Acabei de exportar as entradas de registro para as impressoras do registro e importá-las para HKCU / .Default e funcionou bem. SYSTEM tinha acesso à impressora e o aplicativo funcionava conforme o esperado.
suspiro
Temos um aplicativo que é executado como um serviço como o SYSTEM em um servidor 2K8R2, mas a conta usada para executá-lo precisa ter uma impressora instalada em seu perfil para que determinada funcionalidade funcione de acordo com o fornecedor.
O fornecedor diz que, se não estiver sendo executado como SYSTEM, a conta que está executando o serviço precisa ser um administrador local da máquina. Isso parece meio que uma merda para mim ser franco. Eu imagino que é fácil o suficiente para instalar uma impressora como sistema, obtendo um prompt de comando interativo usando o antigo at truque, mas existem quaisquer outras implicações que alguém sabe sobre se eu fosse instalar uma impressora como a conta do sistema em 2008R2?
Nota: Depois de escrever esta resposta, percebi que não respondi exatamente a sua pergunta original. Mas supondo que você aceite meu conselho, não precisará dessa resposta.
A maioria dos fornecedores de software que afirmam que seu software precisa ser executado como administrador local (serviço ou não) está basicamente dizendo que seus desenvolvedores são muito preguiçosos ou incompetentes para documentar exatamente quais permissões o aplicativo precisa para executar com menos privilégios. Se você tiver tempo e paciência, você pode ter a linha dura com eles e se recusar a usar o produto deles até que eles consertem e forneçam documentação de privilégios mínimos. Se o aplicativo for mais importante para o seu negócio do que o seu negócio é para o fornecedor, você provavelmente está em conformidade com os requisitos ridículos que eles têm.
Quanto a correr como SYSTEM em vez de um administrador local. Correndo como SYSTEM é realmente menos seguro do que uma conta de administrador local na minha opinião. Ele tem acesso básico de leitura ao seu domínio e quaisquer outras permissões concedidas à conta do computador. É mais difícil de auditar. Ele pode causar tanto dano ao sistema local quanto um administrador local.
Eu definitivamente usaria uma conta de serviço definida propositadamente para este aplicativo. Se você usa uma conta local ou uma conta de domínio, depende de você. Ambos te fazem melhor auditoria. A conta local não terá acesso de leitura ao domínio. A conta de domínio é mais fácil de gerenciar centralmente. Ambos podem ser adicionados e removidos do grupo de administradores locais com a política de grupo. E, obviamente, adicionar uma impressora a uma conta real é mais fácil do que a conta SYSTEM.