Sådan udpakkes registreringsnøgler fra et systemgendannelsespunkt i Windows

Systemgendannelses-øjebliksbilleder eller volumenskyggekopier indeholder registreringsdatabase-hives såvel som kritiske systemfiler. Nogle gange er du muligvis nødt til at udtrække individuelle registreringsnøgler fra et tidligere gendannelsespunkt, men ønsker ikke at foretage en komplet systemgendannelse.

Tidligere så vi, hvordan man åbner registreringsdatabasen fra skyggekopier ved at bruge fanen "Tidligere versioner" og indlæse registreringsdatabasen for at udtrække de nødvendige nøgler. Der er nu en mere komfortabel mulighed for at udtrække specifikke registreringsnøgler fra et gendannelsespunkt.

Tjek et af de nyeste værktøjer fra Nirsoft.net, som hedder RegistryChangesView. Mens det primære formål med dette program er at sammenligne snapshots af Windows-registreringsdatabasen, kan det også bruges til at udtrække registreringsdatabasedata fra en eksisterende skyggekopi eller gendannelsespunkt. Det kan bruges til at gendanne registreringsdatabasenøgler, som kan være slettet ved et uheld.

Scenarie: Lad os sige, at du ved et uheld har slettet Print Spooler-tjenesten og ønsker at gendanne følgende Print Spooler-tjenesteregistreringsnøgle fra et gendannelsespunkt.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Spooler

Udpak registreringsdatabasenøgler fra et systemgendannelsespunkt

1. Start RegistryChangesView og konfigurer det som vist nedenfor.
   
2. Indstil "Registry Data Source 1" til Nuværende register
3. Indstil "Registry Data Source 2" til Skyggekopi
4. Vælg en af ​​skyggekopistierne fra den viste liste.

   Det højest nummererede element på listen Shadow Copy Path repræsenterer det seneste skyggekopi eller gendannelsespunkt. Du kan finde listen over skyggekopier vha vssadmin listeskygger kommandolinje fra en admin kommandoprompt vindue. For mere information, tjek artiklen Sådan sletter du individuelle systemgendannelsespunkter i Windows.

5. Vælg den relevante registreringsdatabase, der skal inkluderes til sammenligning. For denne artikel vil vi kun markere følgende afkrydsningsfelt, da det er den placering, der gemmer tjenesternes registreringsnøgler:

   HKEY_LOCAL_MACHINE\SYSTEM

6. Klik på OK. RegistryChangesView vil opregne og sammenligne de valgte nøgler i kilde- og destinationsregistret hives og vise resultaterne.
7. Aktiver den navngivne indstilling fra menuen Vis Brug hurtigfilter. [Ctrl + Q]
8. Indtast i tekstfeltet Hurtigt filter \spooler eller tjenester\spooler at filtrere indgange, hvor tasterne starter med ordet "spooler". Ideen er kun at begrænse resultaterne til følgende nøgle og undernøgler.

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Spooler

   
9. Vælg alle poster (der indeholder ovenstående gren), og tryk på Ctrl + E for at eksportere resultaterne til en REG-fil. Eller klik på Filer > Eksporter udvalgte elementer til .Reg-fil
10. Gem REG-filen på skrivebordet, og åbn den med Notesblok.
    
11. Erstat hver forekomst af strengen ControlSet001 med CurrentControlSet, og gem filen.
    
12. Dobbeltklik på REG-filen for at tilføje dens indhold ("Spooler"-nøgle) til registreringsdatabasen.

Du har nu gendannet den manglende Print Spooler-serviceregistreringsnøgle!

Lille fejl

Et lille problem, jeg har bemærket, er, at den nuværende version af RegistryChangesView, når de eksporterer posterne til REG-filen, skriver udvidelige strengværdier som REG_SZ værditype. For eksempel ImagePath registreringsdatabasen værdi indeholder en miljøvariabel, og værditypen skal være REG_EXPAND_SZ i stedet for REG_SZ.

Du bliver nødt til at redigere registreringsdatabasen for at rette sådanne fejl manuelt. Noter værdinavnet og værdidataene i Notesblok, slet værdinavnet fra registreringsdatabasen og opret en værdi med samme navn og værdidata, men af ​​typen REG_EXPAND_SZ.

RegistryChangesView-metoden, der diskuteres i dette indlæg, bør fungere på enhver version af Windows, op til Windows 10. Både 32-bit og 64-bit systemer er understøttet.