Відповіді:
Дані, які ви шукаєте, за замовчуванням не повинні розміщуватися у "C: \ Документи та параметри \ Користувач за замовчуванням". Це місцезнаходження профілю користувача за замовчуванням, який є шаблоном для нових профілів користувачів. Єдина його функція - скопіювати в нову папку для використання в якості профілю користувача, коли користувач вперше заходить у комп'ютер.
Якщо служба дотримується вказівок Microsoft, вона зберігатиме дані у папці даних програми (% APPDATA%) або в локальній папці даних програми (% LOCALAPPDATA% у Windows Vista та пізніших версіях). Він не повинен використовувати папки "Мої документи" або "Документи", але ви також можете перевірити їх там.
У типовій установці Windows XP або Windows Server 2003 перевірте наступні місця для даних додатків для програм, що працюють як локальна система (NT AUTHORITY \ SYSTEM):
У типовій установці Windows Vista та пізніших версіях перевірте наступні місця для даних додатків для програм, що працюють як локальна система (NT AUTHORITY \ SYSTEM):
Звичайно, замініть відповідне ім’я постачальника та ім'я програми на постачальника та програми .
[Редагувати - для бричесламу] Для 32-бітних процесів, що працюють на 64-бітових вікнах, це було б у SysWOW64 .
Місце призначення змінюється в часі. У Windows 10:
%systemroot%\ServiceProfilesНаприклад:
C:\Windows\ServiceProfiles\LocalServiceC:\Windows\ServiceProfiles\NetworkServiceLocalServiceі NetworkService, але не того, про LocalSystemяке питання задається. Це три окремі акаунти, дивіться тут детальніше
Перейдіть на сторінку Sysinternals і скачайте прокмен. Вам потрібно буде знати ім'я exe, яким працює служба. Тоді ви можете використовувати фільтр у procmon, щоб перерахувати лише ті дії, згенеровані цією програмою.
Тепер ви маєте можливість пройти список і визначити, який файл використовує ця програма (ПРИМІТКА. Після декількох хвилин реєстрації ви можете скористатися меню файлів, щоб зупинити моніторинг)
Весь набір Sysinternal можна завантажити як один поштовий файл, і ви можете знайти в комплекті інші утиліти, які можуть бути корисними.
З реального процесу, що працює як SYSTEM ( S-1-5-18).
SYSTEMS-1-5-18CN=HYDROGEN,CN=Computers,DC=stackoverflow,DC=comSTACKOVERFLOW\HYDROGEN$HYDROGEN${b413b030-8e9a-49d2-9157-20afd58792dd}stackoverflow.com/Computers/HYDROGENUSER-PC02$@stackoverflow.comstackoverflow.com/ComputersHYDROGENC:\WINDOWS\TEMP\C:\WINDOWS\system32\config\systemprofile\AppData\RoamingC:\WINDOWS\system32\config\systemprofile\AppData\LocalC:\ProgramDataC:\WINDOWS\system32\config\systemprofileLOCAL SERVICES-1-5-1NT AUTHORITY\LOCAL SERVICEC:\WINDOWS\SERVIC~3\LOCALS~1\AppData\Local\Temp\C:\WINDOWS\ServiceProfiles\LocalService\AppData\RoamingC:\WINDOWS\ServiceProfiles\LocalService\AppData\LocalC:\ProgramDataC:\WINDOWS\ServiceProfiles\LocalServiceC:\WINDOWS\ServiceProfiles\LocalService\DocumentsCN=HYDROGEN,CN=Computers,DC=avatopia,DC=comAVATOPIA\HYDROGEN$HYDROGEN${b413b030-8e9a-49d2-9157-20afd58792dd}stackoverflow.com/Computers/HYDROGENUSER-PC02$@stackoverflow.comstackoverflow.com/ComputersHYDROGENC:\WINDOWS\SERVIC~3\NETWOR~1\AppData\Local\Temp\C:\WINDOWS\ServiceProfiles\NetworkService\AppData\RoamingC:\WINDOWS\ServiceProfiles\NetworkService\AppData\LocalC:\ProgramDataC:\WINDOWS\ServiceProfiles\NetworkServiceC:\WINDOWS\ServiceProfiles\NetworkService\DocumentsУ XP є "Системний профіль", розташований у C: \ WINDOWS \ system32 \ config \ systemprofile
Я подумав, що тут знаходився акт локальної системи. У обох облікових записах Network Service та Local Service є приховані профілі в папці Документи та Налаштування.
Папка користувача за замовчуванням зазвичай використовується як основна папка, з якої створюються нові облікові записи користувачів. Тож якщо новий користувач повинен був увійти в систему вперше. Їх настройки спочатку будуть скопійовані з профілю користувача за замовчуванням.