Les données que vous recherchez ne doivent pas, par défaut, être situées dans "C: \ Documents and Settings \ Utilisateur par défaut". C'est l'emplacement du profil utilisateur par défaut, qui est le modèle pour les nouveaux profils utilisateur. Sa seule fonction consiste à copier dans un nouveau dossier pour l'utiliser comme profil utilisateur lorsqu'un utilisateur se connecte à l'ordinateur pour la première fois.
Si le service suit les directives de Microsoft, il stockera des données dans le dossier de données de l'application (% APPDATA%) ou dans le dossier de données de l'application locale (% LOCALAPPDATA% sur Windows Vista et versions ultérieures). Il ne devrait pas utiliser les dossiers Mes documents ou Documents, mais vous voudrez peut-être vérifier également.
Sur une installation typique de Windows XP ou Windows Server 2003, vérifiez les emplacements suivants pour les données d'application des programmes exécutés en tant que système local (NT AUTHORITY \ SYSTEM):
- C: \ Windows \ system32 \ config \ systemprofile \ Application Data \ Vendor \ Program
- C: \ Windows \ system32 \ config \ systemprofile \ Paramètres locaux \ Données d'application \ Vendeur \ Programme
- C: \ Windows \ system32 \ config \ systemprofile \ Mes documents
Sur une installation standard de Windows Vista et des versions ultérieures, vérifiez les emplacements suivants pour les données d'application des programmes exécutés en tant que système local (NT AUTHORITY \ SYSTEM):
- C: \ Windows \ system32 \ config \ systemprofile \ AppData \ Roaming \ Vendor \ Program
- C: \ Windows \ system32 \ config \ systemprofile \ AppData \ Local \ Vendor \ Program
- C: \ Windows \ system32 \ config \ systemprofile \ AppData \ LocalLow \ Vendor \ Program
- C: \ Windows \ system32 \ config \ systemprofile \ Documents
Bien sûr, remplacez le nom du fournisseur et le nom du programme appropriés par Fournisseur et Programme .
[Éditer - pour bricelam] Pour les processus 32 bits s'exécutant sur des fenêtres 64 bits, ce serait dans SysWOW64 .
- C: \ Windows \ SysWOW64 \ config \ systemprofile \ AppData
La destination change dans le temps. Sous Windows 10:
%systemroot%\ServiceProfiles
Par exemple:
C:\Windows\ServiceProfiles\LocalService
C:\Windows\ServiceProfiles\NetworkService
la source
LocalService
etNetworkService
, mais pas àLocalSystem
ce que la question demande. Ce sont trois comptes séparés, voir ici pour plus de détailsAllez sur Sysinternals et téléchargez procmon. Vous aurez besoin de connaître le nom de l'exe sous lequel le service s'exécute. Ensuite, vous pouvez utiliser le filtre dans procmon pour répertorier uniquement les activités générées par cette application.
Vous devriez maintenant pouvoir parcourir la liste et déterminer le fichier utilisé par cette application (REMARQUE: après plusieurs minutes de journalisation, vous pouvez utiliser le menu Fichier pour arrêter la surveillance).
Toute la suite Sysinternal peut être téléchargée sous forme de fichier zip unique. Vous trouverez peut-être d'autres utilitaires dans le kit qui pourraient vous être utiles.
la source
J'ai utilisé un service fonctionnant en tant que compte 'Système local' et les données utilisateur sont stockées dans:
Ceci est un dossier caché et m'a pris un certain temps pour le trouver. J'espère que cela t'aides.
la source
D'un vrai processus en cours d'exécution en tant que SYSTEM (
S-1-5-18
).SYSTEM
S-1-5-18
CN=HYDROGEN,CN=Computers,DC=stackoverflow,DC=com
STACKOVERFLOW\HYDROGEN$
HYDROGEN$
{b413b030-8e9a-49d2-9157-20afd58792dd}
stackoverflow.com/Computers/HYDROGEN
[email protected]
stackoverflow.com/ComputersHYDROGEN
C:\WINDOWS\TEMP\
C:\WINDOWS\system32\config\systemprofile\AppData\Roaming
C:\WINDOWS\system32\config\systemprofile\AppData\Local
C:\ProgramData
C:\WINDOWS\system32\config\systemprofile
Service local
LOCAL SERVICE
S-1-5-1
NT AUTHORITY\LOCAL SERVICE
C:\WINDOWS\SERVIC~3\LOCALS~1\AppData\Local\Temp\
C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming
C:\WINDOWS\ServiceProfiles\LocalService\AppData\Local
C:\ProgramData
C:\WINDOWS\ServiceProfiles\LocalService
C:\WINDOWS\ServiceProfiles\LocalService\Documents
Service de réseau
CN=HYDROGEN,CN=Computers,DC=avatopia,DC=com
AVATOPIA\HYDROGEN$
HYDROGEN$
{b413b030-8e9a-49d2-9157-20afd58792dd}
stackoverflow.com/Computers/HYDROGEN
[email protected]
stackoverflow.com/ComputersHYDROGEN
C:\WINDOWS\SERVIC~3\NETWOR~1\AppData\Local\Temp\
C:\WINDOWS\ServiceProfiles\NetworkService\AppData\Roaming
C:\WINDOWS\ServiceProfiles\NetworkService\AppData\Local
C:\ProgramData
C:\WINDOWS\ServiceProfiles\NetworkService
C:\WINDOWS\ServiceProfiles\NetworkService\Documents
la source
Sur XP, il existe un "profil système" situé dans C: \ WINDOWS \ system32 \ config \ systemprofile
Je pensais que c’était là que se trouvait l’acct du système local. Les comptes Service réseau et Service local possèdent tous deux des profils cachés dans le dossier Documents and Settings.
Le dossier Utilisateur par défaut est généralement utilisé comme dossier de base à partir duquel les nouveaux comptes d'utilisateurs sont créés. Donc, si un nouvel utilisateur devait se connecter à un système pour la première fois. Leurs paramètres seraient initialement copiés à partir du profil utilisateur par défaut.
la source