Das LogonUser und ImpersonateLoggedOnUser funktioniert. Das sehe ich beispielsweise daran, wenn ich auf Dateien zugreifen möchte- Blockiere ich einem Benutzer explizit den Schreibzugriff auf die Datei, gebe mich dann als dieser aus, kann ich dort auch nicht mehr schreiben.

Das scheint allerdings nur die "Persönlichkeit" an sich zu betreffen. Gebe ich mich beispielsweise als Administrator aus, kann ich trotzdem keine HKLM-Registry-Veränderungen durchführen oder Systemdateien löschen.

Die Errorcodes reiche ich nach, Sorry

Sofern dein Adminbenutzer Zugriff auf die Systemdateien hat, solltest du die definitiv löschen können. Um auf HKEY_CURRENT_USER Keys zuzugreifen, musst du erst noch LoadUserProfile aufrufen, wenn ich mich recht erinnere. HKEY_LOCAL_MACHINE sollte aber eigentlich ohne Probleme funktionieren.

Ich vermute mal, dass LogonUser() dich zwar korrekt mit einem Adminaccount einloggt, aber leider auch nur das Restricted Admin Token zurückliefert.

Edit: Grade nochmal nachgelesen. LogonUser() liefert tatsächlich nur das restrikted Token. Du könntest probieren dir das Linked Token zu extrahieren, wie ich es hier demonstriert habe:
http://www.delphipraxis.net/160355-s...t-starten.html
Ich vermute allerdings, dass dazu wiederrum bestimmte Privilegien / SYSTEM Context nötig sind, die du als normaler Administrator nicht besitzt. Andernfalls könnte man die UAC ja jederzeit umgehen.

Nein, das ist definitiv nicht der Fall. Beispiel: Textdatei direkt auf C:\ schreiben.

Führt man das als "normaler Benutzer" aus: Zugriff verweigert. Führt man das mit einem normalen Administratorkonto aus: Geht.

Soweit alles wie erwartet.

Gebe ich mich vor dem Schreibvorgang als Admin aus:

funktioniert es weder ("Zugriff verweigert"), wenn ich die Datei als normaler Benutzer starte, noch als Admin. Das verstehe ich auch nicht.


--
Die Methode "Impersonate" habe ich glaube ich einfach von Luckie gestohlen

Das sollte bei aktivierter UAC aber definitiv nicht der Fall sein.

Warum es nach deiner Impersonation nicht funktioniert ist klar. LogonUser() liefert dir wie gesagt nur das restricted Admin Token. Das hat nicht mehr Rechte als ein eingeschränktes Benutzerkonto.

Du hast folgende Möglichkeiten:

1. 2.Prozess (zeigt aber jedes Mal eine UAC Meldung an)
2. TaskScheduler
3. System Service

Alles klar, das war dann wohl ein Missverständnis meinerseits. Ich dachte, damit würde ich gleichzeitig in meinem Thread auch die Rechte des Administrators erhalten.

Danke für die Lösungsvorschläge, aber eine UAC-Meldung ist leider keine Option, die vorherige "Installation" versuche ich zu vermeiden.

Ich schildere demnächst mal mein konkretes Problem, wahrscheinlich brauche ich noch nicht einmal Administratorrechte.

Auf einem System mit deaktivierter UAC würde das auch perfekt funktionieren. Mit UAC bekommst du leider nicht das "richtige" Admintoken und damit auch nicht die vollen Rechte des Administratoraccounts.

Alles klar, aber falls du doch Adminrechte benötigst, kann ich dir schon sagen, dass du um eintweder eine UAC Meldung oder eine vorherige Installation nicht umherkommst (sofern du die UAC nicht komplett abschalten willst).