it-swarm-es.com

¿Dónde puedo encontrar los datos almacenados por un servicio de Windows que se ejecuta como "Cuenta del sistema local"?

Estoy usando un servicio que almacena datos en el disco. El servicio se ejecuta como "cuenta del sistema local".

¿Dónde están los datos almacenados para ese usuario del sistema?

Estoy pensando en C:\Documents and Settings\Default User pero no estoy seguro de eso.

¿Alguien puede confirmar eso?

99
paulgreg

Los datos que está buscando no deben, por defecto, estar ubicados en "C:\Documentos y configuraciones\Usuario predeterminado". Esa es la ubicación del perfil de usuario predeterminado, que es la plantilla para los nuevos perfiles de usuario. Su única función es copiarla en una nueva carpeta para usarla como perfil de usuario cuando un usuario inicia sesión en la computadora por primera vez.

Si el servicio sigue las pautas de Microsoft, almacenará datos en la carpeta de datos de la aplicación (% APPDATA%) o en la carpeta de datos de la aplicación local (% LOCALAPPDATA% en Windows Vista y posterior). No debe usar las carpetas Mis documentos o Documentos, pero es posible que también desee verificar allí.

En una instalación típica de Windows XP o Windows Server 2003, verifique las siguientes ubicaciones para ver los datos de la aplicación de los programas que se ejecutan como Sistema local (NT AUTHORITY\SYSTEM):

  • C:\Windows\system32\config\systemprofile\Application Data \Vendedor\Programa
  • C:\Windows\system32\config\systemprofile\Configuración local\Datos de aplicación \Vendedor\Programa
  • C:\Windows\system32\config\systemprofile\Mis documentos

En una instalación típica de Windows Vista y versiones posteriores, verifique las siguientes ubicaciones para ver los datos de la aplicación de los programas que se ejecutan como Sistema local (NT AUTHORITY\SYSTEM):

  • C:\Windows\system32\config\systemprofile\AppData\Roaming \Vendedor\Programa
  • C:\Windows\system32\config\systemprofile\AppData\Local \Vendedor\Programa
  • C:\Windows\system32\config\systemprofile\AppData\LocalLow \Vendedor\Programa
  • C:\Windows\system32\config\systemprofile\Documents

Por supuesto, sustituya el nombre del proveedor apropiado y el nombre del programa por Vendedor y Programa.

[Editar - para bricelam] Para procesos de 32 bits que se ejecutan en ventanas de 64 bits, sería SysWOW64.

  • C:\Windows\SysWOW64\config\systemprofile\AppData
116
Jay Michaud

El destino está cambiando en el tiempo. En Windows 10:

  • %systemroot%\ServiceProfiles

P.ej.:

  • C:\Windows\ServiceProfiles\LocalService
  • C:\Windows\ServiceProfiles\NetworkService
18
lu_ko

Vaya a Sysinternals y descargue procmon. Necesitará saber el nombre del exe con el que se ejecuta el servicio. Luego, puede usar el filtro en procmon para enumerar solo las actividades generadas por esa aplicación.

Ahora debería poder ejecutar la lista y determinar qué archivo está usando esta aplicación (NOTA: después de varios minutos de inicio de sesión, puede usar el menú de archivo para detener la supervisión)

El conjunto completo de Sysinternal se puede descargar como un único archivo Zip y puede encontrar otras utilidades en el kit que pueden ser útiles.

6
Wayne

Desde un proceso real que se ejecuta como SYSTEM ( S-1-5-18 ).

  • GetUserName : SYSTEM
  • Usuario Sid : S-1-5-18
  • GetUserNameEx (NameFullyQualifiedDN) : CN=HYDROGEN,CN=Computers,DC=stackoverflow,DC=com
  • GetUserNameEx (NameSamCompatible) : STACKOVERFLOW\HYDROGEN$
  • GetUserNameEx (NameDisplay) : HYDROGEN$
  • GetUserNameEx (NameUniqueId) : {b413b030-8e9a-49d2-9157-20afd58792dd}
  • GetUserNameEx (NameCanonical) : stackoverflow.com/Computers/HYDROGEN
  • GetUserNameEx (NameUserPrincipal) : [email protected]
  • GetUserNameEx (NameCanonicalEx) : stackoverflow.com/ComputersHYDROGEN
  • GetUserNameEx (NameServicePrincipal) : n/a
  • GetTempPath : C:\WINDOWS\TEMP\
  • CSIDL_APPDATA : C:\WINDOWS\system32\config\systemprofile\AppData\Roaming
  • CSIDL_LOCAL_APPDATA : C:\WINDOWS\system32\config\systemprofile\AppData\Local
  • CSIDL_COMMON_APPDATA : C:\ProgramData
  • CSIDL_PROFILE : C:\WINDOWS\system32\config\systemprofile
  • CSIDL_PERSONAL : n/a

Servicio local

  • GetUserName : LOCAL SERVICE
  • Usuario Sid : S-1-5-1
  • GetUserNameEx (NameFullyQualifiedDN) : n/a
  • GetUserNameEx (NameSamCompatible) : NT AUTHORITY\LOCAL SERVICE
  • GetUserNameEx (NameDisplay) : n/a
  • GetUserNameEx (NameUniqueId) : n/a
  • GetUserNameEx (NameCanonical) : n/a
  • GetUserNameEx (NameUserPrincipal) : n/a
  • GetUserNameEx (NameCanonicalEx) : n/a
  • GetUserNameEx (NameServicePrincipal) : n/a
  • GetTempPath : C:\WINDOWS\SERVIC~3\LOCALS~1\AppData\Local\Temp\
  • CSIDL_APPDATA : C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming
  • CSIDL_LOCAL_APPDATA : C:\WINDOWS\ServiceProfiles\LocalService\AppData\Local
  • CSIDL_COMMON_APPDATA : C:\ProgramData
  • CSIDL_PROFILE : C:\WINDOWS\ServiceProfiles\LocalService
  • CSIDL_PERSONAL : C:\WINDOWS\ServiceProfiles\LocalService\Documents

Servicio de red

  • GetUserName : "HIDRÓGENO $`
  • Usuario Sid : S-1-5-2`
  • GetUserNameEx (NameFullyQualifiedDN) : CN=HYDROGEN,CN=Computers,DC=avatopia,DC=com
  • GetUserNameEx (NameSamCompatible) : AVATOPIA\HYDROGEN$
  • GetUserNameEx (NameDisplay) : HYDROGEN$
  • GetUserNameEx (NameUniqueId) : {b413b030-8e9a-49d2-9157-20afd58792dd}
  • GetUserNameEx (NameCanonical) : stackoverflow.com/Computers/HYDROGEN
  • GetUserNameEx (NameUserPrincipal) : [email protected]
  • GetUserNameEx (NameCanonicalEx) : stackoverflow.com/ComputersHYDROGEN
  • GetUserNameEx (NameServicePrincipal) : n/a
  • GetTempPath : C:\WINDOWS\SERVIC~3\NETWOR~1\AppData\Local\Temp\
  • CSIDL_APPDATA : C:\WINDOWS\ServiceProfiles\NetworkService\AppData\Roaming
  • CSIDL_LOCAL_APPDATA : C:\WINDOWS\ServiceProfiles\NetworkService\AppData\Local
  • CSIDL_COMMON_APPDATA : C:\ProgramData
  • CSIDL_PROFILE : C:\WINDOWS\ServiceProfiles\NetworkService
  • CSIDL_PERSONAL : C:\WINDOWS\ServiceProfiles\NetworkService\Documents
2
Ian Boyd

He utilizado un servicio que se ejecuta como la cuenta 'Sistema local' y los datos del usuario se almacenan en:

c:\Documents and Settings\LocalService

Esta es una carpeta oculta y me llevó un tiempo encontrarla. Espero que esto ayude.

2
Swinders

En XP hay un "Perfil del sistema" ubicado en C:\WINDOWS\system32\config\systemprofile

Pensé que allí era donde se encontraba el sistema local. Las cuentas de Servicio de red y Servicio local tienen perfiles ocultos en la carpeta Documentos y configuraciones.

La carpeta Usuario predeterminado se usa normalmente como la carpeta base a partir de la cual se crean nuevas cuentas de usuario. Entonces, si un nuevo usuario iniciara sesión en un sistema por primera vez. Sus configuraciones se copiarían del perfil de usuario predeterminado inicialmente.

1
Rob Haupt