it-swarm.com.de

Wo finde ich Daten, die von einem Windows-Dienst gespeichert wurden, der als "Lokales Systemkonto" ausgeführt wird?

Ich verwende einen Dienst, der Daten auf der Festplatte speichert. Der Dienst wird als "lokales Systemkonto" ausgeführt.

Wo sind die gespeicherten Daten für diesen Systembenutzer?

Ich denke über C:\Documents and Settings\Default User aber da bin ich mir nicht sicher.

Kann jemand das bestätigen?

99
paulgreg

Die Daten, die Sie suchen, sollten sich standardmäßig nicht unter "C:\Dokumente und Einstellungen\Standardbenutzer" befinden. Dies ist der Speicherort des Standardbenutzerprofils, das die Vorlage für neue Benutzerprofile darstellt. Die einzige Funktion besteht darin, in einen neuen Ordner zur Verwendung als Benutzerprofil kopiert zu werden, wenn sich ein Benutzer zum ersten Mal am Computer anmeldet.

Wenn der Dienst den Richtlinien von Microsoft entspricht, werden Daten im Anwendungsdatenordner (% APPDATA%) oder im lokalen Anwendungsdatenordner (% LOCALAPPDATA% unter Windows Vista und höher) gespeichert. Es sollte nicht die Ordner Eigene Dateien oder Dokumente verwenden, aber Sie können dies auch überprüfen.

Überprüfen Sie bei einer typischen Installation von Windows XP oder Windows Server 2003) die folgenden Speicherorte für Anwendungsdaten für Programme, die als lokales System ausgeführt werden (NT AUTHORITY\SYSTEM):

  • C:\Windows\system32\config\systemprofile\Anwendungsdaten \Verkäufer\.Programm
  • C:\Windows\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten \Verkäufer\.Programm
  • C:\Windows\system32\config\systemprofile\Eigene Dateien

Überprüfen Sie bei einer typischen Installation von Windows Vista und späteren Versionen die folgenden Speicherorte auf Anwendungsdaten für Programme, die als lokales System ausgeführt werden (NT AUTHORITY\SYSTEM):

  • C:\Windows\system32\config\systemprofile\AppData\Roaming \Verkäufer\.Programm
  • C:\Windows\system32\config\systemprofile\AppData\Local \Verkäufer\.Programm
  • C:\Windows\system32\config\systemprofile\AppData\LocalLow \Verkäufer\.Programm
  • C:\Windows\system32\config\systemprofile\Documents

Ersetzen Sie natürlich den entsprechenden Anbieternamen und Programmnamen durch Verkäufer und Programm.

[Bearbeiten - für Bricelam] Für 32-Bit-Prozesse, die unter 64-Bit-Fenstern ausgeführt werden, wäre dies in SysWOW64.

  • C:\Windows\SysWOW64\config\systemprofile\AppData
116
Jay Michaud

Das Ziel ändert sich mit der Zeit. Unter Windows 10:

  • %systemroot%\ServiceProfiles

Z.B.:

  • C:\Windows\ServiceProfiles\LocalService
  • C:\Windows\ServiceProfiles\NetworkService
18
lu_ko

Gehen Sie zu Sysinternals und laden Sie procmon herunter. Sie müssen den Namen der Exe kennen, unter der der Dienst ausgeführt wird. Anschließend können Sie den Filter in procmon verwenden, um nur die von dieser Anwendung generierten Aktivitäten aufzulisten.

Sie sollten nun in der Lage sein, die Liste durchzugehen und festzustellen, welche Datei diese Anwendung verwendet (HINWEIS: Nach einigen Minuten Protokollierung können Sie das Datei-Menü verwenden, um die Überwachung zu beenden.)

Die gesamte Sysinternal-Suite kann als einzelne Zip-Datei heruntergeladen werden. Weitere Hilfsprogramme im Kit finden Sie möglicherweise hilfreich.

6
Wayne

Aus einem realen Prozess, der als SYSTEM ausgeführt wird ( S-1-5-18 ).

  • GetUserName : SYSTEM
  • Benutzer Sid : S-1-5-18
  • GetUserNameEx (NameFullyQualifiedDN) : CN=HYDROGEN,CN=Computers,DC=stackoverflow,DC=com
  • GetUserNameEx (NameSamCompatible) : STACKOVERFLOW\HYDROGEN$
  • GetUserNameEx (NameDisplay) : HYDROGEN$
  • GetUserNameEx (NameUniqueId) : {b413b030-8e9a-49d2-9157-20afd58792dd}
  • GetUserNameEx (NameCanonical) : stackoverflow.com/Computers/HYDROGEN
  • GetUserNameEx (NameUserPrincipal) : [email protected]
  • GetUserNameEx (NameCanonicalEx) : stackoverflow.com/ComputersHYDROGEN
  • GetUserNameEx (NameServicePrincipal) : n/a
  • GetTempPath : C:\WINDOWS\TEMP\
  • CSIDL_APPDATA : C:\WINDOWS\system32\config\systemprofile\AppData\Roaming
  • CSIDL_LOCAL_APPDATA : C:\WINDOWS\system32\config\systemprofile\AppData\Local
  • CSIDL_COMMON_APPDATA : C:\ProgramData
  • CSIDL_PROFILE : C:\WINDOWS\system32\config\systemprofile
  • CSIDL_PERSONAL : n/a

Service vor Ort

  • GetUserName : LOCAL SERVICE
  • Benutzer Sid : S-1-5-1
  • GetUserNameEx (NameFullyQualifiedDN) : n/a
  • GetUserNameEx (NameSamCompatible) : NT AUTHORITY\LOCAL SERVICE
  • GetUserNameEx (NameDisplay) : n/a
  • GetUserNameEx (NameUniqueId) : n/a
  • GetUserNameEx (NameCanonical) : n/a
  • GetUserNameEx (NameUserPrincipal) : n/a
  • GetUserNameEx (NameCanonicalEx) : n/a
  • GetUserNameEx (NameServicePrincipal) : n/a
  • GetTempPath : C:\WINDOWS\SERVIC~3\LOCALS~1\AppData\Local\Temp\
  • CSIDL_APPDATA : C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming
  • CSIDL_LOCAL_APPDATA : C:\WINDOWS\ServiceProfiles\LocalService\AppData\Local
  • CSIDL_COMMON_APPDATA : C:\ProgramData
  • CSIDL_PROFILE : C:\WINDOWS\ServiceProfiles\LocalService
  • CSIDL_PERSONAL : C:\WINDOWS\ServiceProfiles\LocalService\Documents

Netzwerkdienst

  • GetUserName : "HYDROGEN $`
  • Benutzer Sid : S-1-5-2`
  • GetUserNameEx (NameFullyQualifiedDN) : CN=HYDROGEN,CN=Computers,DC=avatopia,DC=com
  • GetUserNameEx (NameSamCompatible) : AVATOPIA\HYDROGEN$
  • GetUserNameEx (NameDisplay) : HYDROGEN$
  • GetUserNameEx (NameUniqueId) : {b413b030-8e9a-49d2-9157-20afd58792dd}
  • GetUserNameEx (NameCanonical) : stackoverflow.com/Computers/HYDROGEN
  • GetUserNameEx (NameUserPrincipal) : [email protected]
  • GetUserNameEx (NameCanonicalEx) : stackoverflow.com/ComputersHYDROGEN
  • GetUserNameEx (NameServicePrincipal) : n/a
  • GetTempPath : C:\WINDOWS\SERVIC~3\NETWOR~1\AppData\Local\Temp\
  • CSIDL_APPDATA : C:\WINDOWS\ServiceProfiles\NetworkService\AppData\Roaming
  • CSIDL_LOCAL_APPDATA : C:\WINDOWS\ServiceProfiles\NetworkService\AppData\Local
  • CSIDL_COMMON_APPDATA : C:\ProgramData
  • CSIDL_PROFILE : C:\WINDOWS\ServiceProfiles\NetworkService
  • CSIDL_PERSONAL : C:\WINDOWS\ServiceProfiles\NetworkService\Documents
2
Ian Boyd

Ich habe einen Dienst verwendet, der als 'Lokales System'-Konto ausgeführt wird, und Benutzerdaten werden gespeichert in:

c:\Documents and Settings\LocalService

Dies ist ein versteckter Ordner, und ich habe eine Weile gebraucht, um ihn zu finden. Hoffe das hilft.

2
Swinders

Unter XP befindet sich ein "Systemprofil" unter C:\WINDOWS\system32\config\systemprofile

Ich dachte, dort befand sich das lokale Systemkonto. Die Konten "Netzwerkdienst" und "Lokaler Dienst" haben beide versteckte Profile im Ordner "Dokumente und Einstellungen".

Der Standardbenutzerordner wird normalerweise als Basisordner verwendet, aus dem neue Benutzerkonten erstellt werden. Wenn sich also ein neuer Benutzer zum ersten Mal bei einem System anmeldet. Ihre Einstellungen werden zunächst aus dem Standardbenutzerprofil kopiert.

1
Rob Haupt