Nach Schlüssel in HKEY_Users suchen?

[eras 10]

C:\>Reg Query HKU /v Settings /s

Fehler: Zu viele Befehlszeilenparameter

:(

[blub 115]

das suchen der Schlüssel geht vielleicht noch irgendwie, aber die Übergabe der Ergebnisse an einen Löschbefehl wird scheitern.

Man soll bei der Batchprogrammierung niemals nie sagen, da gibts 1001 Tricks. Ich glaub nicht, dass es geht.

[eras 10]

Ja das Problem ist, normalerweise scripte ich nur bash Scripts im Linux Bereich. Mit Windows steh ich ja bei sowas immer auf Kriegsfuß. :D

 

Meine Idee wäre halt das Ergebnis nach reg delete mit einer Pipe zu übergeben oder den Ausgabewert in eine Variable zu schreiben und dann mit reg delete löschen. Gibts in der Batch nicht sowas wie eine Kommandosubstitution?

[zahni 554]

@eras,

 

beschäftige Dich bitte damit, wie und wann (!) Windows die User-Registry lädt.

 

Wenn Du ein Programm per Computer-GPO installierst, geschieht die Installation u.U. beim Start des PC's. Dann ist kein User angemeldet. In Folge dessen, findest Du auch keinen Hive des Users unter HKU. Die schlummern noch in der ntuser.dat des Users, welche noch nicht geöffnet wurde.

 

Habe ich micht jetzt klar und höflich (!) ausgedrückt ?

 

MfG

[eras 10]

@zahni

Wie kommt es dann, dass ich besagten Key finde wenn ich mich als Admin anmelde und HKEY_USERS per Hand durchsuche?

 

Kann es nicht sein das du dauernd von HKEY_CURRENT_USER spricht und ich von HKEY_USERS? Was ja zwei unterschiedliche Dinge sind...?

[zahni 554]

Dann wurde wurde das Profil des Users, Aufgrund eines Fehlers, nicht entladen. Oder das Benutzerkonto wird z.B. bei einem Dienst zur Anmeldung verwendet. Wenn der 2. Fall nicht zutrifft und Du startest den PC neu und meldest Dich dann direkt als Admin an, sollte der Hive des Users unter HKU nicht sichtbar sein.

 

Und nein, HKEY_CURRENT_USER ist nur ein virtuelles Mapping auf den jeweiligen Zweig in HKEY_USERS, der zur SID des aktuellen Benutzers passt, wenn der jeweilige Benutzer auf die Registry zugreift.

 

-Zahni

[eras 10]

Soo, hab den PC gerade durchgestartet, kontrolliert ob irgendwelche Dienste als User laufen (was nicht der Fall ist) und siehe da, der Reg Key ist noch immer da. ;)

 

Kann es nicht vielleicht sein, dass ich Recht habe und du nicht? :D

 

Mal Scherz beiseite (ich hoffe du nimmst es mir nicht übel) kontrollier das ganze doch bitte einfach mal auf deinem Rechner, ich gehe jede Wette ein dass das bei dir auch so ist.

[zahni 554]

Nein, ich habe recht. Wenn das nicht so wäre, müsste es bei unseren PC's über 400 Einträge in HKU geben. Schliesslich haben wir so viele Nutzer.

Kann es sein, dass Du da den Hive von Admin siehst ?

 

Ansonsten: Aktiviere den Winlogon-Trace und prüfe so, warum das Profil des Users vor seineer Anmeldung geladen wird...

 

-Zahni

bearbeitet 22. April 2010 von zahni

[blub 115]

Zahni hat schon recht

 

Local Profile - Existing User

 

1. The user logs on.

2. Windows checks the list of user profiles located in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList to get the path to the user’s profile.

3. The user’s registry hive (NTUSER.DAT) is mapped to the HKEY_CURRENT_USER portion of the registry.

4. The users %userprofile% environment variable is updated with the value of the local profile folder.

5. When the user logs off, the profile is saved to the local hard disk of the computer.

 

User Data and Settings Management

 

Ich hatte den Prozess auch nicht mehr so parat.

[eras 10]

Verdammt, er hat wirklich Recht... ich hab's mit dem Admin Baum verwechselt :D

Ich verneige mich demütig vor zahni

 

 

Wie war das nochmal mit anderen Lösungen? :D

[NorbertFe 2.034]

Wie wäre es einfach, den Wert/Key per Policy zu löschen? Unabhängig davon, ob er da ist oder nicht? Oder überseh ich jetzt was (ausser, dass der Key dann immer gelöscht würde)?

 

Bye

Norbert