NT AUTHORITY \ SYSTEM注册表配置单元的路径是什么?

8

如果我通过使用SysInternals的PSExec工具在Windows中使用SYSTEM帐户打开注册表

psexec -i -s regedit

我更改一个条目,例如,在这里:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

...我想相应的NTUSER.DAT文件将被修改。

NTUSER.DAT文件的路径是什么

windows  windows-registry 
Sopalajo de Arrierez
source
我认为这是c:\ windows \ system32 \ config \ systemprofile。
LawrenceC
什么版本的Windows?
我说恢复莫妮卡
好吧,@ ultrasawblade,实际上那里有一个ntuser.dat文件。我正在尝试从linux的工具浏览它,chntpw以检查它是什么,但关键是\Software\Microsoft` only contains a tree named CTF . There is nothing about the rest of the HKEY_CURRENT_USER`树。
Sopalajo de Arrierez 2014年
1
@Twisty,我正在Windows XP SP3和Windows 7上测试此问题。我认为大多数Windows版本的行为方式相同。
Sopalajo de Arrierez 2014年
不对。我相信Windows 7将LocalSystem和NetworkService注册表配置单元分别存储在“ C:\ Windows \ ServiceProfiles \ LocalService \ ntuser.dat”和“ C:\ Windows \ ServiceProfiles \ NetworkService \ ntuser.dat”中。这些文件夹在XP上不存在。
我说恢复莫妮卡

Answers:

3

与通常的看法相反ntuser.dat,LocalSystem的用户配置文件文件夹(\Windows\System32\config\systemprofile)中的文件不是HKEY_CURRENT_USER作为SYSTEM运行的应用程序的源。据我所知,它实际上并没有用于任何东西,它包含的信息很少。

实际上,以SYSTEM身份运行的应用程序的HKCU位于.DEFAULT下方HKEY_USERS。(我会解决另一个常见的误解:.DEFAULT 是不是新的用户配置文件的模板ntuser.dat\Users\Default是。).DEFAULT存储在磁盘上的一个名为文件\Windows\System32\config\DEFAULT。请参阅有关注册表支持文件的MSDN文章

也很有趣:.DEFAULT可以在中找到各种注册表层次结构(包括)的支持文件列表HKLM\SYSTEM\CurrentControlSet\Control\hivelist

本N
source
这对任何版本的Windows都有效吗?
Sopalajo de Arrierez
@SopalajodeArrierez从Windows NT开始,基本上是,在Windows XP上用\WinNTfor \Windows\Documents and Settingsfor \Users进行了适当的替换。在TechNet上进一步阅读
Ben N
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.