Risposte:
I dati che stai cercando non dovrebbero, per impostazione predefinita, trovarsi in "C: \ Documents and Settings \ Default User". Questa è la posizione del profilo utente predefinito, che è il modello per i nuovi profili utente. La sua unica funzione è quella di essere copiato in una nuova cartella da utilizzare come profilo utente quando un utente accede al computer per la prima volta.
Se il servizio segue le linee guida di Microsoft, memorizzerà i dati nella cartella dei dati dell'applicazione (% APPDATA%) o nella cartella dei dati dell'applicazione locale (% LOCALAPPDATA% su Windows Vista e versioni successive). Non dovrebbe usare le cartelle Documenti o Documenti, ma potresti voler controllare anche lì.
In un'installazione tipica di Windows XP o Windows Server 2003, controllare i seguenti percorsi per i dati dell'applicazione per i programmi in esecuzione come Sistema locale (NT AUTHORITY \ SYSTEM):
In un'installazione tipica di Windows Vista e versioni successive, controllare i seguenti percorsi per i dati dell'applicazione per i programmi in esecuzione come Sistema locale (NT AUTHORITY \ SYSTEM):
Ovviamente, sostituire il nome del fornitore e il nome del programma appropriati per il fornitore e il programma .
[Modifica - per bricelam] Per i processi a 32 bit in esecuzione su finestre a 64 bit, sarebbe in SysWOW64 .
La destinazione sta cambiando nel tempo. Su Windows 10:
%systemroot%\ServiceProfiles
Per esempio:
C:\Windows\ServiceProfiles\LocalService
C:\Windows\ServiceProfiles\NetworkService
Vai su Sysinternals e scarica procmon. Dovrai conoscere il nome dell'exe con cui viene eseguito il servizio. Quindi è possibile utilizzare il filtro in procmon per elencare solo le attività generate da tale applicazione.
Ora dovresti essere in grado di scorrere l'elenco e determinare quale file sta utilizzando questa applicazione (NOTA: dopo diversi minuti di registrazione, puoi utilizzare il menu file per interrompere il monitoraggio)
L'intera suite Sysinternal può essere scaricata come un singolo file zip e nel kit è possibile trovare altri programmi di utilità che possono essere utili.
Da un processo reale in esecuzione come SYSTEM ( S-1-5-18
).
SYSTEM
S-1-5-18
CN=HYDROGEN,CN=Computers,DC=stackoverflow,DC=com
STACKOVERFLOW\HYDROGEN$
HYDROGEN$
{b413b030-8e9a-49d2-9157-20afd58792dd}
stackoverflow.com/Computers/HYDROGEN
USER-PC02$@stackoverflow.com
stackoverflow.com/ComputersHYDROGEN
C:\WINDOWS\TEMP\
C:\WINDOWS\system32\config\systemprofile\AppData\Roaming
C:\WINDOWS\system32\config\systemprofile\AppData\Local
C:\ProgramData
C:\WINDOWS\system32\config\systemprofile
LOCAL SERVICE
S-1-5-1
NT AUTHORITY\LOCAL SERVICE
C:\WINDOWS\SERVIC~3\LOCALS~1\AppData\Local\Temp\
C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming
C:\WINDOWS\ServiceProfiles\LocalService\AppData\Local
C:\ProgramData
C:\WINDOWS\ServiceProfiles\LocalService
C:\WINDOWS\ServiceProfiles\LocalService\Documents
CN=HYDROGEN,CN=Computers,DC=avatopia,DC=com
AVATOPIA\HYDROGEN$
HYDROGEN$
{b413b030-8e9a-49d2-9157-20afd58792dd}
stackoverflow.com/Computers/HYDROGEN
USER-PC02$@stackoverflow.com
stackoverflow.com/ComputersHYDROGEN
C:\WINDOWS\SERVIC~3\NETWOR~1\AppData\Local\Temp\
C:\WINDOWS\ServiceProfiles\NetworkService\AppData\Roaming
C:\WINDOWS\ServiceProfiles\NetworkService\AppData\Local
C:\ProgramData
C:\WINDOWS\ServiceProfiles\NetworkService
C:\WINDOWS\ServiceProfiles\NetworkService\Documents
Su XP esiste un "Profilo di sistema" situato in C: \ WINDOWS \ system32 \ config \ systemprofile
Ho pensato che fosse lì dove si trovava l'acct Local System. Gli account Servizio di rete e Servizio locale hanno entrambi profili nascosti nella cartella Documenti e Impostazioni.
La cartella Utente predefinito viene in genere utilizzata come cartella di base da cui vengono creati i nuovi account utente. Quindi, se un nuovo utente dovesse accedere a un sistema per la prima volta. Le loro impostazioni verrebbero inizialmente copiate dal profilo Utente predefinito.