诸如以下的链接表明我应该能够在没有提升权限的情况下编辑注册表,只要我只更新 HKEY_CURRENT_USER。
https://blog.codeinside.eu/2015/08/11/reg-exe-or-how-to-import-reg-files-without-admin-privileges/
然而,我观察到这样的命令会出现错误:
reg add "HKEY_CURRENT_USER\SOFTWARE\Policies\Google\Chrome\AutoSelectCertificateForUrls" /v 1 /d {"pattern":"https://[*.]somedomain.com","filter":{"SUBJECT":{"CN":"MyCNValue"}}}
这是预期的吗?也就是说,只有管理员才被允许更新任何注册表项,包括 HKEY_CURRENT_USER?还是我忽略了什么?
值得一提的是...在没有管理员权限的情况下,HKEY_CURRENT_USER 的读取查询工作正常:
答案1
子项 HKEY_CURRENT_USER\SOFTWARE\政策很特别。
请检查它的安全性,您会注意到您的用户名是只读的,而内置管理员的组是读/写的。
这是通过域环境中的 GPO 实现的,该 GPO 会将每个用户的设置写入其中。允许用户删除或更改它们将不会产生强制每个用户执行企业策略的价值。
请参阅该 Excel 文档以供参考, Windows 10 2020 年 5 月更新 (2004) 的组策略设置参考电子表格,您将看到所有每个用户的设置都在那里。
如果您的客户有域名,我建议使用 Chrome .ADMX 来设置此类设置。这样就可以集中管理,并且用户不会收到任何提示,因为是 GPO 将设置应用到该注册表位置。您可以在该包中获取 ADMX,https://chromeenterprise.google/browser/download/#windows-tab。