在哪里可以找到作为“本地系统帐户”运行的 Windows 服务存储的数据？

Question

我正在使用将数据存储在磁盘上的服务。该服务作为“本地系统帐户”运行。

该系统用户的存储数据在哪里？

我正在考虑，C:\Documents and Settings\Default User但我不确定。

有人可以确认吗？

Answer 1

默认情况下，您正在查看的数据不应位于“C:\Documents and Settings\Default User”中。这是默认用户配置文件的位置，它是新用户配置文件的模板。它的唯一功能是在用户第一次登录计算机时将其复制到一个新文件夹中以用作用户配置文件。

如果该服务遵循 Microsoft 的指导方针，它将在应用程序数据文件夹 (%APPDATA%) 或本地应用程序数据文件夹（Windows Vista 及更高版本上的 %LOCALAPPDATA%）中存储数据。它不应使用“我的文档”或“文档”文件夹，但您可能也想在那里进行检查。

在 Windows XP 或 Windows Server 2003 的典型安装中，检查以下位置以获取作为本地系统 (NT AUTHORITY\SYSTEM) 运行的程序的应用程序数据：

C:\Windows\system32\config\systemprofile\Application Data\ Vendor \ Program
C:\Windows\system32\config\systemprofile\Local Settings\Application Data\ Vendor \ Program
C:\Windows\system32\config\systemprofile\My Documents

在 Windows Vista 和更高版本的典型安装中，检查以下位置以获取作为本地系统 (NT AUTHORITY\SYSTEM) 运行的程序的应用程序数据：

当然，用适当的供应商名称和程序名称替换Vendor和Program。

[Edit - for bricelam] 对于在 64 位窗口上运行的 32 位进程，它将在SysWOW64 中。

Answer 2

目的地随着时间的推移而变化。在 Windows 10 上：

例如：

注意：这适用于“LocalService”和“NetworkService”，但不适用于问题所询问的“LocalSystem”。这是三个独立的帐户，[参见此处](/sf/ask/35711931/) 了解更多详情 (4认同)

Answer 3

转到Sysinternals并下载 procmon。您将需要知道服务运行的 exe 的名称。然后您可以使用 procmon 中的过滤器来仅列出该应用程序生成的那些活动。

您现在应该能够浏览列表并确定此应用程序正在使用哪个文件（注意：记录几分钟后，您可以使用文件菜单停止监视）

整个 Sysinternal 套件可以作为单个 zip 文件下载，您可能会在套件中找到其他有用的工具。

Answer 4

来自以 SYSTEM ( S-1-5-18)身份运行的真实进程。

获取用户名：SYSTEM
用户身份：S-1-5-18
GetUserNameEx(NameFullyQualifiedDN) :CN=HYDROGEN,CN=Computers,DC=stackoverflow,DC=com
GetUserNameEx(NameSamCompatible) :STACKOVERFLOW\HYDROGEN$
GetUserNameEx(NameDisplay) :HYDROGEN$
GetUserNameEx(NameUniqueId) :{b413b030-8e9a-49d2-9157-20afd58792dd}
GetUserNameEx(NameCanonical) :stackoverflow.com/Computers/HYDROGEN
GetUserNameEx(NameUserPrincipal) :USER-PC02$@stackoverflow.com
GetUserNameEx(NameCanonicalEx) :stackoverflow.com/ComputersHYDROGEN
GetUserNameEx(NameServicePrincipal) : 不适用
获取临时路径：C:\WINDOWS\TEMP\
CSIDL_APPDATA :C:\WINDOWS\system32\config\systemprofile\AppData\Roaming
CSIDL_LOCAL_APPDATA :C:\WINDOWS\system32\config\systemprofile\AppData\Local
CSIDL_COMMON_APPDATA :C:\ProgramData
CSIDL_PROFILE :C:\WINDOWS\system32\config\systemprofile
CSIDL_PERSONAL : 不适用

本地服务

获取用户名：LOCAL SERVICE
用户身份：S-1-5-1
GetUserNameEx(NameFullyQualifiedDN) : 不适用
GetUserNameEx(NameSamCompatible) :NT AUTHORITY\LOCAL SERVICE
GetUserNameEx(NameDisplay) : 不适用
GetUserNameEx(NameUniqueId) : 不适用
GetUserNameEx(NameCanonical) : 不适用
GetUserNameEx(NameUserPrincipal) : 不适用
GetUserNameEx(NameCanonicalEx) : 不适用
GetUserNameEx(NameServicePrincipal) : 不适用
获取临时路径：C:\WINDOWS\SERVIC~3\LOCALS~1\AppData\Local\Temp\
CSIDL_APPDATA :C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming
CSIDL_LOCAL_APPDATA :C:\WINDOWS\ServiceProfiles\LocalService\AppData\Local
CSIDL_COMMON_APPDATA :C:\ProgramData
CSIDL_PROFILE :C:\WINDOWS\ServiceProfiles\LocalService
CSIDL_个人：C:\WINDOWS\ServiceProfiles\LocalService\Documents

GetUserName : "HYDROGEN$`
用户ID：S-1-5-2`
GetUserNameEx(NameFullyQualifiedDN) :CN=HYDROGEN,CN=Computers,DC=avatopia,DC=com
GetUserNameEx(NameSamCompatible) :AVATOPIA\HYDROGEN$
GetUserNameEx(NameDisplay) :HYDROGEN$
GetUserNameEx(NameUniqueId) :{b413b030-8e9a-49d2-9157-20afd58792dd}
GetUserNameEx(NameCanonical) :stackoverflow.com/Computers/HYDROGEN
GetUserNameEx(NameUserPrincipal) :USER-PC02$@stackoverflow.com
GetUserNameEx(NameCanonicalEx) :stackoverflow.com/ComputersHYDROGEN
GetUserNameEx(NameServicePrincipal) : 不适用
获取临时路径：C:\WINDOWS\SERVIC~3\NETWOR~1\AppData\Local\Temp\
CSIDL_APPDATA :C:\WINDOWS\ServiceProfiles\NetworkService\AppData\Roaming
CSIDL_LOCAL_APPDATA :C:\WINDOWS\ServiceProfiles\NetworkService\AppData\Local
CSIDL_COMMON_APPDATA :C:\ProgramData
CSIDL_PROFILE :C:\WINDOWS\ServiceProfiles\NetworkService
CSIDL_个人：C:\WINDOWS\ServiceProfiles\NetworkService\Documents