アクセストークンに関するこの記事によると、トークンには次のようないくつかの情報が含まれています。
所有者のSIDとユーザーアカウントのSIDは同じであると思います。どのようなシナリオ例で、それらは異なりますか?
詳細なドキュメントでは、アクセストークンのログインSIDがDACLで使用されることがあると説明されています。DACLに特定のログインSIDへのアクセスまたは拒否が割り当てられるセキュリティの「パターン」を知りたいのですが。一見すると、それはとてつもないケースのようです。私が想像できる唯一の使用法は、ログインしているユーザーが他のユーザーもログインしていることを確認できないようにすることです。他にもありますか?
所有者SIDは、フォーカルトークンの下で作成されたオブジェクトの所有者として指定する必要があるエンティティを表します。所有者SIDがログインSIDと異なると予想される重要なシナリオの1つは、システムオブジェクトの場合です。Administratorsグループのローカルセキュリティポリシーオプションのメンバーによって作成されたオブジェクトのデフォルトの所有者は、Administratorsグループがの所有者になるように構成されます。ログインした管理者によって作成されたオブジェクト。
DACLでログオンSIDを使用するための実際に「一般的な」ケースは、現在のログオンセッションで実行されているプロセスまたは一時リソースへのアクセスを制御する場合のみです。詳細については、http://blogs.msdn.com/b/david_leblanc/archive/2007/07/29/logon-id-sids.aspxを参照してください。