Schön, nur ergibt das in der Praxis wenig Sinn für HKCU, da der Benutzer dort (neben Administratoren, die den Zugriff ohnehin erzwingen können) als einziger Leserechte hat. Leserechte für den internen (Pseudo-)Account "RESTRICTED" bedeutet nicht, dass jeder Benutzer mit einem eingschränkten Token Zugriff hat - es dient als Filter, um die Rechte zu definieren, die man trotz eines eingschränkten Tokens hat (CreateRestrictedToken).

Kurz: Es stellt sich mir die Frage nach dem Sinn, die Sicherheitsbeschreibung ermitteln zu müssen. In den meisten Fällen kommt man ohne aus. Bleibt also offen, was eigentlich erreicht werden soll...

Edit: Definiere "mit eingeschraenkten Rechten".