Wenn ich dieRegistrierung mit dem SYSTEM-Kontoin Windows mithilfe derPSExec-Tool von SysInternals:
psexec -i -s regedit
und ändere einen Eintrag beispielsweise hier:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
... Ich gehe davon aus, dass eine entsprechende NTUSER.DATDatei geändert wird.
Was ist der Wegzu dieser NTUSER.DATDatei?
Antwort1
Entgegen der allgemeinen Annahme ist die ntuser.datDatei im Benutzerprofilordner von LocalSystem ( \Windows\System32\config\systemprofile)nichtdie Quelle HKEY_CURRENT_USERfür Anwendungen, die als SYSTEM ausgeführt werden. Soweit ich das beurteilen kann, wird es eigentlich für nichts verwendet und enthält nur sehr wenige Informationen.
In Wirklichkeit befindet sich die HKCU für Anwendungen, die als SYSTEM ausgeführt werden, .DEFAULTunter HKEY_USERS. (Ich werde auf ein weiteres weit verbreitetes Missverständnis eingehen:.DEFAULT ist nicht die Vorlage für neue Benutzerprofile, ntuser.datin \Users\Defaultist.) .DEFAULTwird auf der Festplatte in einer Datei namens gespeichert \Windows\System32\config\DEFAULT. Sieheder MSDN-Artikel über Registry-Backing-Dateien.
Auch interessant: Die Liste der Hintergrunddateien für die verschiedenen Registrierungshierarchien, einschließlich .DEFAULT, finden Sie in HKLM\SYSTEM\CurrentControlSet\Control\hivelist.