Хм. Начнем с простого вопроса: А откуда вы взяли пароль для этих двух учетных записей?
Помнится мне, что их основная идея в том и состояла, что создать процессы с этими учетками может только система.

Ну и в целом - а зачем вам запуск потока от системных учетных записей?

Денис Авилов,

"Ткнуть", Вас я с ходу не смогу - не помню что где-нибудь читал о специальных учетных записях что-то специальное.
Здесь простой здравый смысл: если будет такой простой доступ к весьма привилегированным записям, то любой мало-мальский вирус убьет систему вне зависимости от ее защиты.

Что касается Вашей задачи, то там еще интереснее. Вы сами проверяли, что после имперсонации потока становятся доступны рабочие пути имперсонированного пользователя?
Вообще-то сама по себе имперсонация не меняет окружения (только токен безопасности), а пути к папкам - это и есть часть окружения.

По идее, чтобы стало доступно окружение, необходимо загрузить профиль учетной записи, которая вам нужна (возможно, можно обойтись и без загрузки профиля, но как - не знаю). Попробуйт порыть начиная с функции LoadUserProfile . Эта функция, в том числе загружает нужные кусты реестра (только обратите внимание, она требует нехилых привилегий).

После того, как профиль загружен, вы можете найти нужные вам папки в ветке реестра:
HKEY_USERS\<нужный SID>\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders

В случае системных учеток это будут
LocalSystem: HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
NetworkSystem: HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders

Единственное - эти строки содержат подстановки вида %USERPROFILE%, но с этим, я думаю, вы справитесь.

Удачи.

Понимаю, что описал не самый красивый путь...
Увы, вы хотите решить задачу, которая, по всей видимости, не решается стандартными API - он просто не рассчитывался на такое. А раз так, других путей вы врятли найдете.

Денис Авилов,

С функцией SHGetFolderPath, тоже не все так просто. Обратите внимание на замечание
MSDNIt must have appropriate security privileges for the particular user, including TOKEN_QUERY and TOKEN_IMPERSONATE, and the user's registry hive must be currently mounted.
Т.е., как я и говорил - реестр пользователя должен быть загружен. Это возможно в 2-х случаях: пользователь вошел в систему любым из способов, загружающих профиль, или профиль был загружен явно.

Ну и ко всему имейте в виду, что функция объявлена Deprecated . Правда новая функция ведет себя аналогично, там только параметр, указывающий на то, какая папка нужна поменялся.