Відповіді:
Дані, які ви шукаєте, за замовчуванням не повинні розміщуватися у "C: \ Документи та параметри \ Користувач за замовчуванням". Це місцезнаходження профілю користувача за замовчуванням, який є шаблоном для нових профілів користувачів. Єдина його функція - скопіювати в нову папку для використання в якості профілю користувача, коли користувач вперше заходить у комп'ютер.
Якщо служба дотримується вказівок Microsoft, вона зберігатиме дані у папці даних програми (% APPDATA%) або в локальній папці даних програми (% LOCALAPPDATA% у Windows Vista та пізніших версіях). Він не повинен використовувати папки "Мої документи" або "Документи", але ви також можете перевірити їх там.
У типовій установці Windows XP або Windows Server 2003 перевірте наступні місця для даних додатків для програм, що працюють як локальна система (NT AUTHORITY \ SYSTEM):
У типовій установці Windows Vista та пізніших версіях перевірте наступні місця для даних додатків для програм, що працюють як локальна система (NT AUTHORITY \ SYSTEM):
Звичайно, замініть відповідне ім’я постачальника та ім'я програми на постачальника та програми .
[Редагувати - для бричесламу] Для 32-бітних процесів, що працюють на 64-бітових вікнах, це було б у SysWOW64 .
Місце призначення змінюється в часі. У Windows 10:
%systemroot%\ServiceProfiles
Наприклад:
C:\Windows\ServiceProfiles\LocalService
C:\Windows\ServiceProfiles\NetworkService
LocalService
і NetworkService
, але не того, про LocalSystem
яке питання задається. Це три окремі акаунти, дивіться тут детальніше
Перейдіть на сторінку Sysinternals і скачайте прокмен. Вам потрібно буде знати ім'я exe, яким працює служба. Тоді ви можете використовувати фільтр у procmon, щоб перерахувати лише ті дії, згенеровані цією програмою.
Тепер ви маєте можливість пройти список і визначити, який файл використовує ця програма (ПРИМІТКА. Після декількох хвилин реєстрації ви можете скористатися меню файлів, щоб зупинити моніторинг)
Весь набір Sysinternal можна завантажити як один поштовий файл, і ви можете знайти в комплекті інші утиліти, які можуть бути корисними.
З реального процесу, що працює як SYSTEM ( S-1-5-18
).
SYSTEM
S-1-5-18
CN=HYDROGEN,CN=Computers,DC=stackoverflow,DC=com
STACKOVERFLOW\HYDROGEN$
HYDROGEN$
{b413b030-8e9a-49d2-9157-20afd58792dd}
stackoverflow.com/Computers/HYDROGEN
USER-PC02$@stackoverflow.com
stackoverflow.com/ComputersHYDROGEN
C:\WINDOWS\TEMP\
C:\WINDOWS\system32\config\systemprofile\AppData\Roaming
C:\WINDOWS\system32\config\systemprofile\AppData\Local
C:\ProgramData
C:\WINDOWS\system32\config\systemprofile
LOCAL SERVICE
S-1-5-1
NT AUTHORITY\LOCAL SERVICE
C:\WINDOWS\SERVIC~3\LOCALS~1\AppData\Local\Temp\
C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming
C:\WINDOWS\ServiceProfiles\LocalService\AppData\Local
C:\ProgramData
C:\WINDOWS\ServiceProfiles\LocalService
C:\WINDOWS\ServiceProfiles\LocalService\Documents
CN=HYDROGEN,CN=Computers,DC=avatopia,DC=com
AVATOPIA\HYDROGEN$
HYDROGEN$
{b413b030-8e9a-49d2-9157-20afd58792dd}
stackoverflow.com/Computers/HYDROGEN
USER-PC02$@stackoverflow.com
stackoverflow.com/ComputersHYDROGEN
C:\WINDOWS\SERVIC~3\NETWOR~1\AppData\Local\Temp\
C:\WINDOWS\ServiceProfiles\NetworkService\AppData\Roaming
C:\WINDOWS\ServiceProfiles\NetworkService\AppData\Local
C:\ProgramData
C:\WINDOWS\ServiceProfiles\NetworkService
C:\WINDOWS\ServiceProfiles\NetworkService\Documents
У XP є "Системний профіль", розташований у C: \ WINDOWS \ system32 \ config \ systemprofile
Я подумав, що тут знаходився акт локальної системи. У обох облікових записах Network Service та Local Service є приховані профілі в папці Документи та Налаштування.
Папка користувача за замовчуванням зазвичай використовується як основна папка, з якої створюються нові облікові записи користувачів. Тож якщо новий користувач повинен був увійти в систему вперше. Їх настройки спочатку будуть скопійовані з профілю користувача за замовчуванням.