La Registre Windows (anciennement base de registre ou BDR) est, sous Windows, une base de données contenant l'essentiel des réglages du système et des logiciels qui y sont installés.

Voici quelques infos sur son contenu, comment il est organisé et comment le manipuler en ligne de commande.

Windows utilise des SID (Security Identifiers) pour identifier de façon unique chaque système, utilisateur ou groupe. A ne pas confondre avec le UID/GUID, qui sert à des usages plus généraux.

Plus d'informations sur les SID courants (hors ceux des utilisateurs en eux-mêmes) : https://www.toutwindows.com/sid.shtml

Accessible avec la commande regedit depuis une invite de commande ou depuis la fenêtre Exécuter (⊞ Win+R).

La base de registre s'organise en ces quelques dossiers racines :

Chacune de ces “clés” est enregistrée dans un fichier de configuration que l'on appelle une ruche (hive, en anglais). Ces ruches sont dans le dossier système %SystemRoot%\System32\Config excepté celle relative à l'utilisateur connecté, qui est dans le dossier de l'utilisateur en question %UserProfile%\ntuser.dat.

Référence à HKEY_LOCAL_MACHINE\Software\Classes. Il s'agit juste d'un raccourci, afin de ne pas avoir à aller farfouiller dans HKLM pour ça.

Si l'utilisateur n'a pas de droit Administrateur, alors c'est le seul endroit où il a le droit d'écrire (et de lire ? ⇨ à vérifier ).

Ce dossier sera différent en fonction de quel utilisateur est en train d'accéder à la base de registre. Ce sont juste les préférences et réglages de CET utilisateur-là, et ils sont stockés dans le fichier ntuser.dat à la racine de son dossier utilisateur.

1. .DEFAULT : réglages de base utilisés lorsqu'on créé un nouvel utilisateur.
2. S-1-5-21-XXX : les ruches des différents utilisateurs (actuellement connectés ? ⇨ à vérifier )

Référence à HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001. Il s'agit juste d'un raccourci, afin de ne pas avoir à aller farfouiller dans HKLM pour ça.

Les SID de tous les utilisateurs existants sur cette machine sont renseigné dans HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\. Cela peut permettre de remonter à l'utilisateur à partir d'un SID lu dans HKU.

HKLM\Software et HKCU\Software

HKLM\Software\Microsoft\Windows\CurrentVersion et HKLM\Software\Microsoft\Windows NT\CurrentVersion

Documentation officielle des commandes reg : https://docs.microsoft.com/fr-fr/windows-server/administration/windows-commands/reg

On appelle clé un dossier du registre. Une donnée, stockée sous forme d'association qu'on aurait d'habitude tendance à appeler “clé-valeur” est appelée ici “nom de valeur - données de valeur” (name-data).

Voici les types de valeurs les plus courrants (pour une liste exhaustive, voir la doc) :

reg query HKLM\Software\Chemin\vers\la\clé

Base de la commande pour ajouter une nouvelle clé :

reg add HKLM\Software\chemin /v <valueName> /t <valueType> /d <valueData>

Base de la commande pour forcer l'écrasement si elle existe déjà (= mettre à jour)

reg add HKLM\Software\chemin /v <valueName> /t <valueType> /d <valueData> /f

Exemples :

reg add HKLM\Software\chemin /v maValeur /t REG_DWORD /d 2f /f
reg add HKLM\Software\chemin /v maValeur /t REG_SZ /d "valeur" /f
reg add HKLM\Software\chemin /v maValeur /t REG_MULTI_SZ /d "val1\0val2\0val3" /f

Pour supprimer une clé (et toutes ses valeurs) :

reg delete HKLM\Software\chemin

Pour supprimer une valeur en particulier :

reg delete HKLM\Software\chemin /v maValeur

reg load HKU\<user SID> C:\Users\<user name>\ntuser.dat

Une fois les actions terminées, pour retirer cette clé “temporaire” du registre :

reg unload HKU\<user SID>

En soi, rien ne nous oblige d'utiliser le SID de l'utilisateur dans cet exemple, mais ça permet de rester sur le même schéma que ce que fait Windows lorsqu'un utilisateur est connecté.

Pour récupérer le SID d'un utilisateur :

WMIC useraccount where name="<user name>" get sid