Где я могу найти данные сохраненными службой Windows, работающей как “Локальная Системная Учетная запись”?
Я записал сценарий, который ежедневно сканирует все соответствующие журналы, входит в список людей, которые имели любое действие в тот день, и поддерживает базу данных (просто текстовый файл) пользователей и в прошлый раз, когда они вошли в систему.
Затем у меня есть второй сценарий, который исследует базу данных на даты больше, чем несколько x дни назад, уведомление пользователя и администратора 2 недели до блокировки учетной записи. И если существуют какие-либо даты больше, чем несколько x+y дни назад, удаляет учетную запись в целом.
Это, кажется, работает на меня - но я хотел бы использовать несобственническое решение, если Вы доступны.
Данные Вы смотрите, не должны, по умолчанию, быть расположены в "C:\Documents and Settings\Default User". Это - местоположение профиля пользователя по умолчанию, который является шаблоном для новых профилей пользователей. Его единственная функция должна быть скопирована в новую папку для использования в качестве профиля пользователя, когда пользователь входит в систему компьютер впервые.
Если сервис будет следовать инструкциям Microsoft, то он будет хранить данные в папке данных приложения (%APPDATA %) или папке данных локального приложения (%LOCALAPPDATA % на Windows Vista и позже). Это не должно использовать папки My Documents или Documents, но Вы могли бы хотеть проверить там также.
На типовой установке Windows XP или Windows Server 2003, проверьте следующие местоположения на данные приложения для программ, работающих как Локальная Система (NT AUTHORITY\SYSTEM):
- C:\Windows\system32\config\systemprofile\Application Data\Vendor\Program
- C:\Windows\system32\config\systemprofile\Local Settings\Application Data\Vendor\Program
- C:\Windows\system32\config\systemprofile\My Documents
На типовой установке Windows Vista и более поздних версий, проверьте следующие местоположения на данные приложения для программ, работающих как Локальная Система (NT AUTHORITY\SYSTEM):
- C:\Windows\system32\config\systemprofile\AppData\Roaming\Vendor\Program
- C:\Windows\system32\config\systemprofile\AppData\Local\Vendor\Program
- C:\Windows\system32\config\systemprofile\AppData\LocalLow\Vendor\Program
- C:\Windows\system32\config\systemprofile\Documents
Конечно, замените соответствующим именем поставщика и названием программы для Поставщика и Программы.
[Редактирование - для bricelam] Для процессов на 32 бита, работающих на окнах на 64 бита, это было бы в SysWOW64.
- C:\Windows\SysWOW64\config\systemprofile\AppData
Перейдите к Sysinternals и загрузите procmon. Необходимо будет знать название exe, что услуга работает как. Затем можно использовать фильтр в procmon, чтобы только перечислить те операции, сгенерированные тем приложением.
Необходимо теперь смочь пробежать список и определить, которые подают эту заявку, использует (ПРИМЕЧАНИЕ: После нескольких минут входа можно использовать меню файла, чтобы прекратить контролировать),
Весь комплект Sysinternal может быть загружен как единственный zip-файл, и можно найти другой utils в наборе, который может быть полезным.
На XP существует "Системный Профиль", расположенный в C:\WINDOWS\system32\config\systemprofile
Я думал, что это было то, где Локальная Система acct была расположена. Сетевая служба и Локальная служба считают, оба скрыли профили в папке Documents and Settings.
Папка Default User обычно используется в качестве основной папки, из которой создаются новые учетные записи пользователей. Таким образом, если новый пользователь должен был войти в систему впервые. Их настройки были бы скопированы с Профиля пользователя По умолчанию первоначально.
Пункт назначения меняется во времени. В Windows 10:
% systemroot% \ ServiceProfiles
Например:
C: \ Windows \ ServiceProfiles \ LocalServiceC: \ Windows \ ServiceProfiles \ NetworkService
В конфигурационном файле autossh можно настроить несколько туннелей . К сожалению, это не очень хорошо документировано. Для двух туннелей, с вашими данными и на основе PubkeyAuthentication я бы сделал это так (SuSE 11 SP 4):
In /etc/sysconfig/autossh
# Number of autossh instances to spawn on start.
AUTOSSH_SPAWNS="3"
# All options except for the first must end with "_<number>"
AUTOSSH_OPTIONS_1="tunnel-user1@server1 \
-i /home/tunnel-user1/.ssh/id_rsa \
-M 0 -f -N -L2214:127.0.0.1:22 -o ExitOnForwardFailure=yes \
-o ServerAliveInterval=60 -o ServerAliveCountMax=3
-o StrictHostKeyChecking=no"
AUTOSSH_OPTIONS_2="tunnel-user2@server2 \
-i /home/tunnel-user2/.ssh/id_rsa \
-M 0 -f -N -L2215:127.0.0.1:22 -o ExitOnForwardFailure=yes \
-o ServerAliveInterval=60 -o ServerAliveCountMax=3
-o StrictHostKeyChecking=no"
Конечно все остальное в отношении успешного ssh соединения с ключами должно быть на месте
- pub ключей туннель-пользователей на серверах
/home/tunnel-user[1|2]/. ssh/authorized_keysfiles - tunnel-user должны существовать на шлюзах и серверах
- и должны быть настроены в
/etc/ssh/sshd_config - на sshd_config шлюза
AllowTcpForwardingдолжны быть установленыyes, а такжеPermitTunnel
Из реального процесса, проходящего как SYSTEM (S-1-5-18).
- GetUserName:
SYSTEM - User Sid:
S-1-5-18 - GetUserNameEx(NameFullyQualifiedDN):
CN=HYDROGEN,CN=Computers,DC=stackoverflow,DC=com - GetUserNameEx(NameSamCompatible):
STACKOVERFLOW\HYDROGEN$ - GetUserNameEx(NameDisplay):
HYDROGEN$ - GetUserNameEx(NameUniqueId):
{b413b030-8e9a-49d2-9157-20afd58792dd} - GetUserNameEx(NameCanonical):
stackoverflow.com/Computers/HYDROGEN - GetUserNameEx(NameUserPrincipal):
USER-PC02$@stackoverflow.com - GetUserNameEx(NameCanonicalEx):
stackoverflow.com/ComputersHYDROGEN - GetUserNameEx(NameServicePrincipal): n/a
- GetTempPath:
C:\WINDOWS\TEMP\ - CSIDL_APPDATA:
C:\WINDOWS\system32\config\systemprofile\AppData\Roaming - CSIDL_LOCAL_APPDATA:
C:\WINDOWS\system32\config\systemprofile\AppData\Local - CSIDL_COMMON_APPDATA:
C:\ProgramData - CSIDL_PROFILE:
C:\WINDOWS\system32\config\systemprofile - CSIDL_PERSONAL: n/a
Local Service
- GetUserName:
МЕСТНОЕ УСЛУГИ - Сид пользователя:
S-1-5-1 - GetUserNameEx(NameFullyQualifiedDN): n/a
- GetUserNameEx(NameSamCompatible):
NT AUTHORITY\LOCAL SERVICE - GetUserNameEx(NameDisplay): n/a
- GetUserNameEx(NameUniqueId): n/a
- GetUserNameEx(NameCanonical): n/a
- GetUserNameEx(NameUserPrincipal): n/a
- GetUserNameEx(NameCanonicalEx): n/a
- GetUserNameEx(NameServicePrincipal): n/a
- GetTempPath:
C:\WINDOWS\SERVIC~3\LOCALS~1\AppData\Local\Temp\ - CSIDL_APPDATA:
C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming - CSIDL_LOCAL_APPDATA:
C:\WINDOWS\ServiceProfiles\LocalService\AppData\Local - CSIDL_COMMON_APPDATA:
C:\ProgramData - CSIDL_PROFILE:
C:\WINDOWS\ServiceProfiles\LocalService - CSIDL_PERSONAL:
C:\WINDOWS\ServiceProfiles\LocalService\Documents
Network Service
- GetUserName: "HYDROGEN$`
- User Sid: S-1-5-2`
- GetUserNameEx(NameFullyQualifiedDN):
CN=HYDROGEN,CN=Компьютеры,DC=avatopia,DC=com - GetUserNameEx(NameSamCompatible):
AVATOPIA\HYDROGEN$ - GetUserNameEx(NameDisplay):
HYDROGEN$ - GetUserNameEx(NameUniqueId):
{b413b030-8e9a-49d2-9157-20afd58792dd} - GetUserNameEx(NameCanonical):
stackoverflow.com/Computers/HYDROGEN - GetUserNameEx(NameUserPrincipal):
USER-PC02$@stackoverflow.com - GetUserNameEx(NameCanonicalEx):
stackoverflow.com/ComputersHYDROGEN - GetUserNameEx(NameServicePrincipal): n/a
- GetTempPath:
C:\WINDOWS\SERVIC~3\NETWOR~1\AppData\Local\Temp\ - CSIDL_APPDATA:
C:\WINDOWS\ServiceProfiles\NetworkService\AppData\Roaming - CSIDL_LOCAL_APPDATA:
C:\WINDOWS\ServiceProfiles\NetworkService\AppData\Local - CSIDL_COMMON_APPDATA:
C:\ProgramData - CSIDL_PROFILE:
C:\WINDOWS\ServiceProfiles\NetworkService - CSIDL_PERSONAL:
C:\WINDOWS\ServiceProfiles\NetworkService\Documents