При заходе пользователя WinXX ищет explorer.exe (находящийся в /WinNT) в каталогах, начиная с корневого. Достаточно разместить в корневом каталоге файл с аналогичными именем и он будет запущен вместо оболочки с соответствующими правами: дальнейшее очевидно.
