Ответы:
Данные, которые вы ищете, по умолчанию не должны находиться в папке «C: \ Documents and Settings \ Default User». Это местоположение профиля пользователя по умолчанию, который является шаблоном для новых профилей пользователей. Его единственная функция - копировать в новую папку для использования в качестве профиля пользователя, когда пользователь впервые заходит на компьютер.
Если служба следует указаниям Microsoft, она будет хранить данные в папке данных приложения (% APPDATA%) или в локальной папке данных приложения (% LOCALAPPDATA% в Windows Vista и более поздних версиях). Он не должен использовать папки «Мои документы» или «Документы», но вы можете проверить их там.
В типичной установке Windows XP или Windows Server 2003 проверьте следующие данные приложений для программ, работающих в локальной системе (NT AUTHORITY \ SYSTEM):
В типичной установке Windows Vista и более поздних версий проверьте следующие данные приложений для программ, работающих как локальная система (NT AUTHORITY \ SYSTEM):
Конечно, замените подходящее название поставщика и название программы на Vendor и Program .
[Правка - для bricelam] Для 32-битных процессов, работающих в 64-битных окнах, это будет в SysWOW64 .
Пункт назначения меняется во времени. В Windows 10:
%systemroot%\ServiceProfiles
Например:
C:\Windows\ServiceProfiles\LocalService
C:\Windows\ServiceProfiles\NetworkService
Зайдите в Sysinternals и загрузите procmon. Вам нужно будет знать имя исполняемого файла, с которым работает служба. Затем вы можете использовать фильтр в procmon, чтобы перечислить только те действия, которые генерирует это приложение.
Теперь вы сможете просмотреть список и определить, какой файл использует это приложение (ПРИМЕЧАНИЕ. После нескольких минут регистрации вы можете использовать меню файлов, чтобы остановить мониторинг)
Весь комплект Sysinternal можно загрузить в виде одного zip-файла, и вы можете найти в нем другие утилиты, которые могут оказаться полезными.
Из реального процесса, работающего как SYSTEM ( S-1-5-18
).
SYSTEM
S-1-5-18
CN=HYDROGEN,CN=Computers,DC=stackoverflow,DC=com
STACKOVERFLOW\HYDROGEN$
HYDROGEN$
{b413b030-8e9a-49d2-9157-20afd58792dd}
stackoverflow.com/Computers/HYDROGEN
USER-PC02$@stackoverflow.com
stackoverflow.com/ComputersHYDROGEN
C:\WINDOWS\TEMP\
C:\WINDOWS\system32\config\systemprofile\AppData\Roaming
C:\WINDOWS\system32\config\systemprofile\AppData\Local
C:\ProgramData
C:\WINDOWS\system32\config\systemprofile
LOCAL SERVICE
S-1-5-1
NT AUTHORITY\LOCAL SERVICE
C:\WINDOWS\SERVIC~3\LOCALS~1\AppData\Local\Temp\
C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming
C:\WINDOWS\ServiceProfiles\LocalService\AppData\Local
C:\ProgramData
C:\WINDOWS\ServiceProfiles\LocalService
C:\WINDOWS\ServiceProfiles\LocalService\Documents
CN=HYDROGEN,CN=Computers,DC=avatopia,DC=com
AVATOPIA\HYDROGEN$
HYDROGEN$
{b413b030-8e9a-49d2-9157-20afd58792dd}
stackoverflow.com/Computers/HYDROGEN
USER-PC02$@stackoverflow.com
stackoverflow.com/ComputersHYDROGEN
C:\WINDOWS\SERVIC~3\NETWOR~1\AppData\Local\Temp\
C:\WINDOWS\ServiceProfiles\NetworkService\AppData\Roaming
C:\WINDOWS\ServiceProfiles\NetworkService\AppData\Local
C:\ProgramData
C:\WINDOWS\ServiceProfiles\NetworkService
C:\WINDOWS\ServiceProfiles\NetworkService\Documents
На XP есть «Профиль системы», расположенный в C: \ WINDOWS \ system32 \ config \ systemprofile
Я думал, что именно там находится локальная система действий. Учетные записи сетевых служб и локальных служб имеют скрытые профили в папке «Документы и настройки».
Папка пользователя по умолчанию обычно используется в качестве базовой папки, из которой создаются новые учетные записи пользователей. Так что, если новый пользователь должен был войти в систему в первый раз. Их настройки будут изначально скопированы из профиля пользователя по умолчанию.