Les clés du Registre : Les clés principales sont les suivantes :

• HKEY_LOCAL_MACHINE
• HKEY_CURRENT_USER
• HKEY_CURRENT_CONFIG
• HKEY_USERS
• HKEY_CLASSES_ROOT

La clé HKEY_CURRENT_USER rassemble les paramètres liés à un profil d'utilisateur. Les autres clés sont dédiées aux paramètres de la machine. De ces cinq branches, seules les clés HKEY_LOCAL_MACHINE et HKEY_USERS sont des clés possédant une existence propre. Elles sont sauvegardées dans un certain nombre de fichiers système.

Les clés HKEY_CURRENT_CONFIG et HKEY_CLASSES_ROOT sont des arborescences miroir qui reproduisent les modifications effectuées dans HKEY_LOCAL_MACHINE.

La clé HKEY_CURRENT_USER est chargée au moment de l'ouverture de session. C’est un alias d'une partie de la clé HKEY_USERS telle qu'elle est définie par son SID.

Les relations qu'entretiennent les différentes arborescences du Registre sont résumées dans ce tableau : Clé principale - Clé miroir

• HKEY_LOCAL_MACHINE\System\CurrentControlSet\Hardware Profiles - HKEY_CURRENT_CONFIG
• HKEY_LOCAL_MACHINE\Software\Classes et HKEY_CURRENT_USER\Software \Classes - HKEY_CLASSES_ROOT
• HKEY_USERS\<SID de l'utilisateur> - HKEY_CURRENT_USER

Quand un utilisateur ouvre une session, la portion du profil d'utilisateur où sont stockées ses préférences et les informations de configuration (le fichier Ntuser.dat) est chargée dans la branche HKEY_CURRENT_USER. Pour la suite de nos explications, nous utiliserons parfois les abréviations suivantes : Arborescence du Registre : Abréviation utilisée HKEY_CLASSES_ROOT : HKCR HKEY_CURRENT_USER : HKCU HKEY_LOCAL_MACHINE : HKLM HKEY_USERS : HKU HKEY_CURRENT_CONFIG : HKCC

• HKEY_CLASSES_ROOT :

Cette branche, et plus exactement cette clé, est une fusion entre les informations contenues dans HKLM\Software\Classes et HKCU\Software\Classes. Supposons qu'il existe cette arborescence HKCU\Software\.386 et HKLM\Software\Classes\.386\PersistentHandler, le résultat dans HKCR sera celui-ci : HKCR\Software\Classes\.386\PersistentHandler. En cas de conflit, ce sont les informations contenues dans HKCU qui priment. Cette clé permet le stockage des extensions de Shell, des composants OLE, des serveurs ActiveX ainsi que des informations de classe COM.

Information : Le Shell désigne la coquille dans laquelle va se loger un système d'exploitation. En bref, c'est tout ce qui définit l'apparence de votre système d'exploitation. Sous les versions en mode graphique de Windows, c'est l'Explorateur qui assure cette fonction. Par exemple, quand vous cliquez sur un fichier .doc, le système cherche avec quelle application il doit ouvrir ce type de fichier : Microsoft Word.

Information : Un composant COM est une portion de programme ou de routine d'exploitation chargée d'accomplir une tâche définie. Ainsi, le comportement d'un bouton ou d'un menu est défini par une classe qui déterminera l'action à exécuter. De ce fait, un même composant COM peut inclure plusieurs classes. Chaque classe est définie par un ID de classe (CLSID ou Class ID), identifié par un GUID (Globally Unique Identifier) composé d'une suite de caractères alphanumériques. Ils sont tous situés dans cette arborescence du Registre : HKEY_CLASSES_ROOT\CLSID.

Au début de cette clé, sont énumérées les extensions de fichiers présentes dans l'Explorateur Windows. Si vous avez installé Microsoft Excel, cette clé sera présente : HKEY_CLASSES_ROOT\.xls.

• HKEY_CURRENT_USER : ce niveau hiérarchique gère les paramètres propres à l'utilisateur actif (qui a ouvert une session) interactive.
  • HKCU\AppEvents : recense les événements système et les sons correspondants (EventLabels). Les modèles de sons figurent dans HKCU\AppEvents\Schemes.
  • HKCU\Console : définit les paramètres de la console permettant l'accès à l'Invite de commandes.
  • HKCU\Control Panel : gère l'ensemble des paramètres définis dans les modules du Panneau de configuration.
  • HKCU\Environment : définit les variables d'environnement appliquées au Shell et à l'Invite de commandes.
  • HKCU\Identities : cette clé stocke les identités que vous utilisez dans les programmes de messagerie.
  • HKCU\Keyboard Layout : définit la configuration du clavier.
  • HKCU\Printers : définit vos paramètres d'impression.
  • HKCU\RemoteAccess : énumère vos connexions réseau d'accès à distance.
  • HKCU\Software : dresse la liste des composants et des applications installés sur votre ordinateur.
  • Décernons une mention spéciale pour l'arborescence HKCU\Software\Microsoft qui regroupe l'ensemble des programmes “maison”.

• HKEY_LOCAL_MACHINE : Cette branche regroupe les paramètres matériels ainsi que ceux de votre système d'exploitation.
  • HKLM\HARDWARE : contient les informations concernant les composants matériels et les périphériques installés. La clé \DESCRIPTION\System permet, par exemple, de connaître la version et la date du Bios de votre carte mère.
  • HKLM\SAM (Security Account Manager) : sont gérés les paramètres de sécurité des comptes d'utilisateurs.
  • HKLM\SECURITY : définit les paramètres de sécurité locale.
  • HKLM\SOFTWARE : c'est là que sont listés l'ensemble des programmes et des applications installés sur votre ordinateur.
  • HKLM\SYSTEM : c'est là que sont définis les services et les pilotes de périphériques ainsi que les options de configuration du système, des applications et des composants.

• HKEY_USERS : Cette branche contient autant de sous-clés que d'utilisateurs (avec ou sans miroir) déclarés sur votre machine. La première fois que vous vous connectez sur votre session, votre environnement est défini par les informations contenues dans HKEY_USERS\.DEFAULT ou, plus exactement, dans le fichier NTUSER.dat placé dans \Documents and Settings\Default User. Par la suite, votre profil d'utilisateur “s'affinant”, les informations d'environnement seront chargées à partir de HCU\SID vers la clé HKCU qui apparaît quand, à partir de votre compte d'utilisateur, vous ouvrez le Registre.

• HKEY_CURRENT_CONFIG : Cette branche est un alias de HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Hardware Profiles\Current.

• HKEY_PERFORMANCE_DATA : Cette clé n'est pas visible. Elle gère les paramètres dynamiques comme les compteurs de performance qui s'actualisent en temps réel et n'est donc utilisée que par les processus système.

• Les clés CLSID : Il est possible de représenter chaque dossier système par sa clé CLSID, qui sera listée dans HKEY_CLASSES_ROOT\CLSID. Vous retrouvez cette même référence dans le Registre Windows.

À titre de test, à partir de Démarrer/Exécuter, saisissez cette commande : explorer ::{450D8FBA-AD25-11D0-98A8-0800361B1103} L'explorateur s'ouvrira directement dans le répertoire Mes documents. Voici un tableau récapitulatif des CLSID les plus courants :

• Dossier système - Clé CLSID
  • Outils d'administration {D20EA4E1-3957-11d2-A40B-0C5020524153}
  • Porte-documents {85BBD92O-42A0-1O69-A2E4-08002B30309D}
  • Panneau de configuration {21EC2O2O-3AEA-1O69-A2DD-08002b30309d}
  • Polices {D20EA4E1-3957-11d2-A40B-0C5020524152}
  • Historique {FF393560-C2A7-11CF-BFF4-444553540000}
  • Boîte de reception {00020D75-0000-0000-C000-000000000046}
  • Poste de travail {20D04FE0-3AEA-1069-A2D8-08002B30309D}
  • Mes documents {450D8FBA-AD25-11D0-98A8-0800361B1103}
  • Favoris réseau {208D2C60-3AEA-1069-A2D7-08002B30309D}
  • Ordinateurs du réseau {1f4de370-d627-11d1-ba4f-00a0c91eedba}
  • Connexions réseau {7007ACC7-3202-11D1-AAD2-00805FC1270E}
  • Imprimantes et télécopies {2227A280-3AEA-1069-A2DE-08002B30309D}
  • Dossier Programmes {7be9d83c-a729-4d97-b5a7-1b7313c39e0a}
  • Corbeille {645FF040-5081-101B-9F08-00AA002F954E}
  • Scanners et appareils photo {E211B736-43FD-11D1-9EFB-0000F8757FCD}
  • Tâches planifiées {D6277990-4C6A-11CF-8D87-00AA0060F5BF}
  • Menu Démarrer {48e7caab-b918-4e58-a94d-505519c795dc}

Il vous sera parfois demandé de créer des clés CLSID nécessaires à la mise en oeuvre d'astuces d'un niveau avancé. Les conditions préalables consistent en ce que cette clé soit unique et que son nom ne soit pas déjà “réservé” par une application, un composant ou une fonctionnalité que vous serez susceptible d'installer un jour. Il existe des programmes permettant de générer automatiquement des noms de clés CLSID, mais nous allons vous expliquer une méthode plus simple :

1) Ouvrez HKEY_CLASSES_ROOT\CLSID. Le nom de la première clé trouvée sera, a priori, celui-ci : {00000010-0000-0010-8000-00AA006D2EA4}.

2) Créez donc une clé CLSID en changeant simplement le dernier chiffre. Par exemple, il vous est possible de créer une clé CLSID avec ce GUID : {00000010-0000-0010-8000-00AA006D2EA5} puis une autre clé avec ce nom {00000010-0000-0010-8000-00AA006D2EA6} et ainsi de suite.

• Qu'est-ce qu'un SID ?

Un SID (Security Identifier) est une valeur unique permettant d'identifier un utilisateur ou un groupe d'utilisateurs dans les systèmes Windows NT. Certains SID ont des valeurs constantes dont voici les principales :

• SID: S-1-1-0 : “Tout le monde”. Ce groupe inclut l'ensemble des utilisateurs. À partir du Service Pack 2, il n'inclut pas les utilisateurs anonymes.
• SID: S-1-3-0 : “Creator Owner” ou “Créateur Propriétaire”.
• SID: S-1-5-7 : “ANONYMOUS LOGON”. Ce groupe inclut tous les utilisateurs connectés de manière anonyme.
• SID: S-1-5-11 : “Utilisateurs authentifiés” ou “Authenticated Users”. Ce groupe inclut tous les utilisateurs qui ont ouvert une session authentifiée.
• SID: S-1-5-13 : “UTILISATEUR TERMINAL SERVER” ou “Terminal Server Users”. Ce groupe inclut tous les utilisateurs qui ont ouvert une session Terminal Server.
• SID: S-1-5-18 : “SYSTEM” ou “Local System”. C'est un compte de service qui est utilisé par le système.
• SID: S-1-5-19 : “AUTORITE NT\SERVICE LOCAL” en tant que service local.
• SID: S-1-5-20 : “AUTORITE NT\SERVICE RÉSEAU” en tant que service réseau.
• SID: S-1-5-32-544 : “Administrateurs” ou “Administrators”. C'est un compte d'utilisateur attribué à l'administrateur du système.
• SID: S-1-5-32-545 : “Utilisateurs” ou “Users”. Désigne le groupe des utilisateurs.
• SID: S-1-5-32-546 : “Invités” ou “Guests”. Désigne le groupe des invités.
• SID: S-1-5-32-547 : “Utilisateurs avec pouvoir” ou “Power Users”. Désigne le groupe des utilisateurs avec pouvoir.

Nous retrouvons ces différentes clés en ouvrant la branche HKEY_USERS

• Obtenir rapidement le SID ou le nom de l'objet qui est rattaché : OBJ::SID se télécharge à partir de cette adresse : www.petri.co.il/obj_sid.htm. C'est simplement une archive ZIP, nommée Objsid.zip, qu'il vous suffit de décompresser.

1. Double-cliquez ensuite sur le fichier exécutable OBJSID.exe.
2. Dans la zone de texte Enter object network path:, saisissez le nom de l'objet ou saisissez le SID dans la zone de texte Enter SID:.
3. Cliquez sur le bouton Check.

Par exemple, saisissez le nom de votre compte d'utilisateur ou, à l'inverse, le SID qui y est rattaché.

Le résultat s'affichera instantanément dans la zone de texte Output:

• Les fichiers de ruche :

Le Registre étant une base de données facilement accessible, il est donc nécessaire qu'elle soit stockée dans un certain nombre de fichiers. Ces fichiers sont appelés des ruches (hives en anglais). Ces fichiers sont classés dans cette arborescence de l'Explorateur : \Windows\system32\config. Le tableau suivant récapitule les fichiers de ruche ainsi que les arborescences correspondantes dans le Registre : Nom du fichier de ruche - Branche correspondante dans le Registre

• Default : HKEY_USERS\.Default
• SAM : HKEY_LOCAL_MACHINE\SAM
• Security : HKEY_LOCAL_MACHINE\Security
• Software : HKEY_LOCAL_MACHINE\Software
• System : HKEY_LOCAL_MACHINE\System

L'arborescence HKCU est consignée, quant à elle, dans le fichier Ntuser.dat présent dans chaque profil d'utilisateur : \Documents and Settings\Nom_Utilisateur. Cinq fichiers portant l'extension .LOG sont aussi visibles dans \WINDOWS\system32\config. Les modifications opérées dans le Registre sont tout d'abord consignées dans ces fichiers de transaction. C'est seulement une fois que ce processus est terminé que les mêmes modifications sont fusionnées au Registre. Les fichiers .SAV sont des copies des ruches créées lors de la première installation du système d'exploitation. Les fichiers ne portant pas d'extension servent à gérer les contenus actuels du Registre Windows.

• Les valeurs : Il existe différents types de valeurs en fonction des données qu'elles doivent contenir. Voici la liste des plus courantes :

Nom de la valeur - Abréviation utilisée

• Valeur chaîne REG_SZ
• Valeur binaire REG_BINARY -
• Valeur DWORD REG_DWORD -
• Valeur de chaîne multiple REG_MULTI_SZ -
• Valeur de chaîne extensible REG_EXPAND_SZ.

• Valeur chaîne : enregistre des données sous forme de texte. Il arrive aussi que soient spécifiées des valeurs booléennes (No pour Faux et Yes pour Vrai).
• Valeur binaire : enregistre des suites d'octets qui peuvent être cryptées et qui sont éditées en utilisant la notation hexadécimale. Quand vous ouvrez une de ces valeurs, vous obtenez la même fenêtre qu'en cliquant avec le bouton droit de la souris sur une valeur chaîne ou DWORD et en choisissant la commande Modifier les valeurs binaires.

Ce type de données ne peut prendre que deux valeurs : 0 ou 1. La colonne de gauche indique l'offset (ou la valeur relative) de l'enregistrement des données. Les données situées à droite proposent, quand c'est possible, une conversion en chaîne de caractères.

• Valeur DWORD (littéralement : mot entier long) : enregistre parfois des valeurs booléennes (0 pour Faux et 1 pour Vrai), mais aussi des valeurs numériques au format hexadécimal qui sont codées sur 32 bits (ou 4 octets).

Définition : Abréviation de BInary digiT. Unité élémentaire d'information, ne pouvant prendre que deux valeurs, représentées par 0 et 1 en général. Un octet est composé de huit bits.

• Valeur de chaîne multiple : enregistre des listes au format texte. Chaque chaîne de caractères est séparée par le caractère ASCII Z.
• Valeur de chaîne extensible : enregistre des données sous forme de variables dont le système assurera la traduction en fonction de l'environnement appelé. Ainsi, la variable %systemroot% renverra systématiquement sur le dossier Windows, quelle que soit la lettre du lecteur racine (C:\Windows, D:\Windows, etc.).

Ce tableau récapitule quelques-unes des variables d'environnement les plus utilisées.

Nom de la variable - Emplacement correspondant dans l'Explorateur

• %SystemDrive% : Il s’agit de la lettre de votre lecteur racine (sur laquelle Windows est installé et donc contient le répertoire système).
• %ProgramFiles% : \Program Files
• %Userprofile% : \Documents and Settings\Nom_de_l’utilisateur.
• %AllUsersProfile% : L'emplacement du répertoire All Users
• %APPDATA% : L'emplacement du répertoire Application data

Ainsi, si vous souhaitez directement accéder à votre répertoire d'utilisateur, vous pouvez saisir, à partir de Démarrer/Exécuter, cette commande : %userprofile%

Les variables sont stockées dans cette arborescence du Registre : HKEY_CURRENT_USER\Volatile Environment.

Certaines valeurs sont d'un type particulier :

• Valeur binaire REG_FULL_RESOURCE_DESCRIPTOR : série de tableaux imbriqués destinés à stocker une liste de ressources utilisées par un composant matériel. Les entrées de ce type sont présentes dans HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Configuration Data
• Liaison - REG_LINK : c'est une chaîne au format Unicode permettant une liaison symbolique entre des données du système, ou d'une application, et le Registre.

• L'énigme des valeurs RVB : Il arrive souvent que vous soyez amené à changer une des couleurs définies par défaut dans un des éléments de l'interface graphique (menus, boutons, etc.). Voici deux mots d'explication sur le principe de codage des couleurs dans le Registre Windows.

Chaque teinte est définie par ses valeurs RVB, à savoir : la quantité de rouge (R), de vert (V) et de bleu (B) qui entrent dans sa composition. Dans le Registre Windows, c'est une notation hexadécimale qui est utilisée. Ainsi le noir a-t-il pour valeur RVB 0 0 0 et le blanc, la combinaison 255 255 255. Entre ces deux extrêmes, toutes les nuances sont permises…

1. Avec le bouton droit de la souris, cliquez sur une partie vide du Bureau Windows puis sur la commande Propriétés.
2. Cliquez sur l'onglet Apparence, puis sélectionnez, dans la liste déroulante Élément :, l'option Bureau.
3. Cliquez sur le bouton fléché, puis sur Autre…
4. Déplacez la réglette située à droite de la boîte de dialogue.

Les valeurs RVB de la teinte sélectionnée s'inscrivent dans les cases Rouge :, Vert : et Bleu :.

• Appliquer immédiatement les modifications apportées au Registre :

Il y a plusieurs solutions :

Appuyez sur la touche F5 afin de rafraîchir le Bureau Windows. Sinon, testez cette solution :

1. Appuyez simultanément sur les touches Ctrl + Alt + Suppr afin d'accéder au Gestionnaire de tâches.
2. Cliquez sur l'onglet Processus.
3. Sélectionnez un processus appelé Explorer.exe, puis cliquez sur le bouton Terminer le processus.
4. Cliquez sur Fichier/Nouvelle tâche (Exécuter…).
5. Dans la zone de texte Ouvrir :, saisissez ceci : explorer
6. Cliquez sur OK.

Sinon, cliquez sur Démarrer/Exécuter puis saisissez : RUNDLL32.EXE USER32.DLL,UpdatePerUserSystemParameters ,1 ,True

Il vous est possible de créer un raccourci accessible à partir du Bureau Windows et même d'affecter à cette commande un raccourci clavier.

En dernier recours, fermez puis ouvrez de nouveau votre session interactive.

* Ouvrir l'éditeur du Registre plus rapidement : Nous allons maintenant utiliser une fonctionnalité appelée Alias. Ce terme désigne un fichier exécutable possédant les mêmes fonctionnalités que son frère jumeau, mais dont l'“enveloppe” a été quelque peu modifiée. Il est, par exemple, plus simple de lancer l'éditeur du Registre en saisissant simplement la lettre R plutôt que d'inscrire le nom complet du fichier exécutable regedit

1. Ouvrez HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths.
2. Créez une clé nommée R.exe (Cette clé sera toujours formée du raccourci voulu suivi de l'extension .exe )
3. Éditez la valeur (par défaut) et inscrivez, comme données, l'emplacement et le nom du fichier exécutable permettant de lancer l'éditeur du Registre : c:\Windows\regedit.exe

• Désactiver l'accès aux outils de modification du Registre : (Configuration requise : au moins Microsoft Windows 2000. ) Cette astuce permet de désactiver l'éditeur du Registre Windows. Si vous modifiez directement le Registre, suivez ces étapes :

1. Ouvrez \Software\Microsoft\Windows\CurrentVersion\Policies\System.
2. Créez une valeur DWORD nommée DisableRegistryTools
3. Éditez cette entrée et inscrivez, comme données, une de ces valeurs :
   • 2 : désactive l'exécution silencieuse de regedit.exe.
   • 1 : ne désactive pas l'exécution silencieuse de regedit.exe.

Dans ce sens, il ne vous sera pas possible de double-cliquer sur un fichier .reg ou d'utiliser la commande Regedit.exe (par exemple en saisissant cette commande : regedit /s test.reg). Si vous tentez d'ouvrir le Registre, vous obtiendrez ce message d'erreur : “La modification du Registre a été désactivé par votre administrateur”. Si le paramètre est sur Non, vous n'avez pas accès au Registre, mais il vous est permis de fusionner de manière silencieuse un fichier .reg au Registre. Cette stratégie est accessible par l'éditeur de stratégie de groupe en ouvrant Configuration utilisateur/Modèles d'administration/Système : Désactiver l'accès aux outils de modification du Registre.

• Modifier le Registre alors qu'une stratégie de groupe vous en empêche : Regpol.exe se télécharge à partir de cette adresse : www.petri.co.il/regpol.htm. Décompressez l'archive ZIP, puis placez le fichier exécutable dans un des emplacements définis par la variable Path. Il vous est ainsi possible de modifier le Registre Windows même si une stratégie de groupe vous en empêche. La syntaxe est la suivante : regpol Fichier. Par exemple : regpol test.reg.

Faites attention à ce que votre fichier .reg soit au format Win 9X/NT4 et comporte cet en-tête : REGEDIT4. Notez que la commande en Invite Reg le permet également, même si l'option Désactiver l'exécution silencieuse de regedit.exe est paramétrée sur Oui.

• Désactiver l'ouverture automatique de la dernière clé explorée :

Dès que vous lancez le Registre Windows, ce dernier ouvre automatiquement la dernière arborescence explorée. Pourquoi ne pas faire comme si le Registre était à chaque fois frappé d'amnésie ?

1. Ouvrez HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\Regedit.

Dans le volet de droite, la valeur chaîne Lastkey est chargée de mémoriser vos moindres faits et gestes passés.

1. Avec le bouton droit de la souris, cliquez sur la clé Regedit puis sur la commande Autorisations…
2. Dans la rubrique Sécurité, cliquez sur votre nom d'utilisateur.
3. Dans la rubrique Autorisations pour Nom_Utilisateur, cochez la case Lecture sous la colonne Refuser puis cliquez sur le bouton OK.
4. Dans la boîte de dialogue Sécurité qui apparaît, cliquez sur le bouton Oui.
5. Le contenu de la clé Regedit est maintenant invisible.
6. Ouvrez de nouveau le Registre qui, cette fois-ci, restera sagement calé dans les starting-blocks du Poste de travail…
7. Afin de revenir à la situation précédente, accédez à l'onglet Sécurité de la clé que vous venez de modifier, puis décochez la case Lecture placée sous la colonne Refuser…