Windows 2000/XP网络组建与系统管理 李燕 中南分校

本章主要介绍： 第十章 Windows 2000/XP注册表 Windows 2000/XP注册表基本概念 注册表的逻辑结构和内容 注册表的备份 注册表的编辑（基本操作） 注册表的应用实例

Windows 2000注册表概述 注册表（Registry）技术最初应用在Windows NT操作系统中，在随后的Windows 95系统中也引入了这个概念，经过不断的发展到今天已经成为Windows操作系统的核心数据库。 注册表主要用来存储计算机软、硬件的各种配置信息，它是操作系统的“心脏”，管理员可以通过管理注册表实现全面有效的管理计算机系统。

注册表的发展历史 PC及操作系统的一个特点就是允许用户按照自己的需要对计算机系统的软件和硬件进行各种各样的个性化设置，从而方便使用。 在早期的图形操作系统中，比如Win3.X中，对于软件和硬件的工作环境的配置主要是通过对两个扩展名为.ini的文件（SYSTEM.INI和WIN.INI）进行修改来完成的，其中SYSTEM.INI控制软件， WIN.INI控制桌面和应用程序。修改方法是使用类似notepad（记事本）这样的工具来进行文件编辑。

注册表的发展历史（续1） 但使用INI文件的管理方法有一个最大的缺点是每一个INI文件的大小一定得限制在64KB以内。

注册表的发展历史（续2） 此外，使用INI文件管理系统的第二个缺点就是非常容易被文本编辑器编辑，在编辑过程中可能会出现各种错误（比如拼写错误），从而使得系统变得非常脆弱和不堪一击。 第三个缺点是INI文件存储在本地机器上，要通过网络去实现远程访问和管理INI文件几乎不可能。

注册表的发展历史（续3） 基于以上问题，在Windows95以及后续的Windows操作系统中，广泛的使用了注册表的方法来配置系统信息。 （详细的关于.INI文件和注册表之间的区别后面10.1.3详细再述）

注册表的概念 注册表是一个庞大的二进制数据库，用来跟踪和管理机器上的所有软件和硬件资源机器配置，所储存的内容主要包括以下几个方面： 软、硬件的有关配置和状态信息，应用程序和资源管理器外壳的初始条件、首选项和卸载数据。 计算机的整个系统的设置和各种许可，文件扩展名与应用程序的关联，硬件的描述、状态和属性。 计算机性能记录和底层的系统状态信息，以及各类其他的数据。

注册表的功能 一、记录系统的配置信息，以便实现系统的软件和硬件的配置 1、系统本身的配置信息 这类配置信息包括: 系统启动时加载的程序; 系统文件所在目录、使用的时区； 启动后桌面窗口使用的外观; 每个用户登录的首选项;

注册表的功能 若有网络环境，则还有： 计算机的网络名称； 用户登录后Windows 2000必须查找的服务器； 加载不同网络组件的顺序； 服务器如何在前台应用程序与后台服务器任务之间分配处理器时间等。

注册表的功能（续） 2、有关软件的配置和设置信息 1） 这类配置信息是与应用程序相关的信息，以便程序运行时根据这些信息以响应的方式运行，例如:数据文件的类型、保存文件的位置、菜单的样式、工具栏中的内容、应用软件的安装日期、用户名，以及版本号、序列号等。 2） 用户可以定制应用软件的菜单、工具栏和外观。

注册表的功能（续2） 3、有关硬件的配置信息 注册表记录了PC机硬件的全部配置，包括： 1）有关32位设备驱动程序的信息； 2）关于每一个硬件正在使用哪些计算机资源的信息，如中断、端口、内存地址等； 3）硬件设备当前的配置设置记录； 4）记录硬件的安装和拆除的情况； 5）链接该设备与Windows 2000/XP的驱动程序。

注册表的功能（续3） 二、管理设备驱动程序 在Windows 2000/XP中，设备驱动程序都是独立于系统而存在的，从本质上讲并不和系统融为一体。 系统将根据注册表中的信息找到相应的驱动程序，并加载这些驱动程序，在添加新设备时既可以使用Windows 2000/XP附带的驱动程序，也可以使用此设备附带的驱动程序。

注册表的功能（续3） 在安装操作系统或者向系统中添加新硬件时，系统会在注册表中记录设备驱动程序的位置以及有关该设备的详细配置信息。 当系统启动时，系统会取得BIOS发现的设备信息，然后在注册表中查找到相应的驱动程序的位置及设置信息，并按照相应的设置加载设备的驱动程序。

注册表的功能（续4） 三、运行启动程序 四、记录用户操作的结果 在注册表中保留有Windows 2000启动时要运行的程序清单，程序清单记载了Windows每次启动时要运行的程序。 四、记录用户操作的结果 注册表能够自动记录用户操作的结果，当用户改变了的窗口的位置、大小和状态、桌面图标、任务栏的位置和大小等设置时，注册表会记录下来，以便在下一次打开同一窗口时从注册表取得相应数据。

注册表的功能（续5） 五、确定组件方式 在Windows 2000/XP中采用了组件对象模型（Component Object Model—COM）的概念，注册表在组件模型中起主导作用，在注册表中存储了有关不同对象的可定义的基本功能。 比如：单击鼠标、双击鼠标、拖拽等操作在不同对象上的不同结果。

Windows 2000/XP注册表的新特性 1. 即插即用信息（plug and play） Windows 2000注册表与NT 4.0有不少相似之处，但Windows 2000/XP的注册表确实有其新特性。这些新特性主要表现在下述几个方面。 1. 即插即用信息（plug and play） 即插即用向用户提供了更加透明的安装新硬件的过程，也有助于拆除不再需要的旧硬件。 即插即用的服务有一个硬件设置数据库，该数据库就在注册表中。

Windows 2000/XP注册表的新特性 2. 安全性 (1) 利用注册表实现系统的安全性 (2) 实现注册表本身的安全性 Windows 2000所有的安全特性都是通过注册表实现的。它还添加了策略文件，可设置多台Windows 2000 PC机都使用同一组限制。 (2) 实现注册表本身的安全性 系统设置了给注册表项指派权限的方法，以便对注册表进行保护。只有被赋予了权限的用户和组才能才能修改访问和修改注册表中的相关选项。

3. 活动目录与注册表之间的联系 Windows 2000/XP注册表的新特性 3. 活动目录与注册表之间的联系 虽然活动目录和注册表都有管理系统资源的能力，但它们的侧重点是不同的： 注册表侧重于配置的管理； 活动目录侧重于权限的管理，通常会把注册表设置与目录对象联系起来。例如，当用户使用组策略工具对用户、组或跨网络的域实施限制性注册表设置

注册表和INI文件 一、 .INI文件的特点 1、.INI类型的文本文件是用于描述软件及硬件设置的，作用是供Windows和Windows应用程序启动时查看相关信息，以便进行相应的设置。 2、除了系统INI文件以外，还会有针对特定类型文件的一些专用的INI文件，里面含有个别程序运行的信息；

注册表和INI文件 3、.INI文件是纯文本文件，并且都遵循相同的、简单的格式规则：部分标题用方括号，部分标题下的项目可以以任意顺序出现，错误标题下的项目不运行，以分号开头的一行表示Windows对该行不处理，等等。

注册表和INI文件 二、注册表和.INI文件的对比，区别表现在：

注册表和INI文件 （3）在同一台计算机上，注册表允许存储多个用户的特性，而.INI文件只能体现单个用户的特性； （4）注册表原则上没有对于文件大小的限制，而.INI文件的单个大小只能限制在64K的范围内； （5）注册表拥有远程管理的功能，而对于.INI文件，如果不另加第三方软件，没有方便的办法让网络管理员远程管理。

注册表的逻辑结构和内容 一、注册表的文件组成 注册表的组成和内容可以从两种角度去分析：一个是分析组成注册表的文件，另外一个则是分析注册表的逻辑结构。 一、注册表的文件组成 注册表的本质是一个采用二进制方式存储数据的数据库，因此组成注册表的是多个二进制文件。 在Windows98中，注册表的信息是集中存储的，即存放在user.dat、system.dat和policy.pol三个文件中；

注册表的逻辑结构和内容 而在Windows 2000/XP中，注册表的信息在物理上是分散存储的，被分散存储在多个文件和多个目录中，文件的实际个数根据操作系统是否是为多个用户设立的而定。 尽管注册表包含的文件在物理上是分散的，但在逻辑上被组织成一个整体，使用注册表编辑器工具（REGEDIT.EXE和REGEDT32.EXE）可以在编辑器窗口中看到注册表的全部信息。

注册表的逻辑结构和内容 二、注册表的逻辑结构组成 Windows 2000/XP的注册表在逻辑上是一个整体，它具有树形结构，并能通过注册表编辑器以树形结构进行显示和编辑。 在Windows 2000/XP环境中，组成注册表中数据的大部分文件都存放在C:\WINNT\System32\Config文件夹下，用户可以对这些文件进行备份或拷贝，但不能单独地浏览或编辑这些文件，因为它们是以加密的二进制格式保存的。

注册表的逻辑结构和内容 可以用REGEDIT和REGEDT32启动注册表编辑器，看到注册表的主窗口如下所示：

综述 1. 注册表的基本组织结构 Windows 2000/XP注册表的组织结构是一个树形结构。它是由五个分支、键、子键和值组成。

综述 （1）键 下面来介绍一下各个部分的内容： 在注册表编辑器的左侧窗格的定位区域，每一个文件夹表示注册表中的键。 键可以看成是一个容器，它包含子键和值项。在一个键或子键中，它通常会含有至少一个值，并且在其中还会有许多子键。这种结构非常象“资源管理器” 的结构形式。

综述 （2）子键 （3）预定义键 子键是键中的键，和键的关系就好像目录可以包含子目录一样。 预定义键是代表注册表中的一个主要部分的键，也称为根键，在注册表中以HKEY作为前缀开头的文件夹，位于注册表树状结构的最顶层。类似硬盘上的根目录。

综述 主要的五个预定义键分别是HKEY_LOCAL_MACHINE，HKEY_USER， HKEY_CLASSES_ROOT，HKEY_CURRENT_CONFIG，HKEY_CURRENT_USER 分支名称 指向 缩写 HKEY_LOCAL_MACHINE   HKLM HKEY_USER HKU HKEY_CLASSES_ROOT HKLM\SOFTWARE\Classes 加上HKCU\SOFTWARE\Classes HKCR HKEY_CURRENT_CONFIG HKLM\SYSTEM\CurrentControlSet\ Hardware Profiles\Current HKCC HKEY_CURRENT_USER HKU\<Security ID> HKCU

综述 （4）值项 值项类似硬盘上树型目录的末端文件，键和子键可以包括一个或者多个项，项由值项名，数据类型和数值数据三个部分组成，其格式是：“值项名：数据类型：数据数值”。

综述 （5）值 值项的名称可以由任意字符、数字、代表符和空格组成，但不能在名称中使用反斜杠。 不同的键中，键和键值名可以使用同一名称，但同一键中不能使用同一名称。 项所定义的内容就是该值项的值，值的类型可以是二进制数、字符串或DWORD值。 （5）值 注册表的键中的值是用来描述配置的具体状态的。

综述 例如：HKEY_CURRENT_USER \Software \Microsoft \Windows \Current Version \Policies \Explorer 将鼠标停留在这里的时候，可以看到右边窗口出现一个项“NoDesktop ”，标识为REG-DWORD,数值为0x00000000（0），这里的： NoDesktop为值（同时也为值项名） REG-DWORD为值项数据类型 0x00000000（0）为值项的数值数据。

综述 2、注册表的数据类型 注册表的值支持多种数据类型。在Windows 2000/XP中，注册表主要使用三种类型的值：字符串、二进制及DWORD(双字)，而其中字符串类型又有两种变体：扩展字符串和多重字符串。 下面介绍各种类型的值的表达方法。

综述 ⑴ 字符串（REG_SZ） REG_SZ表示一个简单的文本字符串，许多类型的信息都可以输入“字符串编辑器”对话框内，例如:输入文字、标题、名称、路径以及指令等； 此外也可能含有数字和日期，比如:RGB颜色色码中浅绿色代码是“92 220 192”；数字信息还可以用来表示数据、版本号等。 REG_SZ型的字符串具有固定的长度。

综述 （2）扩展字符串（ REG_EXPAND_SZ ） 这种类型允许字符串中含有在程序或服务在使用该数据时确定的系统变量，（系统变量用两个百分号作为分界符）常用的变量有： ·%SystemRoot% 通常表示的就是C:\WlNNT，即操作系统文件的位置。

综述 ·%SystemDrive% 通常是C:，即系统硬盘。 ·%ProgranFiles% （Windows 2000的一个新变量）通常是C:\Program Files，即应用程序文件夹。 扩展字符串的长度却是可变的。

综述 ⑶ 多重字符串（ REG_MULTI_SZ ） 多重字符串值类型中包含格式可被用户读取的列表或多值的值，也就是注册表把几个字符串集合成为一个值。 REGEDT32的多重字符串编辑器允许用户在一行列表上处理每一个字符串。 与此相反，REGEDIT不能搜索一个多重字符串里第一个字符串后面的字符串。

综述 （4） 二进制（ REG_BINARY ） （5）特制系统条目（REG-RESOURCE_DESCRIPTOR） 这类表示未处理的二进制数据，多数硬件组建信息都以二进制数据存储，在注册表里的二进制值是用十六进制来表示。 （5）特制系统条目（REG-RESOURCE_DESCRIPTOR） 这类数据类型设计来存储硬件元件或驱动程序的资源列表的一列嵌套数组。

综述 （6）DWORD（ REG_DWORD ） DWORD值是四个字节的二进制值。它可以转换成八个十六进制的数字。 DWORD值的注册表格式是：0x加八个数值一起（Eight Number All Run Together）加上放在圆括号里的与此数等同的十进制数。许多设备的驱动程序和服务的参数都是这种类型，并在注册表编辑器中以二进制、十六禁止或者十进制的格式来表示。

综述 3、注册表的五大根键

综述 核心根键KHLM和HKU中实际上就包含了整个注册表的内容。 HKCC、HKCR和HKCU仅指向HKLM和HKU中的某些部分。 例如：HKCR是HKLM\Software\Classes和HKCU\Software\Classes中信息的总和。

HKEY_LOCAL_MACHINE (HKLM) 每次用户安装或拆除即插即用设备、用控制面板项“Add/Remove Programs ”添加或删除程序时、安装或卸载32位Windows程序时、或改动控制面板项“系统”的设备管理属性的设置时，均修改HKLM。

HKEY_LOCAL_MACHINE (HKLM) 由于每台计算机的硬件配置和安装的应用程序都不相同，所以在此项中包含的信息可能会有很大的差别，它和具体的用户无关。 此根键中的数据适用于所有用户。 本根键是注册表的核心。 注意： 本根键下面各个子键中包含的信息有很多是重复的，但只是为了浏览的方便，在实际的数据库中不会有重复的数据。

HKEY_LOCAL_MACHINE (HKLM) ① HARDWARE子键 这个子键中包含了系统使用的浮点处理器、串口以及所有硬件设备的设置信息。每当计算机重新启动的时候，就要对它重新计算。 在逻辑结构上看，这个子键下面还有三个子键，包括了计算机中所有的硬件以及有关的每个设备的辅助信息和每个设备需要的资源信息等。

HKEY_LOCAL_MACHINE (HKLM) Description 键：用于记录在启动阶段Windows 2000的硬件测试过程。 DeviceMap键：把设备驱动程序和设备相关联以成功地安装设备驱动程序。 ResourceMap键：用于联接Windows NT 4.0后台的设备和资源(中断等)。

HKEY_LOCAL_MACHINE (HKLM) ② SAM子键 SAM子键是Security Account Manager的简称，此项中包含用户与用户组帐户的有关信息，这些信息统称为SAM数据库。这个子键一般处于系统的保护状态，内容不可见。 ③Security子键 这个子键中包含安全设置有关的信息，比如用户的访问权限设置、密码原则和本机用户组的成员等，该子键同样受到系统保护，内容不可见。

HKEY_LOCAL_MACHINE (HKLM) ④ Software 子键 此子键中包含系统软件、当前安装的应用程序以及用户的有关信息。该子键下包含Classes，Program Groups，Secure和Description等子键。 Program Groups包含当前计算机中所安装软件的软件名称和版本信息等。由于不同计算机中安装的软件不同，所以不同计算机中的Software子键中内容也会各不相同。

HKEY_LOCAL_MACHINE (HKLM) ⑤ System 子键 此子键中保存系统自动运行时所使用的信息和系统出现故障时用于修复系统的信息。 其中包括各个驱动程序的描述信息和配置信息等，因此在不同的计算机上该子键的显示内容也不会一样。

HKEY_CURRENT_CONFIG (HKCC) 本根键中则存放当前配置文件的所有信息，它包含有关于设备驱动程序的装载、显示的设置等方面的内容，以及当前硬件配置中不同于缺省硬件配置的一些变化。 这个根键是HKLM\System\CurrentControlSet\Hardware Profiles\Current的别名。

HKEY_CURRENT_CONFIG (HKCC) 本键包含四个子键，如下： Display：包含两个不同显示设置的子键，其中Font子键映射屏幕字体到字体名。Setting子键包含了当前显示适配器的设置信息，它的值项定义了显示器的颜色深度、显示器的逻辑、物理点距以及最初在System.ini文件的[boot]中设置的字体。

HKEY_CURRENT_CONFIG (HKCC) System：用于指示可用的打印机。 Enum：指示了在当前硬件配置文件中所包含的设备，它下面的结构和HKLM\ Enum分支相同。 Software：这是一个关于Microsoft部分的信息，其中的一些设置未保存在HKEY_LOCAL_MACHINE根键下，而仅仅保存在HKEY_CURRENT_CONFIG根键下。

HKEY_CLASSES_ROOT(HKCR) 在这个根键中保存了Windows操作系统中所有数据文件的信息，主要记录不同文件的文件名后缀和与之对应的应用程序，当用户双击一个文档时，系统可以通过这些信息启动相应的应用程序。 具体的内容包括已经注册的文件扩展名、文件类型、文件图标等。其中也包括了从Win.ini文件中引入的扩展名的数据，还包括诸如“我的电脑”、“回收站”

HKEY_CLASSES_ROOT(HKCR) “控制面板”等标识。 例如，后缀为DOC的文件作为Office Word的数据文件，后缀为TXT的文件作为Notepad的数据文件等。 此外，HKCR键还记载了各种数据文件类型在操作时的一些属性， 例如，拖放操作的结果、不同文件类型所使用的图标、在文件上右击时会出现什么样的快捷菜单以及文件属性表的内容等等。

HKEY_CLASSES_ROOT(HKCR) 注意： HKEY_CLASSES_ROOT根键是HKEY_LOCAL_MACHINE\software\classes分支的快捷方式，是注册表中最大的一个键，包括了成千上万与程序、文件相关联的键和值，以及ActiveX类的定义等内容。

HKEY_USERS（HKU） （4） HKEY_USERS（HKU） HKEY_USERS（HKU）键中保存的是默认用户（.Default）、当前登陆用户与软件（Software）的信息，用户根据个人爱好设置的诸如桌面、背景、开始菜单程序项、应用程序快捷键、显示字体、屏幕节电设置等信息均可以在这个主键中找到。 注： 这里大部分的设置都可以通过控制面板来修改，用户也可以在这里设置自己的键和子键。

HKEY_USERS（HKU） HKU根键结构，如图所示：

HKEY_USERS（HKU） 这个根键下最主要的是.Default子键，.Default子键中的配置主要是针对未来将要被创建的新用户，新用户根据默认用户的配置信息来生成自己的配置文件，该配置文件包括环境、屏幕、声音等多种信息。 HKU下的除了以“_Classes”结尾的键以外的每个子键所包含的下级子键基本上是相同的,下面简要介绍其中部分子键的作用和内容：

HKEY_USERS（HKU） ① AppEvents（应用程序事件） 登陆已注册的各种应用事件，保存指定的Windows 2000/XP事件发生时播放声音文件的名称和位置。 ② Control Panel（控制面板） 本键中包含的内容和桌面、光标、键盘和鼠标等设置有关。改变它们的数值数据就会改变对应的工作环境或者参数。这些与用户指定的控制面板设置有关。

HKEY_USERS（HKU） ③Software（软件） 这个子键用于设置Microsoft公司开发的应用程序相关的数值数据以及保存安装的应用程序（包括Windows 本身）所有用户设置和用户指定首选项的位置。 对于不同的计算机，它的项值的数据是不同的。

HKEY_USERS（HKU） ④Printers（打印机） ⑤Keyboard layout（键盘布局） 这个子项用于设置键盘的布局，如键盘语言的加载顺序等。 ⑥Console（控制台） 这个子键保存Windows 2000/XP命令行会话设置。

HKEY_CURRENT_USER（HKCU） 在HKEY_USERS 中存放了与所有用户有关的Windows设置和应用程序设置，而在HKEY_CURRENT_USER（HKCU）中只是存放了与当前登录用户有关的这些设置，因此HKCU设置是HKU设置的子集。 在本键中存放了当前登陆用户的信息，它是HKEY_USER\<SID>的快捷方式,其中<SID>为用户名，若未激活任何用户，则<SID>对应的是Default。

注册表的备份方法 一、为什么要备份注册表 注册表是Windows操作系统的核心数据库，其中保存的各种参数直接控制着Windows操作系统的启动、硬件驱动程序的加载，以及各种应用程序的正常运行。如此重要的注册表却会因为各种原因而遭到破坏，如：错误关机、突然掉电、硬件故障等，从而会以各种各样的方式影响系统性能和稳定性，严重时还会导致无法启动计算机或整个Windows系统完全瘫痪。

注册表的备份方法 二、注册表遭到破坏的主要原因 （1）用户反复添加或者更新驱动时，多次操作造成失误，或者本身添加的程序与实际不相匹配。安装应用程序的过程中在注册表中添加了不正确的项。 大多数应用程序都拥有一个名为SETUP.INF的说明文件。该文件说明了安装应用程序需要什么磁盘，有哪些目录将要被建立，从哪里复制文件，使得应用程序工作正常所需要建立的注册表项信息。如果选择错误，就会造成故障。

注册表的备份方法 （2）驱动程序不兼容。 计算机外设的多样性使得一些不熟悉设备性能的用户将不配套的设备安装在一起，却忽略了设备的兼容性。当安装了不能兼容的驱动程序时就会产生问题。 （3）通过控制面板的添加/删除程序添加程序时，由于应用程序自身的反安装特征、或者通过第三方软件都可能会对注册表造成损坏。 此外，删除程序、辅助文件、数据文件和反安装程序都可能会试图删除注册表中的参数项。

注册表的备份方法 （4）当用户经常安装和删除字体时，会产生字体错误 （5）硬件设置改变或者硬件失败。 由于计算机系统本身有问题、受到病毒侵害、发生磁盘故障或者计算机用电不正常等，都可能导致注册表受到损害。 （6）用户在不了解情况的状态下人为改变注册表。

注册表的备份策略 1. 不定期备份 对注册表进行备份可采用不定期备份和定期备份两种方法。 不定期备份应在下述情况下进行： 1. 不定期备份 不定期备份应在下述情况下进行： 安装完Windows 2000/XP且一切运行正常。 在安装或删除任何应用程序之前。

注册表的备份策略 通过控制面板或MMC作出任何重大修改之前。 使用System Policy Editor、REGEDIT、REGEDT32或类似的应用程序进行修改之前。 进行诸如修改口令或增添新用户和组之类的安全性修改之前。

注册表的备份策略 2. 定期备份 用户应该建立一种定期备份的制度，例如，每月或每半月将硬盘上的所有东西备份到磁带驱动器上，这样做的目的还在于进行数据的备份。 为了系统的安全，用户还可以定期将注册表中的重要内容导出，以便在出现无法解决的意外故障之后导入。

注册表的备份内容 在Windows 2000\XP环境下，大多数注册表文件都存放在%SystemRoot%\System32\Config文件夹下，大约有二十多个文件。

注册表的备份内容 各类文件的功能也各有不同，用户可以根据自己的需要来选择备份

注册表的备份方法 一、注册表的自我备份和检查 在Windows 2000/XP中，系统也是会自动备份的。当系统出现问题，在计算机启动的时候可以按下F8键，进入后选择“最后一次正确的配置”就可以恢复，这个过程其实就是恢复注册表的内容。 但是，依靠Windows 2000/XP系统本身的恢复功能并不能将整个注册表进行还原，它只是把注册表中HKLM\System\CurrentControlSet中的信息进行了还原

注册表的备份方法 ，其他任何注册表项中的修改仍然保持不变，这种只适用于当产生如新添加的驱动程序和硬件不相符合的问题导致注册表故障的时候才能有效，并不能解决驱动程序或文件被丢失和损坏所导致的注册表问题。

注册表的备份方法 二、通过注册表编辑器备份注册表 对于管理员来说，较为常用和便利的备份注册表的方法就是在命令行中运行注册表编辑器REGEDlT，可以将整个注册表或者注册表的一部分导出到一个文本文件中去，在进行注册表的恢复的时候再导入文本文件进注册表就可以了。

注册表的备份方法 导入 （1）注册表全部导入

注册表的备份方法 导入 （2）注册表部分导入

注册表的备份方法 使用注册表编辑器备份的局限性 虽然使用注册表编辑器REGEDIT进行备份有很大的优越性，但也存在着局限性，其局限性主要表现在两个方面： ① 在Windows 2000/XP运行图形模式时不能既恢复整个注册表备份，而又同时保证所产生的注册表与用户备份的相同。原因是REG文件的导入无法删除现有的注册表条目，而只能对它们进行修改或添加新条目。

注册表的备份方法 ② 如果用户没有在设置为处理多用户配置文件的PC机上登录，则导出过程不会为多用户备份用户设置。导出过程只备份当前登录用户和默认用户的设置。 由于存在这些问题，与进行全备份相比，使用注册表编辑器REGEDIT进行备份更适合于快速、局部的注册表备份。

注册表的备份方法 三、 使用Microsoft Windows Backup进行备份 Microsoft Windows Backup是Windows 2000的一个通用备份程序，NTBACKUP.EXE或Microsoft Windows Backup，其功能非常灵活，它可以备份整个磁盘，包括注册表，也包括已经打开的文件。它可以快速压缩文件；可以进行多软盘备份，它还可以备份到多种目标设备，包括Zip、可擦写光盘以及较为传统的磁带和网络目录等。

注册表的备份方法 (1) 使用Backup 备份本地机注册表的方法

注册表的备份方法 在“备份”标签左边窗口中的树形目录中，有“系统状态(System State) ”项，在这里所定义的系统状态包括如下内容： 注册表。备份系统状态时，并未包括全部注册表，仅仅是大部分而巳。 引导文件。具体指NTLDR和NTDETECT.COM。这些是引导Windowo2000必不可少的文件。 COM+Class Registration Database：与通过网络访问的软件组件有关。

注册表的备份方法 (2) 使用Backup 备份远程注册表 使用Backup 同样可以备份远程注册表，只要用户在远程PC机上用享有Administrator权限或Backup Operator权限的帐户登录，便可以运行NTBACKUP，单击“备份”（Backup）选项卡，漫游到远程机器上的C:\WINNT\System32\Config文件夹并选定它。然后选择备份的目标位置，备份的目标位置可以是用户的本地机器、远程机器或任何具有可访问的网络路径。

注册表的备份方法 四、在DOS下备份注册表 当注册表损坏，连Windows都无法进入，此时可以考虑使用纯DOS环境下进行注册表的备份和恢复。Regedit.exe”这个注册表编辑器不仅能在WINDOWS环境中运行，也能在DOS下使用。

注册表的备份方法 五、使用REG实用程序进行备份 Windows 2000/XP在其资源工具包（Resource Kit ）中提供了一组工具，其中REG.EXE可以用于对注册表进行命令行管理，包括对注册表进行备份。REG实用程序能够实现许多功能，虽然这些功能都可以使用注册表编辑器完成，但是，REG命令还提供了自动维护注册表方法， REG需要在Windows2000/XP中的DOS下运行。

注册表的备份方法 使用REG.EXE进行备份时有下述几个方面的限制： REG只备份当前处于活动状态的注册表文件。 在远程机器上存储时，只能备份HKLM和HKU。 REG不能创建多软盘组。 REG不会改写目标盘上名字相同的已有文件。

注册表的编辑 注册表是一个庞大的数据库，不使用合适的工具很难进行浏览和编辑，Windows 2000/XP提供的注册表编辑器REGEDIT和REGEDT32能够让用户很方便地对注册表进行浏览和编辑。 用于修改注册表的其他工具都有一些保护措施，但注册表编辑器的保护措施却很少。因此，使用注册表编辑器存在的危险性。

注册表的编辑 使用注册表编辑器对注册表进行修改时是立即生效的，没有是否覆盖原有信息的询问和提示，一经操作就直接进入注册。由于修改前系统并不将原数据备份，因此也就不可能让用户撤消上次的修改。 系统管理员要充分认识到这种危险，避免因为错误操作而损坏注册表，还要注意到不允许一般的用户修改注册表。

不使用注册表编辑器编辑注册表 修改注册表不一定要用注册表编辑器，用其他的方法也可以修改注册表，有的方法还很安全。 1. 控制面板 2. “我的电脑”（My Computer）和“资源管理器”（Explorer） 3. 系统策略编辑器（System Policy Editor） 4. 应用软件

注册表编辑器 由于Windows 2000/XP的注册表是一个庞大而又复杂的数据库，而且是分散存储的，需要有一个软件工具将这些文件汇聚到一个窗口作为一个整体，以便进行观察、编辑和修改，注册表编辑器就是这种工具。 查看并修改注册表最常用的工具是Windows 2000的注册表编辑器，它有有两个版本：REGEDIT和REGEDT32。两个注册表编辑器各有特点，用户可以根据需要选择使用。

注册表编辑器 一、查找 下面以XP SP2中的REGEDIT为例来讲解使用注册表编辑器经常进行的几种操作： 当管理员需要修改某一个值可能并不知道这个值在哪一个键中，这就需要进行查找，操作方法是： 选择菜单栏中 “编辑” →“查找”或按Ctrl+F启动Find命令。REGEDIT显示下图所示的“查找”对话框。

注册表编辑器 “项(K)” 指的是键，“值(V)” 实际上指的是“值名” ,而“数据(D)” 指的是“值数据” 。

注册表编辑器 二、修改值 系统管理员可能经常需要修改注册表，其中包括对已有值的修改，以实现对系统的维护。 要修改值，首先要使用前面介绍的方法查找到要被修改的值。找到了值的位置以后，在左边键窗格中选中对应键，使得要修改的值在右边的值窗格中显示，然后在右边值窗格中选中对象，进行修改其值。

注册表编辑器 值的修改

注册表编辑器 三、删除键和值 在REGEDIT中，可以删除除了五个根键之外的几乎所有的是任何子键和任何类型的值，操作的方法很简单，选中要删除的键或值，右击鼠标，然后在快捷菜单中选择“删除”。或者，选中键或值，然后按Delete键。REGEDIT 给出“确实要删除这个项和所有其子项吗？”或者“确实要删除此数值吗？”的询问，点击“是(Y)”确认，就可完成删除操作。

注册表编辑器 四、新建键和值 可以在现有的注册表中添加新的键或在已有的键中添加值。添加键常用的步骤是： a．在左边的键窗格中，右击要在其下面添加新键的键就会出现快捷菜单。 b．将光标移到快捷菜单中的“新建”（New）→在下级菜单中单击 “项”（Key），此时就会在左边的键窗格中被选的键下面出现一个名为“新建# l”的新的子键。 c．为新的子键输入键名，然后按回车。

注册表编辑器

注册表编辑器 实例一：设置记事本中文字显示下划线 在记事本中可以设置的文本的格式非常的有限，通过记事本的菜单选项中的“字体”选项并不能设置文字的下划线的效果，但可以通过修改注册表中的对应项来实现，步骤如下： （1） 打开注册表编辑器 （2）“编辑”选项中选择“查找” ――>键入“Notepad”――> “项” ――>“全字匹配”，找到HKEY_CURRENT_USER\Software\Microsoft\Notepad子键；

注册表编辑器 (3)在子键展开的右边窗口找到一个项为“lfUnderline”，值的类型为DWORD，单击右键，选择“修改”，将数值改为1（显示下划线）。 (4）重新启动计算机，打开任意一个记事本，键入文字，可以看到设置生效。

注册表编辑器 实例2：隐藏桌面的所有图标 安装各式各样的软件会在桌面上留下很多的快捷方式，会显得桌面的凌乱不整，不想一个一个去删除图标又希望看到一个清爽的桌面，可以通过修改注册表来隐藏桌面的所有图标。步骤如下： （1） 打开注册表编辑器 （2）上面的方法类似，找到HKEY_CURRENT_USER \Software \Microsoft \Windows \Current Version \Policies \Explorer子键；

注册表编辑器    （3）在右边窗口空白处单击右键，选择“新建” ――>“DWORD值”，名字为“NoDesktop”，然后修改它的值，当值为1的时候会隐藏桌面的图标，值为0的时候则不隐藏桌面图标 （4）重新启动系统，可以观察到桌面图标的处理情况。

注册表编辑器 实例3：清理病毒 经常上网浏览网页，在无意中感染了病毒netsvcs，这个病毒的表现特征是： （1）开机就自动加载进入内存，一旦启动就极度占用CPU资源，让系统运行很慢很慢；在“进程管理器”看到netsvcs，点击停止，之后一小段时间内它又自动加载进入内存，继续消耗系统资源。

注册表编辑器 （2）使用NAV（即诺顿）等一些杀毒软件来杀毒，无法查出和处理，试图在网络上升级这些杀毒软件的病毒库，发现网络连接全部失效，无法连接到任何杀毒软件的官方站点。

注册表编辑器 诊断如下： （1） 这个病毒是一开机就自动加载，常驻内存，任何程序运行进入内存就会被它感染；   诊断如下： （1） 这个病毒是一开机就自动加载，常驻内存，任何程序运行进入内存就会被它感染； （2）所有杀毒软件无法连接到自己的官方站点升级病毒库，是存放在系统中关于连接的设置文件遭到篡改，将%System%\drivers\etc\hosts中把一些防毒网站的目标连接 全部指向 127.0.0.1 (或者改成了localhost，代表本地机器)同样需要改回来；

注册表编辑器 处理方法和步骤如下： （3）此外需要删除这个病毒留在磁盘上的可执行文件的实体； 1）启动系统后，使用“任务管理器”将 netsvcs.exe 终止；方法是同时按下 Ctrl-Alt-Del三键，即可看到任务管理器，选择“进程”页面，然后找出 “netsvcs.exe”，再按「结束进程」 ；

注册表编辑器    2）把硬盘里的 netsvcs.exe 以及相关文件删除掉；方法是在“开始”选择“搜索文件”，寻找所有硬盘中的文件名为“netsvcs.exe”的档案，并将找到的所有文件删除； 3）再用regedit注册表编辑器把会使病毒netsvcs.exe在系统启动时自动加载的注册表项清理掉，方法是： 开始\运行，键入regedit， 回车；

注册表编辑器  在注册表中使用查找，找到以下的项目： (1)HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices (2)HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 此两个路径下如有「Video Process = “netsvcs.exe”」的项目，将其删除以防 Windows 于开机时再自动载入病毒程序；

注册表编辑器 4）再把 %System%\drivers\etc\hosts 里 “127.0.0.1 localhost” (不包括此行) %System% 代表 Windows 下的 system32 目录： 如操作系统为 Windows XP，则该文件的位置应该为 C:\WINDOWS\system32\drivers\etc\hosts 如操作系统为 Windows 2000，则该文件的位置为 C:\WINNT\system32\drivers\etc\hosts

注册表编辑器 使用记事本(notepad)或是其他文本编辑器开启上列文件，再将以下数据删除后存档即可(即只留下包括「127.0.0.1 localhost」这行以上的资料) 删除资料： 127.0.0.1 security response.symantec.com 127.0.0.1 symantec.com 127.0.0.1 www.sophos.com 127.0.0.1 sophos.com ……

注册表编辑器 五、 打印 在REGEDIT5.0版本的“注册表”菜单项中和REGEDIT5.1版本的“文件”菜单项中都有打印命令，也可以在键盘上敲CTRL+p命令。选中键或者值，再使用打印命令，即可打印。实际上，在REGEDIT中打印并不方便，如果想打印大量的内容(如一个大键或整个注册表)，可以将所需内容导出到一个文本文件，然后进行必要的排版，最后打印，就可以达到更好的效果。