我正在尝试以 SYSTEM 身份运行(PoSh)脚本(即在启动时,通过 SCCM 或其他方式),该脚本需要读取一些受保护的注册表项,但它看不到它们。
普通用户无权查看密钥。(使用 Mozilla 键作为示例,但“树”节点下可以有数十个。)
PS C:\> whoami
contoso\testuser
PS C:\> $KeyPath = "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Mozilla"
PS C:\> $Key = Get-Item $KeyPath
Get-Item : Requested registry access is not allowed.
管理员用户可以查看(但不能更改)密钥:
PS C:\> whoami
LocalComputer\administrator
PS C:\> $KeyPath = "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Mozilla"
PS C:\> Get-Item $KeyPath
Hive: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree
Name Property
---- --------
Mozilla SD : {1, 0, 4, 140...}
但系统帐户什么也看不到:
PS C:\> whoami
nt authority\system
PS C:\> $KeyPath = "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Mozilla"
PS C:\> Get-Item $KeyPath
Get-Item : Cannot find path 'HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Mozilla'
because it does not exist.
SYSTEM 对注册表项和父项拥有完全控制权。 管理员可以看到的内容(有权限)。
这是 SYSTEM 在注册表中看到的内容。
SYSTEM 怎么看不到它?我如何通过启动脚本(或其他 SYSTEM 活动)读取此密钥?
谢谢。
编辑:据我所知,这是全部Win10 1809+,以及不是仅一台机器。