Возникла необходимость определять из драйвера принадлежность процесса к группе сервисов. То есть, по SID отделить те процессы, что стартовали как сервисы от тех, что стартовали как обычные процессы. Как получать SID я знаю, осталость только понять, как получить SID'ы тех "пользователей", под которыми стартуют сервисы (NT AUTHORITY\SYSTEM, NT AUTHORITY\LOCAL SERVICE и так далее).
