La destination change dans le temps. Sous Windows 10 :

• %systemroot%\ServiceProfiles

Par exemple :

• %systemroot%\ServiceProfiles\LocalService
• %systemroot%\ServiceProfiles\NetworkService

Aller à Sysinternals et téléchargez procmon. Vous devrez connaître le nom de l'exe sous lequel le service est exécuté. Vous pourrez alors utiliser le filtre de procmon pour ne lister que les activités générées par cette application.

Vous devriez maintenant être en mesure de parcourir la liste et de déterminer quel fichier cette application utilise (REMARQUE : après plusieurs minutes d'enregistrement, vous pouvez utiliser le menu fichier pour arrêter la surveillance).

L'ensemble de la suite Sysinternal peut être téléchargé sous la forme d'un seul fichier zip et vous pouvez trouver d'autres utilitaires dans le kit qui peuvent être utiles.

A partir d'un processus réel s'exécutant en tant que SYSTEM ( S-1-5-18 ).

• GetUserName : SYSTEM
• Utilisateur Sid : S-1-5-18
• GetUserNameEx(NomParfaitementQualifiéDN) : CN=HYDROGEN,CN=Computers,DC=stackoverflow,DC=com
• GetUserNameEx(NomSamCompatible) : STACKOVERFLOW\HYDROGEN$
• GetUserNameEx(NameDisplay) : HYDROGEN$
• GetUserNameEx(NameUniqueId) : {b413b030-8e9a-49d2-9157-20afd58792dd}
• GetUserNameEx(NomCanonique) : stackoverflow.com/Computers/HYDROGEN
• GetUserNameEx(NomUserPrincipal) : USER-PC02$@stackoverflow.com
• GetUserNameEx(NameCanonicalEx) : stackoverflow.com/ComputersHYDROGEN
• GetUserNameEx(NomServicePrincipal) : s/o
• GetTempPath : C:\WINDOWS\TEMP\
• CSIDL_APPDATA : C:\WINDOWS\system32\config\systemprofile\AppData\Roaming
• CSIDL_LOCAL_APPDATA : C:\WINDOWS\system32\config\systemprofile\AppData\Local
• CSIDL_COMMON_APPDATA : C:\ProgramData
• CSIDL_PROFILE : C:\WINDOWS\system32\config\systemprofile
• CSIDL_PERSONAL : s/o

Service local

• GetUserName : LOCAL SERVICE
• Utilisateur Sid : S-1-5-1
• GetUserNameEx(NomParfaitementQualifiéDN) : s/o
• GetUserNameEx(NomSamCompatible) : NT AUTHORITY\LOCAL SERVICE
• GetUserNameEx(NameDisplay) : s/o
• GetUserNameEx(NameUniqueId) : s/o
• GetUserNameEx(NomCanonique) : s/o
• GetUserNameEx(NomUserPrincipal) : s/o
• GetUserNameEx(NameCanonicalEx) : s/o
• GetUserNameEx(NomServicePrincipal) : s/o
• GetTempPath : C:\WINDOWS\SERVIC~3\LOCALS~1\AppData\Local\Temp\
• CSIDL_APPDATA : C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming
• CSIDL_LOCAL_APPDATA : C:\WINDOWS\ServiceProfiles\LocalService\AppData\Local
• CSIDL_COMMON_APPDATA : C:\ProgramData
• CSIDL_PROFILE : C:\WINDOWS\ServiceProfiles\LocalService
• CSIDL_PERSONAL : C:\WINDOWS\ServiceProfiles\LocalService\Documents

Service réseau

• GetUserName : "HYDROGEN$``
• Utilisateur Sid : S-1-5-2`
• GetUserNameEx(NomParfaitementQualifiéDN) : CN=HYDROGEN,CN=Computers,DC=avatopia,DC=com
• GetUserNameEx(NomSamCompatible) : AVATOPIA\HYDROGEN$
• GetUserNameEx(NameDisplay) : HYDROGEN$
• GetUserNameEx(NameUniqueId) : {b413b030-8e9a-49d2-9157-20afd58792dd}
• GetUserNameEx(NomCanonique) : stackoverflow.com/Computers/HYDROGEN
• GetUserNameEx(NomUserPrincipal) : USER-PC02$@stackoverflow.com
• GetUserNameEx(NameCanonicalEx) : stackoverflow.com/ComputersHYDROGEN
• GetUserNameEx(NomServicePrincipal) : s/o
• GetTempPath : C:\WINDOWS\SERVIC~3\NETWOR~1\AppData\Local\Temp\
• CSIDL_APPDATA : C:\WINDOWS\ServiceProfiles\NetworkService\AppData\Roaming
• CSIDL_LOCAL_APPDATA : C:\WINDOWS\ServiceProfiles\NetworkService\AppData\Local
• CSIDL_COMMON_APPDATA : C:\ProgramData
• CSIDL_PROFILE : C:\WINDOWS\ServiceProfiles\NetworkService
• CSIDL_PERSONAL : C:\WINDOWS\ServiceProfiles\NetworkService\Documents

J'ai utilisé un service fonctionnant en tant que compte "Système local" et les données de l'utilisateur sont stockées dans ce compte :

c:\Documents and Settings\LocalService

Il s'agit d'un dossier caché et il m'a fallu du temps pour le trouver. J'espère que cela vous aidera.