Здравствуйте kkv, вы писали:

AF>>(это описано в MSDN KB article Q180548). Но даже имея токен, вызвать
AF>>CreateProcessAsUser из обычного аккаунта не получится, поскольку она требует
AF>>наличия SE_ASSIGNPRIMARYTOKEN_NAME привилегии, которая тоже по умолчанию
AF>>только у LocalSystem.

kkv>Простите, а кто мешает дабавить эту привилегию пользователю?

Ничего, кроме здравого смысла. Microsoft считает, что эта привилегия слишком
сильная, чтобы давать ее обычным пользователям. Буквально на MSDN написано
следующее:

Replace a process-level token (SeAssignPrimaryTokenPrivilege)

Allows a user to modify a process's security access token. This is a powerful
right used only by the system.

В чем конкретно заключается эта сила, я сейчас пытаюсь выяснить в
microsoft.public.platformsdk.security.