Ab Windows2000 speichert das Betriebsystem standardmäßig recht umfangreiche Informationen darüber ab, was der User auf dem Desktop an Programmen selbst ausgeführt hat. Das Programm NTUserAssist listet diese Sachen und zeigt sie an. Bei Bedarf kann eine LOG-Datei erstellt werden.
Mit Adminrechten bietet das Programm die Möglichkeit, zum Beispiel von einer Windows-Live-CD aus, zum Zweck der Computerforensik den Hive eines Users eines nicht laufenden Betriebsystems zu laden und zu untersuchen. Zwar funktioniert das auch von einem laufenden Betriebsystem aus - je nach gerade aktiver Softare kann es dabei aber dazu kommen, dass der geladene Userhive zumindestens in der aktiven Session nicht wieder entladen werden kann. Das also möglichst unterlassen und wirklich beim Laden anderer User eine Live-CD nutzen.
Wird dem Programm als erster Parameter der Name einer Textdatei migegeben (Endung .txt, Ordner muss vorhanden sein), erstellt das Programm automatisch vom eingeloggten User eine LOG-Datei und speichert sie ab.
