psexec – крут и замечателен, но он не умеет давать права TrustedInstaller.
А теперь самое главное: процесс работающий от имени TrustedInstaller приобретает определенные возможности по копированию/удалению части системных файлов и разделов реестра, у которых проставлен овнер TrustedInstaller, но в остальном прав у этой учетки очень мало, учетка довольно сильно ограничена. Учетка SYSTEM в отличие от TrustedInstaller – наоборот имеет огромные полномочия (но при этом по умолчанию не имеет доступ записи к системным файлам и разделам реестра где овнер – TrustedInstaller).
Т.е. по сути Microsoft отделил часть полномочий от SYSTEM к почти бесправной TrustedInstaller дабы уменьшить вероятность повреждения системы процессами работающим от SYSTEM. Причем запустить процесс от TrustedInstaller не так уж и просто (штатно этим занимается служба “Установщик модулей Windows”), но на самом деле и не нужно.
Если стоит задача чтобы процесс получил ВСЕ полномочия как SYSTEM, так и TrustedInstaller – необходимо чтобы процесс был запущен от имени учетки SYSTEM, но при этом получил от службы “Установщик модулей Windows” тикет безопасности TrustedInstaller.
Нашел только одну утилитку, которая реально делает это именно так как требуется:
http://technopriest.ru/registry-edit...er-permissions
