stargateone
Goto Top

Administratorrechte wiederherstellen, die wegen einer beschädigten Registrierung den Start/die Nutzung von WinXP Pro SP2 verhindern.

Lösung zum Neuaufsetzen der Registrierungsschlüssel auf einen Zeitpunkt vor einem Crash bzw. Entzug der Administratorrechte, ohne dass hierfür im Regelfall Admin-Rechte erforderlich sind.

Es ging mir bis heute bestimmt wie so vielen anderen Usern, die aufgrund eines unvorhersehbaren Programmabsturzes von Windows keine oder nur noch beschränkte Zugriffsrechte hatten, für die ein Neuaufsetzen des kompletten Systems erst mal an letzter Stelle stand. Nach nunmehr fast 12 Tagen Suche in vielen Foren und dem Ausprobieren von zig Möglichkeiten ist es mir heute endlich gelungen, die wahrscheinlich nicht nur für mich ultimative Lösung des genannten Problems zu finden.

Ich gehe in meinem Lösungsvorschlag zunächst davon aus, dass der entsprechende User nur noch Gastrechte und somit keinen Zugriff auf die Hauptsysteme - also Systemsteuerung, Benutzerkontenverwaltung usw. - hat und auch über den abgesicherten Modus kein Zugriff möglich ist. Den eigentlichen Lösungsansatz habe ich ausgerechnet in der Microsoft Knowledge Base gefunden, hier allerdings wurden Administratorrechte vorausgesetzt, die ja nicht vorhanden sind.

Hier also meine eigene Version:

Da ja keine Administrator- oder erweiterte Rechte vorhanden sind und auch ein Start von Windows nicht möglich ist - Fehlermeldung z.B. "lsass.exe - Systemfehler" und im Text darunter "Fehlerstatus: 0xc0000001" - muß man sich also zwangsläufig über ein anderes Medium Zugriff auf die erforderlichen Daten verschaffen. Ich habe dies über eine bootfähige CD mit dem Programm BartPE Builder bewerkstelligt, den man sich hier kostenlos downloaden kann:

BartPE Builder, Vers. 3.1.10a : http://www.nu2.nu/pebuilder/
Hilfe dazu in deutsch: http://www.pebuilder.de/

Nach dem booten mit dieser CD (Achtung: Bootreihenfolge im BIOS einstellen !!) geht man über den Filemanager auf die Startpartition, normalerweise C:\ , und öffnet dort als Beispiel folgenden Ordnerpfad zu einem Snapshot-Ordner:
C:\System Volume Information\_restore{D86480E3-73EF-47BC-A0EB-A81BE6EE3ED8}\RPxx\Snapshot

Hinweis: Dieser Ordner enthält einen oder mehrere "_restore {GUID}"-Ordner wie z. B. "_restore{87BD3667-3246-476B-923FF86E30B3E7F8}".

Öffnet einen Ordner, der nicht zum gegenwärtigen Zeitpunkt erstellt wurde. Möglicherweise muß man im Menü Ansicht auf Details klicken, um das Erstellungsdatum der Ordner einsehen zu können. Es gibt unter Umständen einen oder mehrere Ordner, die mit "RPx" beginnen. Diese Ordner sind so genannte "Wiederherstellungspunkte".

Kopiert die folgenden Dateien aus dem Snapshot-Ordner in den Ordner C:\Temp :
• _REGISTRY_USER_.DEFAULT
• _REGISTRY_MACHINE_SECURITY
• _REGISTRY_MACHINE_SOFTWARE
• _REGISTRY_MACHINE_SYSTEM
• _REGISTRY_MACHINE_SAM

Benennt die kopierten Dateien im Ordner "C:\Temp" wie folgt um:
• _REGISTRY_USER_.DEFAULT umbenennen zu DEFAULT
• _REGISTRY_MACHINE_SECURITY umbenennen zu SECURITY
• _REGISTRY_MACHINE_SOFTWARE umbenennen zu SOFTWARE
• _REGISTRY_MACHINE_SYSTEM umbenennen zu SYSTEM
• _REGISTRY_MACHINE_SAM umbenennen zu SAM

Bei diesen Dateien handelt es sich um Sicherungskopien der Registrierungsdateien aus der Systemwiederherstellung. Da man die Registrierungsdatei verwendet, die durch das Setupprogramm erstellt wurde, "weiß" die Registrierung nicht, dass diese Wiederherstellungspunkte existieren und verfügbar sind. Ein neuer Ordner mit einer neuen GUID wird unter "System Volume Information" erstellt, und es wird ein Wiederherstellungspunkt generiert, der eine Kopie der Registrierungsdateien enthält. Deshalb ist es so wichtig, nicht den neuesten Ordner zu verwenden; dies gilt in besonderem Maße, wenn der Zeitstempel des Ordners der aktuellen Uhrzeit entspricht.

Hinweis: Nehmt also möglichst einen Ordner mit einer niedrigeren RP-Zahl als die Höchstmögliche und zu einem Zeitpunkt erstellt, der mit Sicherheit vor dem Problemzeitpunkt gespeichert wurde, also als das System noch einwandfrei lief.

Jetzt geht ihr in den Ordner "C:\Windows\System32\Config" und löscht bzw. kopiert (sicherheitshalber !!) dort folgende Dateien raus:
DEFAULT
SECURITY
SOFTWARE
SYSTEM
SAM

Wie ihr vielleicht schon erraten könnt, kopiert ihr jetzt die gleichnamig erstellten Dateien aus dem Ordner "C:\Temp" in den Ordner
"C:\Windows\System32\Config".

Jetzt nur noch den PE Builder beenden, Neustarten (Achtung: Bootreihenfolge im BIOS wieder auf HDD ändern !!) und im Normalfall müßte jetzt Windows normal booten, inklusive aller zum seinerzeitigen Stand vorhandenen Administratoren- und Benutzerrechte. Solltet ihr noch genauere Informationen wünschen, könnt ihr Euch unter nachfolgendem Link in der Microsoft Knowledge Base informieren:

http://support.microsoft.com/?scid=kb%3Bde%3B307545&x=13&y=9

Bei mir war das Problem nach zehn Minuten erledigt und der Rechner läuft wieder einwandfrei, eine Garantie für das Gelingen bei anderen Betriebssystemen und Konfigurationen übernehme ich selbstverständlich nicht, jeder handelt auf eigene Verantwortung !!!

Content-ID: 34362

Url: https://administrator.de/contentid/34362

Ausgedruckt am: 22.11.2024 um 06:11 Uhr

CRosey
CRosey 19.06.2006 um 08:12:35 Uhr
Goto Top
yep kann nur bestätigen, das funktioniert bei den verschiedensten Problemen mit beschädigter Registry. Ich hab so schon so einige Systeme wieder ans laufen bekommen.
RobertTischler
RobertTischler 19.06.2006 um 21:52:14 Uhr
Goto Top
Hallo

Schöne sache das sich jemand damit beschäftigt hat. Aber ich habe für das Problem auch eine Lösung regelmäßig eine Image von der Haupt Platte das hilft auch bei den meisten Problemen.

MFG
sysad
sysad 22.06.2006 um 23:46:33 Uhr
Goto Top
Schön, dass es so geklappt hat.

Wir machen immer (!) beim Kunden einen Klon als dritte Platte rein, die aber nach dem Klonen und Testen , ob auch alles läuft, abgehängt wird. Kostet ca. 100€ extra für die Platte und spart Nerven.

Immer dann wenn wir vor Ort sind hängen wir sie mal wieder dran und Klonen neu.

Man kann damit nicht allen Stress lösen, aber 99% schon....
Raphael
Raphael 03.07.2006 um 09:48:29 Uhr
Goto Top
Das ganze basiert auf der Windows-Wiederherstellung, wenn ich das richtig sehe.
Falls diese nun deaktiviert wird, funktioniert das ganze nicht mehr oder?
Da einige Viren/Würmer sich darin einnisten wurde die Wiederherstellung bei uns deaktiviert.
Hier müsste man eine andere Lösung finden. oder?
[extra-festplatte kommt nicht in Frage]
StargateOne
StargateOne 03.07.2006 um 21:16:12 Uhr
Goto Top
Hallo,

es ist mir ehrlich gesagt neu, dass man die Windows-Wiederherstellung deaktivieren kann ?? Außerdem geht es hier nicht um das gesamte Windows-System, sondern nur um die Registrierungswiederherstellung, wenn die entsprechenden Zugriffsrechte nicht mehr vorhanden sind.
Wenn man also die Registrierung auf einen früheren Zeitpunkt wieder herstellt, sollten eventuelle Schädlinge logischerweise ebenfalls gelöscht werden - ist aber nur eine Vermutung.
Die Windows-Systemdaten können, incl. der Registry, mit einem entsprechenden Backup-Programm gesichert und auf CD/DVD(-RW) abgespeichert werden.
Dafür war meine Lösung aber nicht vorgesehen, hier geht es nur um die Wiederherstellung verloren gegangener Admin-Rechte.

Gruß
StargateOne
Raphael
Raphael 03.07.2006 um 22:16:46 Uhr
Goto Top
Möglich ist es ... und beim entfernen von zb. netsky notwendig ...
-> aktivieren und deaktivieren der System-Wiederherstellung: http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/200 ...

Demnach sind eure NEtze von Netsky verschont geblieben ;) ich hatte dieses Glück leider nicht, trotz Norton & Firewall, etc

Gruss Raphael
StargateOne
StargateOne 03.07.2006 um 22:36:03 Uhr
Goto Top
Aha,

hab' ich noch nie benutzt, daher die Unwissenheit face-wink
Also paßt mein Beitrag zumindest teilweise zu deinem Thema, da die Deaktivierung ja Admin-Rechte voraussetzt und falls die nicht vorhanden sind, hat man Pech face-sad

Wieder was dazugelernt - in diesem Sinne...

Gruß
StargateOne
derzucker
derzucker 31.08.2006 um 22:32:42 Uhr
Goto Top
Hi @ all,

Ich hab ein Problem und zwar hab ich hab bei meinem kumpel den rechner formatiert und er hatte zwei konten das eine war admin und das andere war seins. Die mutter von meinem kumpel hat gesagt das sie immer wen sie an den rechner muss eine taste gedrückt hat beim hochfahren und ´dann ein passwort eingetippt und sie hatte dann alle rechte aber ich hab leider keine ahnung wie sowas wieder einrichte kann mir bitte jemand helfen BITTTTTTEEE SEHR WICHTIG Viel Dank für eure Hilfe vor erst. face-smile

ps: Sie meinte das unter admin dan rein kommt und er junge soll net alles auf dem rechner machen könne z.B manche seiten oder so wie mach ich das??
bergerm
bergerm 17.09.2006 um 14:52:27 Uhr
Goto Top
hallo,
ich möchte nur meine alten administratorrechte wiederherstellen, und die in zwischenzeit installierten programme aber verwenden.
ist es möglich, dass ich z.b. nur
die SECURITY
oder keine ahnung, welche für die benutzer zuständig ist, ersetze???
StargateOne
StargateOne 17.09.2006 um 22:50:23 Uhr
Goto Top
Hallo,

ich hab's zwar noch nicht ausprobiert, würde aber wetten, dass man beim Auswechseln nur einer der fünf Dateien die Registry komplett abschießt face-sad

Versuchs doch mal damit - Zitat:

Hinweis: Nehmt also möglichst einen Ordner mit einer niedrigeren RP-Zahl als die Höchstmögliche und zu einem Zeitpunkt erstellt, der mit Sicherheit vor dem Problemzeitpunkt gespeichert wurde, also als das System noch einwandfrei lief.

Vielleicht hast du Glück und ab dem entsprechenden Zeitpunkt keine neuen Progs installiert.

Viel Glück face-smile
Katrin
Katrin 07.10.2008 um 13:25:06 Uhr
Goto Top
Hallo StargateOne,

es ist zwar schon etwas länger her, das Du den Beitrag geschrieben hast, aber ich denke, es ist ein immer aktuelles Thema.

Ich habe jetzt einen solchen PC mit W2k SP 4 auf einer Fat32 Partition. Funktioniert es dort auch mit dem BartPE Builder Tool?

MfG

Katrin
StargateOne
StargateOne 08.10.2008 um 00:35:23 Uhr
Goto Top
Hallo Katrin,

mit W2k habe ich vor längerer Zeit mal gearbeitet, nun aber nicht mehr. Daher kann ich deine Thematik nicht ausprobieren.

Ich gehe aber davon aus, dass die FAT32 Partition keinen Einfluß bei dieser Aktion hat. Auch dürfte der BartPE Builder hier funktionieren, da er ja den PC bootet und partitionsunabhängig agiert - er kann mehrere Formate lesen und schreiben.

Sicherheitshalber könntest du ja mit dem BartPE eine Sicherung auf einer anderen Partition oder Festplatte erstellen.

Falls noch Fragen sind, einfach her damit. Ansonsten gutes Gelingen face-smile

Gruß
StargateOne
heliopter
heliopter 13.02.2009 um 12:56:04 Uhr
Goto Top
Durch falsche Anregung im Microsoft Baseline Security-Analyser 2.1 hatte ich Veränderungen vorgenommen, durch die ich als "Administrator" gelöscht worden bin und lediglich als Gast registriert wurde.
Die von Stargate One beschriebene Lösung hat mir schließlich mein Administrator-Konto wiederhergestellt und ich bin nunmehr wieder zufrieden.
Vielen Dank also für diese Empfehlung.