Wenn ich dieRegistrierung mit dem SYSTEM-Kontoin Windows mithilfe derPSExec-Tool von SysInternals:
psexec -i -s regedit
und ändere einen Eintrag beispielsweise hier:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
... Ich gehe davon aus, dass eine entsprechende NTUSER.DAT
Datei geändert wird.
Was ist der Wegzu dieser NTUSER.DAT
Datei?
Antwort1
Entgegen der allgemeinen Annahme ist die ntuser.dat
Datei im Benutzerprofilordner von LocalSystem ( \Windows\System32\config\systemprofile
)nichtdie Quelle HKEY_CURRENT_USER
für Anwendungen, die als SYSTEM ausgeführt werden. Soweit ich das beurteilen kann, wird es eigentlich für nichts verwendet und enthält nur sehr wenige Informationen.
In Wirklichkeit befindet sich die HKCU für Anwendungen, die als SYSTEM ausgeführt werden, .DEFAULT
unter HKEY_USERS
. (Ich werde auf ein weiteres weit verbreitetes Missverständnis eingehen:.DEFAULT
ist nicht die Vorlage für neue Benutzerprofile, ntuser.dat
in \Users\Default
ist.) .DEFAULT
wird auf der Festplatte in einer Datei namens gespeichert \Windows\System32\config\DEFAULT
. Sieheder MSDN-Artikel über Registry-Backing-Dateien.
Auch interessant: Die Liste der Hintergrunddateien für die verschiedenen Registrierungshierarchien, einschließlich .DEFAULT
, finden Sie in HKLM\SYSTEM\CurrentControlSet\Control\hivelist
.