El "solo falla" queda bastante chico, las situaciones que mencionas son de los mas normales.

Es normal que un usuario no utilice una cuenta con privilegios, mas aun si hablamos de versiones posteriores a Windows XP.
Utilizar PROCESS_ALL_ACCESS sin mas preámbulo te va a garantizar errores en la mayoría de los casos, por varios motivos:

1) El carácter del flag es variable a lo largo de las distintas versiones de Windows.
2) Algunos procesos necesitan si o si el privilegio de depuración para tales acciones.
3) Ciertos modos de acceso pueden estar restringidos.

De hecho en Windows XP, los únicos procesos que no podes depurar con el privilegio de depuración son el inactivo y el de sistema, y solamente porque no tienen representación en el modo usuario. El resto, casi seguro que no tendrías problemas, exceptuando por supuesto los casos de los procesos protegidos por un driver.

Ahora bien, no es tan especial que un driver proteja un proceso, mas bien eso sucede en casi toda aplicacion de protección. Protecciones de juegos, antivirus, firewall, etc. Igualmente en ese caso obtener o no los privilegios es irrelevante, fallara de cualquier manera mientras la protección no sea vulnerada.


Con niveles de acceso no se a lo que te referís específicamente, ya que el modelo de acceso cambia bastante desde NT 6.0 en adelante, o dicho mas claro, difiere bastante si comparamos Windows XP y Windows Vista, por ejemplo.

De cualquier forma, ya que mencionas los niveles, el IL para la mayoría de los procesos por defecto es No-Write-Up + No-Read-Up. Lo cual implica que no podes leer ni escribir al menos que estés en el mismo nivel de integridad, incluso si el DACL lo autoriza.
Esta claro que, en la mayoría de los casos, no vas a estar en el nivel de integridad deseado por defecto.

En conclusión, utilizar PROCESS_ALL_ACCESS es una mala practica cuando no se esta seguro si se va a obtener dichos privilegios ni se chequea la posibilidad de obtenerlos.

Lo ideal es utilizar los flags que exclusivamente vas a necesitar, y luego chequear y solicitar los privilegios requeridos en caso de no tenerlos (u escalarlos a la fuerza, dependiendo de lo que estemos hablando). Eso es lo que corresponde para una correcta ejecución.

Saludos

Lo mencione porque es el flag utilizado en el código y fue precisamente la parte que citaste.

Efectivamente, las reglas para obtener permisos son las mismas, y las practicas para obtenerlos también. Lo de ejecutar y rezar "a ver si se puede" es un error.

Saludos