es.

    Ich bin mir jetzt nicht sicher was mit "Hintergrund" in diesem Zusammenhang gemeint ist. Hat das überhaupt noch eine Auswirkung nach Windows 2000?

    Freitag, 13. Oktober 2017 10:40
  • Ich bin mir jetzt nicht sicher was mit "Hintergrund" in diesem Zusammenhang gemeint ist. Hat das überhaupt noch eine Auswirkung nach Windows 2000?

    Ja, hat es. Ich habe etliche Terminalserverfarmen unter meinen Fittichen, wo Regedit per obiger GPO totgetreten ist, es sind jedoch fast überall Skripte mit REG drin am Start.

    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> http://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    Freitag, 13. Oktober 2017 10:50
  • eine idee wie ich das debuggen kann? Wie krieg ich raus woran es scheitert? 
    Freitag, 13. Oktober 2017 10:52
  • Hi,
     
    Am 13.10.2017 um 12:52 schrieb Sascha Loth:
    > eine idee wie ich das debuggen kann? Wie krieg ich raus woran es scheitert?
     
    Warum überhaupt reg, bzw. regedit und schäbiges Scripten?
    Was sprich gegen GPP Registry?
     
    Im Hintergrund heisst in deinem Fall, im Script, das der User nicht
    selber aufruft.
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Group Policy - Cloud and Datacenter Management
     
    Homepage:  http://www.gruppenrichtlinien.de - deutsch
     
    GET Privacy and DISABLE Telemetry on Windows 10 - gp-pack PaT
     
    Freitag, 13. Oktober 2017 10:56
  • ich will ja keine Einträge setzen sondern sie sichern. oder geht das damit auch?

    > Im Hintergrund heisst in deinem Fall, im Script, das der User nicht selber aufruft

    nun, genau das funktioniert ja nicht..


    • Bearbeitet Sascha Loth Freitag, 13. Oktober 2017 11:02
    Freitag, 13. Oktober 2017 11:02
  • > Leider funktioniert das nicht. Andere Anweisungen in diesem Script werden jedoch ausgeführt, also das Script als solches wird aufgerufen.

    Was genau steht in dem Skript? Und was genau kommt für eine Meldung?

    Freitag, 13. Oktober 2017 12:24
    Beantworter
  • Am 13.10.2017 um 13:02 schrieb Sascha Loth:
    > ich will ja keine Einträge setzen sondern sie sichern. oder geht das
    > damit auch?
     
    Ups, das habe ich übersehen.
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Group Policy - Cloud and Datacenter Management
     
    Homepage:  http://www.gruppenrichtlinien.de - deutsch
     
    GET Privacy and DISABLE Telemetry on Windows 10 - gp-pack PaT
     
    Freitag, 13. Oktober 2017 13:41
  • also eigentlich nichts besonderes:

    md y:\stella_registry
    reg export HKCU\Software\Adobe y:\stella_registry\stella_konfig.reg
    exit

    (nicht von Adobe irritieren lassen - zu testzwecken hab ich einen key genommen den garantiert jeder hat.)

    den Ordner legt er an.

    wenn ich die bearbeitung der registry komplett zulasse funktioniert der reg befehl genau so.

    Was für eine Fehlermeldung kommt weiß ich ja leider nicht. Daher meine Frage wo ich weitere infos zur Ausführung des Scripts finde. Wo würde ich eine Fehlermeldung finden? Im eventvwr unter Anwendungen und System finde ich nichts.


    • Bearbeitet Sascha Loth Montag, 16. Oktober 2017 07:12
    Montag, 16. Oktober 2017 07:11
  • > Was für eine Fehlermeldung kommt weiß ich ja leider nicht.

    reg export.... >>%public%\test.log 2>>&1

    Montag, 16. Oktober 2017 14:07
    Beantworter
  • Am 16.10.2017 um 09:11 schrieb Sascha Loth:
    > also eigentlich nichts besonderes:
    > md y:\stella_registry
     
    Verwende UNC Pfade. Keine LWs. LWs werden nur im User Kontext gemappt
    und je nach UAC Token stehen diese dann dem Konto zur Verfügung oder
    nicht, falls es ein Konto mit lokalen Adminrechten ist.
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Group Policy - Cloud and Datacenter Management
     
    Homepage:  http://www.gruppenrichtlinien.de - deutsch
     
    GET Privacy and DISABLE Telemetry on Windows 10 - gp-pack PaT
     
    Montag, 16. Oktober 2017 17:18
  • hey LEute.

    Also ich glaube ich habe mein Problem gefunden...

    Der Log gab als Fehler aus: "

    FEHLER: Die Registrierungsbearbeitung wurde vom Administrator deaktiviert."

    Daraufhin habe ich nochmal nachgesehen weil ich mir sicher war dass ich die Hintergrundbearbeitung eben nicht deaktiviert habe.

    Und dann sehe ich im entprechenden Objekt dies:

    Der Dropdown steht auf nein, die GPO aber auf Ja?!

    Hat das schonmal jemand gesehen?

    Idee dazu?

    Dienstag, 17. Oktober 2017 10:35
  • > Der Dropdown steht auf nein, die GPO aber auf Ja?!

    Das Shell-CommandPrompt-RegEditTools.admx und adml sind von wann genau?

    Aus dem ADMX:
             <enum id="DisableRegeditMode" valueName="DisableRegistryTools">
              <item displayName="$(string.DisableRegeditMode_UIAndSilent)">
                <value>
                  <decimal value="2" />
                </value>
              </item>
              <item displayName="$(string.DisableRegeditMode_UIonly)">
                <value>
                  <decimal value="1" />
                </value>
              </item>
            </enum>

    Und die Strings, die da im Dropdown angezeigt werden - aus dem zugehörigen ADML:
           <dropdownList refId="DisableRegeditMode" noSort="true" defaultItem="0">Ausführung von Regedit im Hintergrund deaktivieren?</dropdownList>
          <string id="DisableRegeditMode_UIAndSilent">Ja</string>
          <string id="DisableRegeditMode_UIonly">Nein</string>

    BTW: Deine Sysvol-Replikation funktioniert?

    Dienstag, 17. Oktober 2017 12:15
    Beantworter
  • Hallo Martin

    Die Replikation funktioniert, ja.

    Shell-CommandPrompt-RegEditTools.admx 

    Erstelldatum: 18.08.2014

    Änderungsdatum: 18.06.2013

    Shell-CommandPrompt-RegEditTools.adml 

    Erstelldatum: 18.08.2014

    Änderungsdatum: 18.03.2014

    Die Inhalte die du gepostet hast gibt es genau so in meinen Dateien.

    Willst du mir damit mehr sagen als ich verstehe oder sollte ich nur kucken ob es die so auch bei mir gibt? :)

    • Bearbeitet Sascha Loth Dienstag, 17. Oktober 2017 12:36
    Dienstag, 17. Oktober 2017 12:27
  • Shell-CommandPrompt-RegEditTools.admx
    Änderungsdatum: 18.06.2013

    Shell-CommandPrompt-RegEditTools.adml
    Änderungsdatum: 18.03.2014

    Seltsam - das sind die Versionen, die bei 2012R2 DE ab Werk mit dabei waren und aus denen ich das auch kopiert hatte - und da stimmt's ja?!?
    Kann ich Dir per Forum nicht erklären - ich würd jetzt in die registry.pol gucken was da tatsächlich für ein Wert drinsteht (Torchsoft Registry Workshop kann die direkt öffnen).

    Dienstag, 17. Oktober 2017 15:24
    Beantworter
  • Am 17.10.2017 um 12:35 schrieb Sascha Loth:
    > Und dann sehe ich im entprechenden Objekt dies:
    > Der Dropdown steht auf nein, die GPO aber auf Ja?!
     
    Solange ich nicht das RSoP dazu sehe oder die Tabelle aus der ntuser.pol
    im Benutzerobjekt ist das, was du zeigst nur ein "Schalter".
    Der kann über einen Ablauf von mehreren Richtlinien am Client völlig
    anders definiert sein.
    Ebenso kann der Regwert auch über einen Altlast oder manuelle Konfig im
    Client geschrieben worden sein und die GPO hat vielleicht gar keine
    Karten mehr im Spiel
     
    Mit anderen Worten: Ja, ich habe Pferde vor der Apotheke *** gesehen.
    Wenn ich lange genug hingeschaut habe und nicht nur auf einen
    Ausschnitt, wusste ich meist auch warum.
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Group Policy - Cloud and Datacenter Management
     
    Homepage:  http://www.gruppenrichtlinien.de - deutsch
     
    GET Privacy and DISABLE Telemetry on Windows 10 - gp-pack PaT
     
    Dienstag, 17. Oktober 2017 17:46
  • Hallo ihr Beiden.

    ntuser.pol:

    seltsamerweise finde ich dazu gar keine Eintrag...

    Wo müsste der sein?

    RSoP:

    hiernach sieht es also eigentlich richtig aus?

    Donnerstag, 19. Oktober 2017 11:01
  • > Wo müsste der sein?

    Vielleicht in dem 2. System-Eintrag?

    Donnerstag, 19. Oktober 2017 11:49
    Beantworter
  • da steht exakt das gleich drin wie im oberen...

    Donnerstag, 19. Oktober 2017 11:50