O>>В смысле через политики? SeCreateTokenPriviledge до висты был у всех системных процессов, после висты — лишь у lsass.exe. А нужна она для NtCreateToken всегда была.
JR>Я имел в виду, что это право назначается конкретной учётке, а по умолчанию есть только у системной (на XP). Но через политики (с помощью оснастки MMC, например) его можно назначить любой учётке. На висте, как я понимаю, либо для lsass стали использовать специальную учётку, либо для запуска остальных служб использовать ограниченный маркер, так?
Я не копался как они этот токен делают. Но думаю не обязательно CreateRestrictedToken (aka NtFilterToken). Скорее всего создают готовый токен в NtCreateToken, там привилегии указываются. А учетками, оснастками etc занимается сам lsass, — все это лишь абстракции над NtCreateToken. С помощью NtCreateToken мона нафантазировать абсолютно любой токен — с любыми группами, привилегиями etc причем совершенно независимо от того, че там наконфигурено в настройках юзеров.

JR>>>А спионэрить токен у lsass и имперсонироваться тоже не получится?
O>>Получится. Я так делал. Но не думаю что микрософт так делает.
JR>MS может заначить нужный маркер, например. Или даже обратиться за помощью к lsass.
Врядли.