¿Dónde puedo encontrar los datos almacenados por un servicio de Windows que se ejecuta como "Cuenta del sistema local"?

95

Estoy usando un servicio que almacena datos en el disco. El servicio se ejecuta como "cuenta del sistema local".

¿Dónde están los datos almacenados para ese usuario del sistema?

Estoy pensando C:\Documents and Settings\Default Userpero no estoy seguro de eso.

¿Alguien puede confirmar eso?

windows service users paulgreg
fuente

Respuestas:

114

Los datos que está buscando no deben, por defecto, estar ubicados en "C: \ Documentos y configuraciones \ Usuario predeterminado". Esa es la ubicación del perfil de usuario predeterminado, que es la plantilla para los nuevos perfiles de usuario. Su única función es copiarla en una nueva carpeta para usarla como perfil de usuario cuando un usuario inicia sesión en la computadora por primera vez.

Si el servicio sigue las pautas de Microsoft, almacenará datos en la carpeta de datos de la aplicación (% APPDATA%) o en la carpeta de datos de la aplicación local (% LOCALAPPDATA% en Windows Vista y posterior). No debe usar las carpetas Mis documentos o Documentos, pero es posible que también desee verificar allí.

En una instalación típica de Windows XP o Windows Server 2003, verifique las siguientes ubicaciones para ver los datos de la aplicación de los programas que se ejecutan como Sistema local (NT AUTHORITY \ SYSTEM):

  • C: \ Windows \ system32 \ config \ systemprofile \ Application Data \ Vendor \ Program
  • C: \ Windows \ system32 \ config \ systemprofile \ Configuración local \ Datos de aplicación \ Proveedor \ Programa
  • C: \ Windows \ system32 \ config \ systemprofile \ Mis documentos

En una instalación típica de Windows Vista y versiones posteriores, verifique en las siguientes ubicaciones los datos de la aplicación para los programas que se ejecutan como Sistema local (NT AUTHORITY \ SYSTEM):

  • C: \ Windows \ system32 \ config \ systemprofile \ AppData \ Roaming \ Vendor \ Program
  • C: \ Windows \ system32 \ config \ systemprofile \ AppData \ Local \ Vendor \ Program
  • C: \ Windows \ system32 \ config \ systemprofile \ AppData \ LocalLow \ Vendor \ Program
  • C: \ Windows \ system32 \ config \ systemprofile \ Documents

Por supuesto, sustituya el nombre del proveedor y el nombre del programa por Proveedor y Programa .

[Editar - para bricelam] Para procesos de 32 bits que se ejecutan en ventanas de 64 bits, sería en SysWOW64 .

  • C: \ Windows \ SysWOW64 \ config \ systemprofile \ AppData
Jay Michaud
fuente
18
Para los procesos de 32 bits que se ejecutan en versiones de Windows de 64 bits, consulte en su lugar 'C: \ Windows \ SysWOW64'.
bricelam
1
También vea la respuesta aquí: stackoverflow.com/questions/3637605/…
stolsvik
14

El destino está cambiando en el tiempo. En Windows 10:

  • %systemroot%\ServiceProfiles

P.ej:

  • C:\Windows\ServiceProfiles\LocalService
  • C:\Windows\ServiceProfiles\NetworkService
lu_ko
fuente
1
Nota: esto se aplica a LocalServicey NetworkService, pero no sobre lo LocalSystemque se hace la pregunta. Esas son tres cuentas separadas, consulte aquí para obtener más detalles
MM
6

Vaya a Sysinternals y descargue procmon. Necesitará saber el nombre del exe que ejecuta el servicio. Luego puede usar el filtro en procmon para enumerar solo las actividades generadas por esa aplicación.

Ahora debería poder ejecutar la lista y determinar qué archivo está usando esta aplicación (NOTA: después de varios minutos de inicio de sesión, puede usar el menú de archivo para detener la supervisión)

El conjunto completo de Sysinternal se puede descargar como un único archivo zip y puede encontrar otras utilidades en el kit que pueden ser útiles.

Wayne
fuente
2

He utilizado un servicio que se ejecuta como la cuenta 'Sistema local' y los datos del usuario se almacenan en:

c:\Documents and Settings\LocalService

Esta es una carpeta oculta y me llevó un tiempo encontrarla. Espero que esto ayude.

Swinders
fuente
2

Desde un proceso real que se ejecuta como SYSTEM ( S-1-5-18).

  • GetUserName :SYSTEM
  • Usuario Sid :S-1-5-18
  • GetUserNameEx (NameFullyQualifiedDN) :CN=HYDROGEN,CN=Computers,DC=stackoverflow,DC=com
  • GetUserNameEx (NameSamCompatible) :STACKOVERFLOW\HYDROGEN$
  • GetUserNameEx (NameDisplay) :HYDROGEN$
  • GetUserNameEx (NameUniqueId) :{b413b030-8e9a-49d2-9157-20afd58792dd}
  • GetUserNameEx (NameCanonical) :stackoverflow.com/Computers/HYDROGEN
  • GetUserNameEx (NameUserPrincipal) :[email protected]
  • GetUserNameEx (NameCanonicalEx) :stackoverflow.com/ComputersHYDROGEN
  • GetUserNameEx (NameServicePrincipal) : n / a
  • GetTempPath :C:\WINDOWS\TEMP\
  • CSIDL_APPDATA :C:\WINDOWS\system32\config\systemprofile\AppData\Roaming
  • CSIDL_LOCAL_APPDATA :C:\WINDOWS\system32\config\systemprofile\AppData\Local
  • CSIDL_COMMON_APPDATA :C:\ProgramData
  • CSIDL_PROFILE :C:\WINDOWS\system32\config\systemprofile
  • CSIDL_PERSONAL : n / a

Servicio local

  • GetUserName :LOCAL SERVICE
  • Usuario Sid :S-1-5-1
  • GetUserNameEx (NameFullyQualifiedDN) : n / a
  • GetUserNameEx (NameSamCompatible) :NT AUTHORITY\LOCAL SERVICE
  • GetUserNameEx (NameDisplay) : n / a
  • GetUserNameEx (NameUniqueId) : n / a
  • GetUserNameEx (NameCanonical) : n / a
  • GetUserNameEx (NameUserPrincipal) : n / a
  • GetUserNameEx (NameCanonicalEx) : n / a
  • GetUserNameEx (NameServicePrincipal) : n / a
  • GetTempPath :C:\WINDOWS\SERVIC~3\LOCALS~1\AppData\Local\Temp\
  • CSIDL_APPDATA :C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming
  • CSIDL_LOCAL_APPDATA :C:\WINDOWS\ServiceProfiles\LocalService\AppData\Local
  • CSIDL_COMMON_APPDATA :C:\ProgramData
  • CSIDL_PROFILE :C:\WINDOWS\ServiceProfiles\LocalService
  • CSIDL_PERSONAL :C:\WINDOWS\ServiceProfiles\LocalService\Documents

Servicio de red

  • GetUserName : " HIDRÓGENO $`
  • Usuario Sid : S-1-5-2`
  • GetUserNameEx (NameFullyQualifiedDN) :CN=HYDROGEN,CN=Computers,DC=avatopia,DC=com
  • GetUserNameEx (NameSamCompatible) :AVATOPIA\HYDROGEN$
  • GetUserNameEx (NameDisplay) :HYDROGEN$
  • GetUserNameEx (NameUniqueId) :{b413b030-8e9a-49d2-9157-20afd58792dd}
  • GetUserNameEx (NameCanonical) :stackoverflow.com/Computers/HYDROGEN
  • GetUserNameEx (NameUserPrincipal) :[email protected]
  • GetUserNameEx (NameCanonicalEx) :stackoverflow.com/ComputersHYDROGEN
  • GetUserNameEx (NameServicePrincipal) : n / a
  • GetTempPath :C:\WINDOWS\SERVIC~3\NETWOR~1\AppData\Local\Temp\
  • CSIDL_APPDATA :C:\WINDOWS\ServiceProfiles\NetworkService\AppData\Roaming
  • CSIDL_LOCAL_APPDATA :C:\WINDOWS\ServiceProfiles\NetworkService\AppData\Local
  • CSIDL_COMMON_APPDATA :C:\ProgramData
  • CSIDL_PROFILE :C:\WINDOWS\ServiceProfiles\NetworkService
  • CSIDL_PERSONAL :C:\WINDOWS\ServiceProfiles\NetworkService\Documents
Ian Boyd
fuente
Estaba buscando el equivalente del sistema de UserProfile, y CSIDL_PROFILE lo era. ¡Gracias!
carlin.scott
1

En XP hay un "Perfil del sistema" ubicado en C: \ WINDOWS \ system32 \ config \ systemprofile

Pensé que allí era donde se encontraba el sistema local. Las cuentas de Servicio de red y Servicio local tienen perfiles ocultos en la carpeta Documentos y configuraciones.

La carpeta Usuario predeterminado se usa normalmente como la carpeta base a partir de la cual se crean las nuevas cuentas de usuario. Entonces, si un nuevo usuario iniciara sesión en un sistema por primera vez. Sus configuraciones se copiarían del perfil de usuario predeterminado inicialmente.

Rob Haupt
fuente