我在哪里可以find由作为“本地系统帐户”运行的Windows服务存储的数据?

我正在使用在磁盘上存储数据的服务。 该服务作为“本地系统帐户”运行。

该系统用户的存储数据在哪里?

我正在考虑C:\Documents and Settings\Default User但我不确定。

有人可以证实吗?

您正在查找的数据不应默认位于“C:\ Documents and Settings \ Default User”中。 这是默认用户configuration文件的位置,这是新用户configuration文件的模板。 它唯一的function是复制到一个新的文件夹用作用户configuration文件,当用户第一次login到计算机。

如果该服务遵循Microsoft的指导原则,则会将数据存储在应用程序数据文件夹(%APPDATA%)或本地应用程序数据文件夹(Windows Vista和更高版本中的%LOCALAPPDATA%)中。 它不应该使用“我的文档”或“文档”文件夹,但是您也可以在这里查看。

在Windows XP或Windows Server 2003的典型安装中,检查运行为本地系统(NT AUTHORITY \ SYSTEM)的程序的应用程序数据的以下位置:

  • C:\ Windows \ system32 \ config \ systemprofile \ Application Data \ Vendor \ Program
  • C:\ Windows \ system32 \ config \ systemprofile \ Local Settings \ Application Data \ Vendor \ Program
  • C:\ Windows \ system32 \ config \ systemprofile \ My Documents

在Windows Vista和更高版本的典型安装中,检查运行为本地系统(NT AUTHORITY \ SYSTEM)的程序的应用程序数据的以下位置:

  • C:\ Windows \ system32 \ config \ systemprofile \ AppData \ Roaming \ Vendor \ Program
  • C:\ Windows \ system32 \ config \ systemprofile \ AppData \ Local \ Vendor \ Program
  • C:\ Windows \ system32 \ config \ systemprofile \ AppData \ LocalLow \ Vendor \ Program
  • C:\ WINDOWS \ system32 \设置\ systemprofile \文件

当然,replace供应商和程序适当的供应商名称和程序名称。

[编辑 – 对于bricelam]对于在64位窗口上运行的32位进程,它将在SysWOW64中

  • C:\ WINDOWS \ Syswow64资料\ CONFIG \ systemprofile \ AppData的

目的地正在变化。 在Windows 10上:

  • %systemroot%\ServiceProfiles

例如:

  • C:\Windows\ServiceProfiles\LocalService
  • C:\Windows\ServiceProfiles\NetworkService

去Sysinternals和下载procmon。 您将需要知道服务运行的exe的名称。 然后,您可以使用procmon中的filter来仅列出由该应用程序生成的那些活动。

您现在应该能够遍历列表并确定该应用程序正在使用哪个文件(注意:几分钟的日志logging后,可以使用文件菜单停止监视)

整个Sysinternal套件可以作为一个zip文件下载,您可以在套件中find其他可用的utils。

如果您的服务使用标准API获取用户的默认目录(configuration和应用程序数据),则文件将被保存在Default User的文件夹中,例如:

 C:\ Documents and Settings \默认用户\本地设置\

所以,我会确认你的假设。 我检查了我写的以本地系统帐户运行的服务。

我使用了一个作为“本地系统”帐户运行的服务,用户数据存储在:

 c:\Documents and Settings\LocalService 

这是一个隐藏的文件夹,并花了我一段时间来find它。 希望这可以帮助。

在XP上有一个位于C:\ WINDOWS \ system32 \ config \ systemprofile的“系统configuration文件”

我以为那是本地系统acct所在的地方。 networking服务和本地服务帐户都在“文档和设置”文件夹中具有隐藏的configuration文件。

默认用户文件夹通常用作创build新用户帐户的基础文件夹。 所以如果新用户第一次login系统。 他们的设置最初将从默认用户configuration文件中复制。

从系统运行的实际过程(S-1-5-18)。

  • GetUserNameSYSTEM
  • GetTempPath C:\ProgramData\Microsoft\Search\Data\Temp\usgthrsvc\
  • CSIDL_APPDATAC:\WINDOWS\system32\config\systemprofile\AppData\Roaming
  • CSIDL_LOCAL_APPDATAC:\WINDOWS\system32\config\systemprofile\AppData\Local
  • CSIDL_COMMON_APPDATAC:\ProgramData
  • CSIDL_PROFILEC:\WINDOWS\system32\config\systemprofile
  • CSIDL_PERSONAL 🙁 无)