Добрый день

Ситуация парадоксальная.
Легко МОГУ добавить в LocalPolicy необходимую привилегию
обычному пользователю.
Например:
- завожу группу UUU, которой разрешаю. например, "SeCreateGlobalPrivilege"
- ОБЫЧНОМУ пользователю User добавляю группу UUU
-!!! без проблем от имени пользователя UUU пользуюсь этой привилегией
(например, выполняю CreateFileMapping())

!!!Делаю все то же для пользователя-администратора AAA
(т.е. члена группы Administrators).
НЕ ПОМОГАЕТ !!!
Т.е. конечно, если я делаю "elevation", то все работает, но я-то
НЕ ХОЧУ запускать процесс с административными правами !!!

Никакие игры с "tokens"(правильно работающие для обычного пользователя)
не помогают.
Т.е. обращения к AdjustTokenPrivilege(), AdjustTokenGroup(), GetTokenInformation()...
очевидно показывают, что при запуске процесса от имени AAA создается
какой-то специальный "token", не соответствующий созданию
такового для обычного пользователя.

Сразу говорю, что попытки прямого включения пользователя AAA
(а также INTERACTIVE и любых других групп) в список "SeCreateGlobalPrivilege"
(=="Create Global Objects" в LocalPolicy) БЕСПОЛЕЗНЫ.

Ощущение, что при обычном запуске от имени администратора
используется какая-то особая группа.
Вот бы мне узнать ее SID(или имя).
Тогда бы я добавил ей нужные привилегии !!!