Rastreando porque o Cliente de Política de Grupo está mudando uma variável de ambiente

0

Algo está mudando misteriosamente uma das minhas variáveis ​​de ambiente no meu sistema Win 7. Eu segui a orientação em esta discussão , e rastreou o culpado ... para svchost.exe. Process Explorer parece indicar que esse segmento de svchost.exe está executando o cliente de diretiva de grupo (gpsvc). Alguma idéia sobre como rastrear por que o gpsvc está alterando essa variável de ambiente e como impedi-lo de fazer isso?

Desde já, obrigado... 

A registry value was modified.

Subject:
    Security ID:        SYSTEM
    Account Name:       machine$
    Account Domain:     mydomain
    Logon ID:       0xfff

Object:
    Object Name:        \REGISTRY\USER\S-1-5-21-1657032316-61167162-621696214-25666\Environment
    Object Value Name:  R_LIBS
    Handle ID:      0x16c
    Operation Type:     Existing registry value modified

Process Information:
    Process ID:     0x474
    Process Name:       C:\Windows\System32\svchost.exe

Change Information:
    Old Value Type:     REG_SZ
    Old Value:      D:\Program Files\R_libs
    New Value Type:     REG_SZ
    New Value:      z:\R
windows-7  r 
Alexander Shenkin
fonte

Respostas:

1

Se sua variável de ambiente for definida por uma configuração de política de grupo, tente executar em um prompt de comando privilegiado: 

gpupdate /r /z > somefile.txt && notepad somefile.txt

Em seguida, pesquise dentro do arquivo de texto pela sua variável de ambiente.

Não tenho certeza se o resultado é o mesmo, mas você também pode tentar: 

gpupdate /h report.html && start report.html

Em seguida, pesquise dentro de seu navegador pela variável de ambiente.

rebrec
fonte
Obrigado @rebrec. Não consigo ver nada referenciando variáveis ​​de ambiente ou qualquer uma das referências de registro que tocam as variáveis ​​de ambiente. Algum outro pensamento?
Alexander Shenkin
você pode voltar a sua variável de ambiente, em seguida, executar gpupdate /force e ver se a variável é modificada novamente?
rebrec
sim, isso mudou ...
Alexander Shenkin
umm, de fato, parece que o rsop.msc está obsoleto ... você pode tentar em um prompt de comando privilegiado gpresult /r /z > somefile.txt e depois abrir esse arquivo e procurar a ocorrência de sua variável de ambiente? Você também pode tentar gpresult /h somefile.html && notepad somefile.html e, em seguida, procure a variável novamente.
rebrec
Obrigado rebrec. gpresult / r / z não apresentou nada, mas gpresult / h mostra que R_LIBS é definido nas preferências de política de grupo (configuração do usuário - & gt; referências - & gt; variáveis ​​de ambiente): i.imgur.com/FpFEobP.png . Eu tenho andado por aí, mas não consigo encontrar uma maneira de acessar essas preferências. Alguma ideia? Se é algo administrado pela equipe de TI em um nível de domínio, posso fazer um ping sobre isso ... Obrigado novamente ...
Alexander Shenkin
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.