O serviço psexec tem privilégios suficientes (SeTcbPrivilege) para obter tokens para outras sessões com WTSQueryUserToken (que, então, é fornecido para CreateProcessAsUser ou algo semelhante).
Veja também: link
De acordo com este artigo do MSDN :
Important Services cannot directly interact with a user as of Windows Vista. Therefore, the techniques mentioned in the section titled Using an Interactive Service should not be used in new code.
Por que o psexec \REMOTEPCNAME -i -s cmd ainda funciona corretamente e inicia um prompt de comando no contexto NT AUTHORITY\SYSTEM ? O SysInternals possui códigos de trapaça do Windows?
O serviço psexec tem privilégios suficientes (SeTcbPrivilege) para obter tokens para outras sessões com WTSQueryUserToken (que, então, é fornecido para CreateProcessAsUser ou algo semelhante).
Veja também: link