Usuwanie niepotrzebnych Fontów w Windows 7 / uprawnienia admina

[Fixmeplease]

Dzień dobry,

Poszukuję pomocy dot. zagadnienia jak w temacie wątku Rozwiązań znalazłem kilka...

M.in. zastosowanie skryptu "2manyfonts". To prosty plik bat, który przenosi wszystkie egzotyczne fonty z folderu %windrive%:\Windows\Fonts\ do %windrive%:\2manyfonts\ pozostawiając oczywiście na miejscu niezbędne fonty systemowe.

Tu niestety zaczęły się moje problemy. Okazało się, że jako posiadacz konta administracyjnego z uprawnieniami... nie mogę ruszyć większości plików! Konsola podaje komunikat:

 

nie zostało wykonane mapowanie między nazwami kont a identyfikatorami zabezpieczeń

 

Oczywiście nie ma to związku z fontami tylko z uprawnieniami mojego konta administracyjnego.

Częsć zbędnych fontów przeniosłem po przejęciu własności i przydzieleniu sobie do nich pełnych uprawnień:

 

TAKEOWN /F "ścieżka dostępu do folderu" /R /A

oraz

icacls "ścieżka dostępu do folderu" /grant Administratorzy:F /T

Od zawsze posiadałem jedno konto administracyjne z hasłem. Dzisiaj odblokowałem przez net user ukryte konto Administrator, ale ono również nie posiada odpowiednich uprawnień.

Założyłem nowe konto administracyjne - to samo.

 

 

Czytam i szukam, i z tego co zrozumiełem brakuje mi chyba gdzieś w rejestrze SIDa spinającego użytkowników administracyjnych z odpowiednimi uprawnieniami.

Raz na kiedyś miałem jakieś głupie problemy typu brak uprawnień do usunięcia ikony z pulpitu etc., ale przy normalnej pracy, tak na codzień gdzie korzystam z 5 programów na krzyż nie zauważałem tego problemu. Programy się instalują, internet śmiga itd.

 

 

 

 

Sięgając pamięcią ponad rok wstecz to chyba skasowałem (jak mi się wtedy wydawało) podejrzany profil usera o nazwie w stylu: S-1-5-21-361...

Profil nie był mój, nie wiedziałem co to, więc go usunąłem Nie wiem czy dobrze, że to łączę, ale może to przyczyna moich problemów z uprawnieniami?

 

 

Pytanie na które nie znajduję jak do tej pory jednoznacznej odpowiedzi to czy można jakoś "mapować nazwy kont z identyfikatorami zabezpieczeń"?

 

 

Ponieważ posiadam system w wersji Home ściągnąłem nawet paczkę instalującą nieoficjalnie gpedit.msc, ale przyznam, że trochę błądzę na oślep.

Strasznie nie chcę przeinstalowywać systemu, bo pracuję na nim bez większych problemów już 3 lata. Wszystko jest skonfigurowane i gdyby nie świadomość zagadnienia... pewnie popracowałbym jeszcze kolejne 3 lata. Ciekaw jestem czy istnieje jakieś mniej pracochłonne rozwiązanie niż ordynarna reinstalka?

 

 

Z góry dzięki za pomoc.

[picasso]

Proszę nie duplikuj tematów, jest to tu zabronione i wprowadza bałagan. Duplikat usunęłam.

 

 

Usuwanie niepotrzebnych Fontów w Windows 7

Objaśnij to, po co to wszystko, czego się po tym spodziewasz.

 

 

M.in. zastosowanie skryptu "2manyfonts". To prosty plik bat, który przenosi wszystkie egzotyczne fonty z folderu %windrive%:\Windows\Fonts\ do %windrive%:\2manyfonts\ pozostawiając oczywiście na miejscu niezbędne fonty systemowe.

+

 

Konsola podaje komunikat:

 

nie zostało wykonane mapowanie między nazwami kont a identyfikatorami zabezpieczeń

Zwrot powiada, że w komendzie użyto niepoprawnej (nieistniejącej) nazwy konta / grupy. Te pliki BAT są dla systemów EN i DE i mają takie nazwy grup (nazwy grup występują w konkretnym języku natywnym systemu). Przykładowe wpisy z obu plików BAT:

 

icacls %windrive%:\Windows\Fonts\aparaj.ttf /grant Administratoren:F /t

icacls %windrive%:\Windows\Fonts\aparaj.ttf /grant Administrators:F /t

 

Stosowanie na systemie Polskim wymaga zrobienia nowego pliku uwzględniającego polskie nazwy grup (w tym przypadku: Administratorzy).

 

 

Ostatnio kazało się, że jako posiadacz konta administracyjnego... nie mogę ruszyć większości plików systemowych np. fontów!

Na systemach Vista i wyżej działa WRP (Windows Resource Protection = Ochrona zasobów systemowych). Konto administracyjne jest ograniczone z biegu, to nie jest bieda znana z XP, gdzie konto administracyjne hulało po plikach i robiło szkody. Nadrzędnym kontem mającym uprawnienia do obiektów systemowych (na dysku i w rejestrze) jest TrustedInstaller. Nie należy tego zmieniać wg widzimisie.

 

 

Od zawsze posiadałem jedno konto administracyjne z hasłem. Dzisiaj odblokowałem przez net user ukryte konto Administrator, ale ono również nie posiada odpowiednich uprawnień.

Wbudowane konto serwisowe podobnie jak wyżej.

 

 

ściągnąłem nawet paczkę instalującą nieoficjalnie gpedit.msc, ale przyznam, że trochę błądzę na oślep.

Czym prędzej się tego pozbądź. Nie dość, że nie ma to kompletnie związku, to na dodatek jest to wadliwy tweak, który tworzy tylko pozory i nic dobrego z tego nie wynika. Cytuję z innego tematu dlaczego implementacja gpedit.msc na edycjach Home nie jest możliwa i co ta paczka robi (a raczej czego nie robi, bo nic nie działa):

 

... co do XP, to tylko cieszy oczy a nic nie robi dobrego. Link niestety zaginął już (to był taki przewodnik o nazwie "Kilian's Guide: Install Group Policy in WinXP HE"), ale tu przez Wayback można o tym przeczytać jaka wada występuje: KLIK.

 

(...)

 

Wstępnie popatrzyłam i na gpedit wszczepiane sztucznie w Home, instalując "zalecany setup". Jak mówiłam, pliki templatek i samej przystawki są najwyraźniej brane ze starszych systemów (datowanie na rok 2001 / 2004). To ma odbicie w różnej zawartości między oryginalnym gpedit a gpedit sztucznym = brakuje po prostu szablonów Vistowatych. Na szybko dwa zrzuty, bo nie chce mi się więcej robić:

 

 

To ma skutki w dostępności opcji - przystawka posługując się przestarzałymi bazami szablonów nie adresuje opcji wprowadzonych w nowych systemach. Pierwsze z brzegu - ustawienia Autoplay:

• XP (i sztuczne gpedit dla Vista Home): Konfiguracja komputera > Szablony administracyjne > System > opcja: Wyłącz funkcję Autoodtwarzanie
• Vista (z obsługą gpedit): Konfiguracja komputera > Szablony administracyjne > Składniki systemu Windows > Zasady autoodtwarzania > opcje: Wyłącz funkcję Autoodtwarzanie + Nie zaznaczaj pola wyboru Zawsze wykonuj tę czynność + Domyślne zachowanie autouruchamiania

Wzięłam więc na wypróbowanie pierwszą z brzegu wartość wspólną dla XP + Vista, czyli NoDriveTypeAutoRun (Wyłącz funkcję Autoodtwarzanie). I to najważniejsze, gpedit zachowuje się tak samo jak gpedit sztukowane w XP Home, tak jak już wspominałam kilka postów wcześniej:

 

Unfortunately it writes to the incorrect registry key. For example, the correct key for the Group Policy editor, User Configuration\Administrative Templates\System, Prevent access to registry editing tools should be:

 

HKEY_CURRENT_USER\Software\Microsoft\

Windows\CurrentVersion\Policies\System

DisableRegistryTools

 

Instead it writes temporarily to (the extra entry in red):

 

HKEY_CURRENT_USER\Software\Microsoft\

Windows\CurrentVersion\

Group Policy Objects\LocalUser\

Software\Microsoft\Windows\CurrentVersion\

Policies\System

DisableRegistryTools

 

and the key would vanish when you close gpedit.msc and regedit. The Group Policy Object entry indicates that it "behaves" as if in a domain.

----> Tak samo działa to sztuczne gpedit pod wersje Vista:

 

 

Tworzy tylko ten jeden domenowy klucz w Group Policy Objects. Nie jest wcale tworzony prawidłowy klucz HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer. Wystarczy zamknąć gpedit i kluczyk Group Policy Objects znika z rejestru. Jak się otworzy znów gpedit, to kluczyk Group Policy Objects znów się pokazuje w rejestrze. Ale tego właściwego wcale nie ma.

 

----> Natomiast na prawdziwym gpedit, choć także są modyfikowane klucze Group Policy Objects, to jest tworzony właściwy klucz HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer. Po zamknięciu gpedit utrzymują się oba klucze.

 

 

Tak więc, nic się nie zmieniło od czasów XP. Nie da się tego wpuścić w edycje tego pozbawione.

 

 

 

 

 

 

.

[Fixmeplease]

Proszę nie duplikuj tematów, jest to tu zabronione i wprowadza bałagan. Duplikat usunęłam.

Dzięki za odpowiedź. Naprawdę. Ale z ręką na sercu? Odpowiedziałabyś w wątku który spadł gdzieś hen hen w forumowy niebyt?

Będąc dokładnym nie zduplikowałem, a zawęziłem zagadnie do kwestii uprawnień po jakim czasie...2 tygodniach? Oryginalny wątek j.w. jest długi i opisowy. Pierwotnie zawierał nawet genezę moich problemów, ale skróciłem, bo nikt nie odpowiadał. Założyłem, że nikomu nie chciało się tego czytać. Zawężenie zagadnienia poskutkowało. Jeśli naruszyłem zasady - przepraszam. Kwestia powiedzmy...interpretacji.

 

Objaśnij to, po co to wszystko, czego się po tym spodziewasz.

Czego spodziewam się po usunięciu niepotrzebnych fontów?

Poprawiam "workflow" pracy. Stwierdziłem, że projektując za dużo czasu spędzam na scroll'owaniu fontów bez ogonków. Chciałbym mieć porządek. Skorzystałem już z alternatywnego rozwiązania czyli menedżera fontów - NexusFont. Podczas rozwiązywania tego problemu natrafiłem na większy czyli uprawnienia. TrustedInstaller to chyba dobry trop. Pytanie jak to naprawić?

 

Zwrot powiada, że w komendzie użyto niepoprawnej (nieistniejącej) nazwy konta / grupy. Te pliki BAT są dla systemów EN i DE i mają takie nazwy grup (nazwy grup występują w konkretnym języku natywnym systemu). Przykładowe wpisy z obu plików BAT:

 

icacls %windrive%:\Windows\Fonts\aparaj.ttf /grant Administratoren:F /t

icacls %windrive%:\Windows\Fonts\aparaj.ttf /grant Administrators:F /t

 

Stosowanie na systemie Polskim wymaga zrobienia nowego pliku uwzględniającego polskie nazwy grup (w tym przypadku: Administratorzy).

Rozumiem. Logiczne i pomocne. Dzięki.

Używałem bat'a EN, ale nie wpadłem na to, bo wydawało mi się, że system sobie z tym radzi nawet przy "spolszczeniu" systemu.

Tak, posiadam system w wersji PL. Komunikat "nie zostało wykonane mapowanie między nazwami kont a identyfikatorami zabezpieczeń" pojawiało się w innych przypadkach, ale już nie pamiętam kiedy. Samo brzmienie komunikatu jest jednak mocno niejasne, ciężko z niego cokolwiek wywnioskować. M$ słabo to opisuje.

 

[...]Nadrzędnym kontem mającym uprawnienia do obiektów systemowych (na dysku i w rejestrze) jest TrustedInstaller. Nie należy tego zmieniać wg widzimisie.

Nie przypominam sobie abym cokolwiek zmieniał w systemie, aczkolwiek w desperacji zmieniałem uprawnienia we właściwościach kilku plików exe, które się nie wykonywały przy starcie np.aplikacja siedząca w trayu, która ma za zadanie monitorować kalibrację kolorystyczną ekranów. Jest w autostarcie, ale przestała się uruchamiać :/ Dopiero odpalona z tzw. palca pojawia się na pasku.

 

Wbudowane konto serwisowe podobnie jak wyżej.

Jeśli chodzi o wykonywanie pliku bat 2manyfonts - OK. Rozumiem.

 

Czym prędzej się tego pozbądź. Nie dość, że nie ma to kompletnie związku, to na dodatek jest to wadliwy tweak, który tworzy tylko pozory i nic dobrego z tego nie wynika.

OK. Chciałem zobaczyć czy można podejrzeć w jakiś przystępny sposób konta i ich uprawnienia.

 

Dosłownie wczoraj wpadłem na komendę netplwiz dzięki, której zobaczyłem, że do kont administracyjnych, ukrytego i tego mojego głównego, miałem przypisane podwójne członkostwo do grup HomeUsers i Administratorzy, ale po wejściu we Właściwości>Członkostwo grupy było zaznaczone pole "Inny" z wyszarzoną angielską nazwą grupy HomeUsers. Bardzo dziwne :/ Jak to jest z tymi nazwami grup? Skoro w bat nie może być Administrators?

Zmieniłem z Inny na Administrator (Grupa Administratorzy) i zapisałem. Nie mam już na koncie głównym podwójnego przypisania tzn. mam tylko Administrator w tym pierwszym okienku.

[picasso]

Nie przypominam sobie abym cokolwiek zmieniał w systemie, aczkolwiek w desperacji zmieniałem uprawnienia we właściwościach kilku plików exe, które się nie wykonywały przy starcie np.aplikacja siedząca w trayu, która ma za zadanie monitorować kalibrację kolorystyczną ekranów. Jest w autostarcie, ale przestała się uruchamiać :/ Dopiero odpalona z tzw. palca pojawia się na pasku.

Jeśli rzecz o autostarcie, to pewne aplikacje mogą wymagać uprawnień wyższych. Ominięciem problemu jest uruchamianie programu nie z folderu Autostart, tylko przez Harmonogram zadań (taskschd.msc) z zaznaczoną opcją uprawnień administracyjnych.

 

 

Jeśli chodzi o wykonywanie pliku bat 2manyfonts - OK. Rozumiem.

Mówię o tym, że zarówno konto użytkownika o uprawnieniach administratora, jak i to ukryte serwisowe konto Administrator (które włączyłeś), mają limitowany dostęp do obszarów chronionych systemem WRP.

 

 

Dosłownie wczoraj wpadłem na komendę netplwiz dzięki, której zobaczyłem, że do kont administracyjnych, ukrytego i tego mojego głównego, miałem przypisane podwójne członkostwo do grup HomeUsers i Administratorzy, ale po wejściu we Właściwości>Członkostwo grupy było zaznaczone pole "Inny" z wyszarzoną angielską nazwą grupy HomeUsers. Bardzo dziwne :/ Jak to jest z tymi nazwami kont? Skoro w bat nie może być Administrators?

 

Zmieniłem z Inny na Administrator (Grupa Administratorzy) i zapisałem. Nie mam już na koncie głównym podwójnego przypisania tzn. mam tylko Administrator w tym pierwszym okienku.

Podwójne członkowstwo jest poprawne i powinno zostać przywrócone:

 

 

 

HomeUsers = definiuje zestaw zabezpieczeń w połączeniach sieciowych (współdzielenie plików). Do wglądu hasło Panel sterowania > Sieć i internet > Grupa domowa.

 

W kwestii nazw: są wbudowane konta / grupy systemowe nie mające translacji (np. SYSTEM, TrustedInstaller) oraz takie które mają różne wersje językowe (np. Administratorzy, Użytkownicy, Wszyscy, Gość...). Częściowy spis możesz pobrać w cmd komendami net users i net localgroup.

Dodatkowo należy brać pod uwagę jaki jest natywny język systemu, bo sama zmiana języka wyświetlania (dostępna w wersjach powyżej Home) nie zmienia natywnego języka i określonych cech. Przykład masz na powyższym obrazku: mój system jest natywnie angielski, zostało doinstalowane polskie MUI (cały system jest więc spolszczony jak Twój), ale nazwy grup nadal są angielskie i takie muszą być stosowane.

 

 

Dzięki za odpowiedź. Naprawdę. Ale z ręką na sercu? Odpowiedziałabyś w wątku który spadł gdzieś hen hen w forumowy niebyt?

 

Będąc dokładnym nie zduplikowałem, a zawęziłem zagadnie do kwestii uprawnień po jakim czasie...2 tygodniach? Oryginalny wątek j.w. jest długi i opisowy. Pierwotnie zawierał nawet genezę moich problemów, ale skróciłem, bo nikt nie odpowiadał. Założyłem, że nikomu nie chciało się tego czytać. Zawężenie zagadnienia poskutkowało. Jeśli naruszyłem zasady - przepraszam. Kwestia powiedzmy...interpretacji.

Tutejsza klasyfikacja duplikatu: ten sam problem opisany w dwóch tematach w celu zwrócenia uwagi. "Nikomu nie chciało się czytać": nie bierzesz pod uwagę, że nikt nie wiedział jak się za to zabrać. "Zawężanie" nie poskutkowało (nadal nie było odpowiedzi), kastracja treści obliżająca prawdopodobieństwo rzetelnej odpowiedzi (brak informacji co uruchamiasz, konkretne pliki BAT do wglądu). Zaś moja odpowiedź to czysty przypadek, który Ci fałszywie sugeruje, że nowy temat się do tego przyczynił. Ponad miesiąc czasu nieobecności z powodu choroby i operacji, dziś mój pierwszy dzień grubszego grasowania w dziale Windows. Skąd wiem, że był starszy temat? Otworzyłam stronę go wyświetlającą:

 

W moim przypadku (jestem moderatorem działu) teoria tzw. "pierwszej strony" nie ma zastosowania i o niczym nie decyduje. Nie sprawdzam tematów wg lokalizacji na stronie tylko na bazie własnego znacznika nieprzeczytanych. Wybieram losowo z różnych stron ten który potrawię przetworzyć od ręki. Brak odpowiedzi: brak obecności, brak czasu, brak pomysłu.

 

 

 

.

[Fixmeplease]

Ominięciem problemu jest uruchamianie programu nie z folderu Autostart, tylko przez Harmonogram zadań (taskschd.msc) z zaznaczoną opcją uprawnień administracyjnych.

Super. Działa. Dzięki.

Ciekawostka, albo raczej kolejny dziwny symptom jest taki, że gdy ustawiałem zadanie musiałem wybrać właściwości > opcje zabezpieczeń i zdefiniować konto użytkownika. Gdy pierwotnie wybrałem ogólnie grupę Administratorzy ikona aplikacji nie pojawiała się w pasku po starcie systemu. Gdy poprawiłem zadanie wybierając już konkretnego użytkownika z uprawnieniami administracyjnymi aplikacja zaczęła uruchamiać się poprawnie.

 

Podwójne członkostwo jest poprawne i powinno zostać przywrócone

Jak?

Teraz w netplwiz mogę wskazać jedynie pojedynczą grupę :/

EDIT: dodałem swoje konto główne oraz to ukryte systemowe do grupy HomeUsers

net localgroup group_name UserLoginName /add

 

W kwestii nazw: są wbudowane konta / grupy systemowe nie mające translacji (np. SYSTEM, TrustedInstaller) oraz takie które mają różne wersje językowe (np. Administratorzy, Użytkownicy, Wszyscy, Gość...). Częściowy spis możesz pobrać w cmd komendami net users i net localgroup.

Dodatkowo należy brać pod uwagę jaki jest natywny język systemu, bo sama zmiana języka wyświetlania (dostępna w wersjach powyżej Home) nie zmienia natywnego języka i określonych cech. Przykład masz na powyższym obrazku: mój system jest natywnie angielski, zostało doinstalowane polskie MUI (cały system jest więc spolszczony jak Twój), ale nazwy grup nadal są angielskie i takie muszą być stosowane.

Jeśli coś mam namieszane z uprawnieniami, to nie wiem jak do tego doszło i jak przywrócić te właściwe. Brak mi wzorca. Mam wrażenie, że grupa Administratorzy nie posiada odpowiednich uprawnień. Nie wiem jak to sprawdzić. Wiem tylko, że kiedyś wszystko działało. Ostatnio pojawiały się drobne objawy, ale nie miałem czasu na tzw. rozkminkę i dopiero teraz przez przypadek odkryłem, że coś jest nie tak. O ile nie instaluje nowych aplikacji to w zasadzie wszystko działa, ale wiadomo... wolałbym mieć całkowitą kontrolę nad systemem.

 

Tutejsza klasyfikacja duplikatu: ten sam problem opisany w dwóch tematach w celu zwrócenia uwagi.

OK. Przepraszam, więcej tego nie zrobię.

Jestem wdzięczny @picasso za każdą pomoc. Czasu mamy wszyscy za mało i fajnie jak ktoś się nim dzieli z innymi.

Jeśli chodzi o operację, rekonwalescencje itd. czyli ogólnie zdrowie to życzę go szczerze, bo jak trywialnie to nie zabrzmi - zdrowie jest najważniejsze