Zitat:
Vielleicht mache ich ja einen Denkfehler, aber wenn ich prüfe, welche NTUSER.DAT gesperrt ist, unter Berücksichtigung von Spezialaccounts (z.B. SMS-Service Account für Installationen), dann müsste ich eigentlich den Profilpfad des Users haben, der gerade angemeldet ist (oder eben auch keiner).
Du irrst dich tatsächlich. Abgesehen von den Spezialaccounts, die zumal garnicht detektiert werden können (man kann nämlich einen beliebigen Account für solche Zwecke einspannen), können auch mehrere Benutzer interaktiv oder eben auch einfach nur eingeloggt sein.
Ein Beispiel wäre RunAs, was ab Windows 2000 im System dabei ist, aber auch schon bei früheren Versionen funktioniert ... oder auch die schnelle Benutzerumschaltung von XP (und Nachfolgern). Ich als Admin logge mich zB manchmal auf einem anderen Rechner ein, um dort etwas zu machen (das ist dann - insofern nicht in einer Domain - auch ein lokaler Logon). Das alles kannst du nicht unterscheiden, da man solche Programme wie RunAs nämlich anweisen kann das komplette Profil (i.e. NTUSER.DAT oder NTUSER.MAN) zu laden ... also Pustekuchen auch mit dieser Methode. Finde dich mal ganz ehrlich damit ab, es geht nicht