Ao contrário da intuição comum, o arquivo ntuser.dat na pasta de perfil de usuário do LocalSystem ( \Windows\System32\config\systemprofile ) é não a origem de HKEY_CURRENT_USER para aplicativos em execução como SYSTEM. Tanto quanto eu posso dizer, não é realmente usado para nada, e contém muito pouca informação.
Na realidade, o HKCU para aplicativos em execução como SYSTEM é .DEFAULT em HKEY_USERS . (Vou abordar outro equívoco comum: .DEFAULT não é o modelo para novos perfis de usuário , ntuser.dat em \Users\Default é.) .DEFAULT é armazenado no disco em um arquivo chamado \Windows\System32\config\DEFAULT . Consulte o artigo do MSDN sobre arquivos de backup de registros .
Interessante também: a lista dos arquivos de apoio para as várias hierarquias do Registro, incluindo .DEFAULT , pode ser encontrada em HKLM\SYSTEM\CurrentControlSet\Control\hivelist .