Вы по-прежнему сможете определить, кто является «владельцем» пользователя. Я провел небольшой тест здесь: вошел в систему на сервере терминалов Win2k8 с моей учетной записью без прав администратора и запустил командную строку (cmd.exe) в качестве администратора.user.
Используя Process Explorer для получения подробной информации о каждом процессе, я мог видеть, что пользователь, связанный с процессом cmd.exe, был моей учетной записью администратора, родительским процессом был explorer.exe (PID 5008), и когда янайдите пользователя, связанного с PID 5008, это была моя учетная запись без прав администратора.
Если вы можете повторить это в своем коде, вы сможете отследить, кто запустил какой-либо конкретный процесс, выполняющийся под вашей учетной записью администратора.