(с) Peter Gubarevich, 2011
Технология User Account Control, впервые введённая в Microsoft Windows Vista и несколько улучшенная в Windows 7, была задумана как средство безопасности, позволяющее приблизить идеал работы с ограниченными привилегиями к реальности за счёт вырезания из токена залогоненного пользователя SID-а администратора (500). Вроде зашёл в систему администратором, но административных прав всё равно нет. Их реально получить, нажав "да, точно, я действительно хочу этого", когда та или иная программа запрашивает повышенные привилегии. Но реальность оказалась несколько иной - explorer.exe полноценно взаимодействовать с UAC по-прежнему не готов.
1. Обычные пользователи не могут выполнить такие операции, как запустить regedit или Computer Management, UAC спрашивает пароль администратора. Однажды устаёшь слышать от пользователей, что они пытались вводить свой пароль, но безуспешно.
2. Администратор не может нормально работать с правами NTFS, explorer.exe не готов работать в режиме UAC. Попробуйте назначить на некую папку права вида "Administrators, System: Full Control" (пользователи не перечислены) или на домашнюю директорию пользователя права вида "Administrators, System: Full Control, User: Modify". При попытке зайти в такую папку система предложит вам запороть права к чёрту. И сделает это, если согласитесь.
Исход был предрешён.