Moin Mathias,

so ganz bin ich auch noch nicht hinter die Logik bei den Privilegien gestiegen, aber soweit ich das bislang verstanden habe kann es durchaus sein, dass der Account eines der Privilegien besitzt, dieses aber nicht aktiv ist.
Das hat den den gleichen Effekt, als wäre es nicht zugeordnet.
Also müsste es doch genügen den Wert mit LookupPrivilegeValue auszulesen, um festzustellen, ob der Account über dieses Privileg verfügt. Man weiss dann nur nicht, ob dieses auch aktiv ist.

Bei der Verwendung von LogonUser bin ich selbst dann noch daran gescheitert, nachdem ich das Privileg zugewiesen hatte
(unter W2K, unter NT4 hatte ich es mal hinbekommen )