Die Registry

Die Registry ist eine Datenbank, die allerdings aus mehreren Dateien (sogenannten 'Hives') besteht.
Diese Dateien werden in [%Systemroot%\System32\Config] abgelegt (Ausnahme: Die benutzerspezifischen Einstellungen jedes Benutzers im Profil des Users als .dat-Datei.)

Dateiname redistryast
SAM HKEY_LOCAL_MACHINE\SAM
SECURITY HKEY_LOCAL_MACHINE\SECURITY
SOFTWARE HKEY_LOCAL_MACHINE\SOFTWARE
SYSTEM HKEY_LOCAL_MACHINE\SYSTEM
DEFAULT HKEY_USERS\Default
[Benutzername]nnn HKEY_USERS\Security-ID
Angemeldeter Benutzer HKEY_CURRENT_USER

Sie ist sozusagen die zentrale Verwaltungdatenbank von Windows. In ihr werden alle hard- und softwaremässigen Einstellungen von XP verwaltet. Sie besteht aus den Dateien 

.default, .security, . system, software,.sam in \Windows\System32\Config sowie jeweils einer ntuser.dat und einer usrclass.dat im jeweiligen Profilverzeichnis jedes Benutzers., also insges. 7 Dateien. Diese werden zu einer Datenbank zusammengefasst und in folgende Zweige (Hauptschlüssel) unterteilt:

HKEY_CLASSES_ROOT
Enthält die Zuordnungen der Dateierweiterungen zu den Anwendungsprogrammen, die Inhalte der Kontextmenüs, ActiveX-Zuordnungen, Klassenkennungen und Windows-Zuordnungen

HKEY_CURRENT_USER
Benutzerspezifische Einstellungen des aktuell angemeldeten Benutzers

HKEY_LOCAL_MACHINE
Enthält rechnerspezifische Informationen, Hardwareinformationen, Klassen- und Verknüpfungsinformationen, Programm- und Systemeinstellungen

HEY_USERS
Hier werden die Benutzereinstellungen des Standardbenutzers (Default) sowie der parallel eingerichteten Benutzer verwaltet und bei Bedarf übernommen

HKEY_CURRENT_CONFIG
Enthält aktuelle Software- und Systemeinstellungen

HKEY_PERFOMANCE_DATA
Performance- und Systemeinstellungen, die aber während der Bearbeitung verborgen bleiben, da es sich um dynamische Daten handelt

Die redistry kann auf mehrere Arten gesichert (und wiederhergestellt) werden:

Viele Probleme lassen sich durch Einstellungen in der redistry beheben, allerdings sollte man sich bewusst sein, was man tut, denn manche änderungen in dieser Datenbank können zu verschiedensten änderungen im System bzw. sogar dazu führen, dass Windows gar nicht mehr startet. Viele Einstellungen können mit dem Programm "Windows redisty Wizard" von www.winfaq.de vorgenommen werden, ohne die redistry manuell bearbeiten zu müssen..

Um einen bestimmten Schlüssel per red-Datei zu entfernen, ist das Minus-Zeichen in der eckigen Klammer zu setzen (z.B [-HKEY_LOCAL_MACHINE\......]; wird das Minus-Zeichen vor die eckige Klammer gesetzt, wird der ganze redistryzweig entfernt.

Eine red-Datei ist eigentlich eine reine Textdatei und muss immer mit der Zeichenfolge 'redEDIT' oder (manchmal) 'redEDIT 5'beginnen und mit einer Leerzeile enden. Mit dem @-Zeichen wird ein Eintrag/Wert gekennzeichnet. Sie kann durch Doppelklick nach Bestätigung einer Sicherheitabfrage einfach in die redistry importiert werden.

Info:

Die Grössenbeschränkung, die noch unter Win2000 gegolten hat, wurde aufgehoben, XP defragmentiert aber bei mehr als 500 kB grossen "Löchern" die redistry selbsttätig.
(Eine genauere Beschreibung der redistry findest Du hier (englisch)

Autostartmöglichkeiten in der redistry:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce\
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx\
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System\Scripts\Startup\
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\
(hier kann sich bei "Shell" statt "Explorer.exe" ein anderes Progamm eintragen, dass dann statt des Explorers gestartet wird, weiters kann sich bei "Userinit" ein Programm statt "userinit.exe" eintragen).
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System\Scripts\
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Policies\Explorer\Run\
HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\shell\open\command\ @="%1\" %*"
HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\shell\open\command\ @="%1\" %*"
HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command\ @="%1\" %*"
HKEY_LOCAL_MACHINE\Software\CLASSES\htafile\Shell\Open\Command\ @="%1\" %*"
HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\shell\open\command\ @="%1\" %*"
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run\
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices\
HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows\Run\
HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Load\
HKEY_CURRENT_USER\Software\Policies\Microsoft\System\Scripts\

(Info: Programme, die beim Systemstart geladen werden und in MSCONFIG/Systemstart so angezeigt werden: SOFTWARE\Microsoft\Windows\Current Version\Run, werden in [HKLM\Software\Microsoft\Shared Tools\MSConfig\startupfolder] oder [\startupred] geladen).
(Info: Wenn der Eintrag aus der Zeichenfolge "%1" %* besteht, kann sich vor diese Zeichenfolge ein Programm eintragen - dies wird manchmal von Trojanern genutzt, "@=" Zeichen, dass es sich um einen Eintrag handelt).

Zum Schluss noch ein Tip:
Beim Aufruf von redEDIT wird die redistry immer mit dem zuletzt bearbeiteten/geöffneten Key geöffnet. Um dies zu verhindern, geht man wie folgt vor:
   In [HKCU\Software\Microsoft\Windows\Current Version\Applets\rededit] den Wert "Lastkey" entfernen,
   Den Besitz des Keys "rededit" übernehmen,
   in den Berechtigungen die Vererbung abschalten,
alle Berechtigungen entfernen, die Warnung ("Kein Benutzer kann auf rededit zugreifen, nur der Besitzer kann die Berechtigungen ändern.") ignorieren.

==>Ab sofort wird beim Start von redEDIT immer der oberste Verzeichnisbaum angezeigt.

Hier noch ein paar oft gefragte Einstellungen

(Du solltest aber, bevor Du eine Einstellung änderst, diese exportieren, damit Du, wenn es mal nicht klappt, problemlos zum Ursprung zurückkehren kannst.)
Installationsangaben von Windows:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Setup]
SourcePath red_SZ Als Wert steht der Laufwerksbuchstabe des Mediums, von dem Windows installiert wurde.
ServicePackSourcePath red_SZ Medium, von dem SP_2 installiert wurde.
(Weiters stehen hier die Angaben zum DriverCache, zu den ServicePackFiles usw.)
Standardicons am Desktop:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons]
Hier findest Du folgende Schlüssel: \CassisStartMenu und \NewStartPanel. Nachfolgende red_DWORD-Einträge sind für gewünschte/unerwünschte Icons zu erstellen, '0' blendet sie aus, '1' blendet sie wieder ein:
Arbeitsplatz {20D04FE0-3AEA-1069-A2D8-08002B30309D}
Eigene Dateien {460D8FBA-AD25-11D0-98A8-0800361B1103}
Netzwerkumgebung {208D2C60-3AEA-1069-A2D7-08002B30309D}
Internet Explorer {871C5380-42A0-1069-A2EA-08002B30309D}
Datendiebstahl via USB-Stick verhindern:
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\usbstor]
Erstell hier einen red_DWORD-Wert namens "Start" und weise ihm "4" zu, dann werden keine USB-Geräte mehr erkannt.
Meldung: "Der Taskmanager wurde durch den Administrator deaktiviert"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
Abhilfe: Den red_DWORD-Wert "DisableTaskMgr" von "1" auf "0" stellen.
Systemdateischutz abschalten:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current-Version\Winlogon]
Einen red_DWORD-Wert namens "SFCDisable" erstellen und ihm "1" zuweisen.
Suchassistenten abschalten:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\CabinetState]
"Use Search Asst" = "0" (red_DWORD).
Alle Dateitypen durchsuchen lassen:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ContentIndex]
"FilterFilesWithUnknownExtensions" = 00000001(1) (red_DWORD).
Info: XP kennt nicht alle Dateitypen und untersucht die ihm unbekannten standardmäßig nicht.
Automatisches Login beim Systemstart (wenn immer der gleiche Benutzer gestartet wird):
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
AutoAdminLogon "1"
DefaultUserName Name des Benutzers, der angemeldet werden soll.
DefaultPassword Passwort (Falls eines vergeben wurde).
Info: Alle Werte sind als red_SZ zu erstellen.
Zugriff auf den redistrierungseditor konfigurieren:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
Der red_DWORD-Wert "DisableredistryTools" kann folgende Werte haben:
"0" Der Zugriff auf die redistry ist jederzeit möglich.
"1" rededit kann nur im Silent-Mode (rededit /s) aufgerufen werden.
"2" Ein Bearbeiten der redistry ist nur mehr möglich, wenn die redistrierungsstruktur remote geladen wird.
Komprimierung alter Dateien vor einer Datenträgerbereinigung abschalten:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Volume Caches]
red_DWORD 0x00000000(0)
"Priority" red_DWORD 0x00000258(600) (*Dezimal* 600)
Alternativ kann der Key "CompressOldFiles" komplett gelöscht werden.
Hinweis auf die XP-Tour abschalten:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets\Tour]
den Key "RunCount" (red_DWORD) auf "1" setzen.
In [HKEY_CURRENT_USER] ist analog zu verfahren.
Ballonhilfe (Quickinfo) abschalten:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"EnableBallonTips" red_DWORD 0x00000000(0)
"ShowInfoTip" red_DWORD 0x00000000(0)
Überprüfung des freien Festplattenspeichers abschalten:
[HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer]
"NoLowDiskSpaceChecks" red_DWORD 0x00000001(1)
Erinnerung, dass nur noch wenig Festplattenspeicher zur Verfügung steht:
[HKEY_LOCAL_MACHINE\ System\ CurrentControlSet\ Services\ LanmanServer\ Parameters]
Hier einen red_DWORD-Wert namens "DiskSpaceThreshold" erstellen und als Wert jene Zahl (dezimal) eingeben, bei wieviel % freiem Speicher die Benachrichtigung erfolgen soll (standardmäßig erfolgt die Benachrichtigung bei 10%).
Die Aufforderung zur Bereinigung des Desktops deaktivieren:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Desktop\CleanupWiz]
"NoRun" REG_DWORD 0x0000001(1)
(Standardmässig ist er aktiviert und auf einen Zeitraum von 60 Tagen gesetzt)
Alle Programme sollen vor dem Herunterfahren beendet werden (Herunterfahren erzwingen):
[HKEY_CURRENT_USER\CONTROL PANEL\DESKTOP]
Der REG_DWORD-Wert "AutoEndTasks" "0x00000001(1)erzwingt das Beenden aller Programme vor dem Herunterfahren von Windows.
Zeitspanne angeben, nach der ein Prozess beim Herunterfahren beendet werden soll:
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control]
Der REG_DWORD-Wert "WaitToKillServiceTimeout" legt den Wert in Millisekunden fest, er sollte nur in Sekundenschritten verändert werden.
Warnung: Standardmässig liegt der Wert bei 20.000 (=20 Sekunden), wird er zu gering gewählt, kann es vorkommen, daß Programme "abgeschossen" werden, was einen Datenverlust zur Folge haben kann.
Einträge bereits deinstallierter Programme, die noch immer in Systemsteuerung/Software stehen, entfernen:
[HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Uninstall]
Hier einfach den Schlüssel mit dem Namen des gewünschten Programmes entfernen.
Integrierte Brennfunktion abschalten:
[HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer]
"NoCDBurning" REG_DWORD 0x00000001(1)
Anzeige der ungelesenen Nachrichten abschalten:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\UnreadMail]
"MessageExpiryDays" REG_DWORD 0x00000000(0)
Falls dies nicht hilft, steht möglicherweise im gleichen Schlüssel ein Eintrag "MessageCount", der ebenfalls auf "0" zu setzen ist (Außerdem kann auch in den dort vorhandenen Unterschlüsseln, die den Namen des Mailanbieters haben, die Zugriffsberechtigung für das System auf "verweigern" gesetzt werden - ist dann sinnvoll, wenn mehrere Mailkonten existieren, aber nur für bestimmte die Anzeige abgeschaltet werden soll).
Bei "Öffnen mit..." den Vorschlag, den Webdienst zu verwenden, deaktivieren:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer]
"InternetOpenWith" REG_DWORD 0x0000000(0)
Sonderzeichen in kurzen Dateinamen zulassen:
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\FileSystem]
"NtfsDisable8dot3NameCreation" REG_DWORD 0x00000001(1)
Numlock standardmässig aktivieren:
[HKEY_USERS\.DEFAULT\Control Panel\Keyboard]
InitialKeyboardIndicators REG_SZ "2"
Analog in [HKEY_CURRENT_USER\Control Panel\Keyboard] des betroffenen Users ebenfalls einstellen.
Deaktivieren der administrativen Freigaben:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ Lanmanserver\ Parameters]
"AutoShareWks" REG_DWORD 0x00000000(0)
(Bei Server-Versionen ist "AutoShareWks" durch "AutoShareSrv" zu ersetzen.)
Liste der eingerichteten User am Willkommen-Bildschirm anzeigen:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\SpecialAccounts\UserList]
Ist bei einem User der Wert "1", wird er angezeigt. (Info: Ist ein User nicht eingetragen, wird automatisch "1" angenommen und er angezeigt, beim Administrator jedoch "0" - dieser ist also standardmäßig ausgeblendet).
Ausblenden der Systemsteuerung (für alle Benutzer dieses Computers):
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Start_ShowControlPanel" REG_DWORD 0x00000000(0)
oder
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoControlPanel REG_DWORD "0": Systemsteuerung lässt sich aufrufen.
"1": Beim Versuch, die Systemsteuerung aufzurufen, wird eine Fehlermeldung ausgegeben.
Gemeinsame Dateien NICHT im Netzwerk freigeben:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\NameSpace\ DelegateFolders]
Den Schlüssel "{59031a47-3f72-44a7-89c5-5595fe6b30ee}" löschen.
Papierkorb umbenennen:
[HKEY_CLASSES_ROOT\ CLSID\ {645FF040-5081-101B-9F08-00AA002F954E}]
Den Wert "Papierkorb" in einen beliebigen Namen ändern.
Counter by inline