Sim, processos filho herdam o token de acesso do processo pai (de Processo UAC e interações no TechNet):
Each application that requires the administrator access token must prompt the administrator for consent. The one exception is the relationship that exists between parent and child processes. Child processes inherit the user access token from the parent process. Both the parent and child processes, however, must have the same integrity level.
Informações relacionadas ao bônus:
O utilitário runas
tem dois comutadores mal documentados chamados /showtrustlevels
e /trustlevel
que aparentemente permitem que você inicie (de um processo elevado) um novo processo com um token de usuário padrão em vez de seu token de administrador, sem diminuir o nível de integridade do processo filho:
runas /trustlevel:0x20000 cmd.exe
Você verá que o título da janela contém (running as [username] with restricted privileges)
e whoami mostrará um privilégio restrito e uma lista de grupos, em comparação com o prompt elevado: