JR>Согласен, я под ограниченным и не имел в виду фильтрованный, неудачно выразился. Просто специальный маркер с неполным набором прав.
В том то и дело что полный или не полный это лишь слова. На самом деле токен мона создать совершенно левый — к примеру на юзера гость и принадлежащему группе админов с полным набором привилегий — вот "полный" он будет или нет? . Или возможно даже с левыми SID'ами несуществущих групп и юзера.

JR>Если SeCreateTokenPriviledge осталась в висте доступна через политики, то в принципе можно при инсталляции создать специальную учётку с нужными настройками, в том числе и SeCreateToken, и назначить запуск службы от неё.
Всякими там политиками занимается lsass, LogonUser на самом деле просто RPC колл в lsass, lsass в ответ вычитывает юзера, проводит авторизацию etc, вычисляет какие группы и привилегии принадлежат тому кого мы логиним согласно политикам и.. вызывает NtCreateToken со всеми этими параметрами.
wininit и services запускаются до него. Потому токены для wininit и services сочиняются ядром без помощи lsass и без участия каких либо политик.

JR> Другой вопрос, поможет ли это топикстартеру. Я вот как-то никогда не интересовался возможностью подмены Logon Sid, а сейчас попробовал поискать в сети — что-то глухо
На самом деле вопрос стоит лишь за 10..30 мин в windbg