Основное различие между Администратором и СИСТЕМОЙ заключается в том, что Администратор является реальной учетной записью (например, у него есть пароль), а СИСТЕМА - нет. (Собственно говоря, SYSTEM является «принципалом безопасности».)
Одно практическое отличие состоит в том, что, если компьютер присоединен к домену, процессы, выполняющиеся как SYSTEM, могут обращаться к серверам домена в контексте учетной записи домена компьютера. Процессы, работающие от имени администратора, не имеют доступа к компьютерам домена, если пароль не совпадает или не предоставлены альтернативные учетные данные.
Для файла, каталога, раздела реестра или другого защищаемого объекта возможно предоставить доступ только к SYSTEM, а не к Администратору. Однако я не знаю ни одного примера установки Windows по умолчанию. Изменить: я забыл о ключе SAM, содержащем информацию о локальной учетной записи. Это имеет полный контроль, предоставленный только СИСТЕМЕ, с группой «Администраторы», не имеющей ни прав чтения, ни записи. Kreemoweet также отметил, что Vista имеет ряд других примеров.
Конечно, администратор может переопределить любые разрешения в любом случае.
Есть один или два особых случая. Например, функция WTSQueryUserToken позволяет программе получить токен доступа, который можно использовать для запуска нового процесса в контексте указанного вошедшего в систему пользователя. Эта функция может использоваться только процессами, которые выполняются как СИСТЕМА, а не процессами, выполняющимися как Администратор.