Windows7綠茶系統(tǒng)安全標識符如何參與到保證系統(tǒng)安全的工作去呢？賬戶已經(jīng)創(chuàng)建好了，而且相應的SID、配置文件，以及權(quán)限都設置好那么在使用Windows的過程屮，它們是如何參與到保證系統(tǒng)安全的工作中的？
在登彔的時候，如果用戶輸入的用戶名和密碼通過了SAM數(shù)據(jù)庫或者域控制器的驗證，那么Windows會自動為該用戶生成一個安全訪問令牌（SecurityAccessToken)，其中包含了這個用戶的用戶名和SID等信息，同時還包含該賬戶所在用戶組的信息（這些內(nèi)容被統(tǒng)稱為安全配置文件）。訪問令牌可以看做是一張電子通行證，里面記錄了用于訪問對象、執(zhí)行程序，以及修改系統(tǒng)設置所需的安全驗證信息。

訪間令牌是可以傳遞的，例如，如果一個用戶在登錄后試圖運行某個程序，那么這個程序就會獲得該用戶的訪問令牌。

簡而言之，用戶運行的程序?qū)⒕哂泻陀脩舯旧硗瑯拥奶貦?quán)。例如，對于管理員用戶，他登錄后就具有管理員權(quán)限的訪問令牌，而該用戶運行的程序也將具有管理員權(quán)限，對系統(tǒng)具有完整的控制權(quán)。

假設該用戶從電子郵件中收到了一個帶有病毒的附件，這個病毐會惡意修改系統(tǒng)設置，如果運行該附件，那么這個附件也將存宵理員權(quán)限，因此，完全可以實現(xiàn)修改系統(tǒng)設置的目的；但如果該用戶是標準/受限賬戶，沒有修改這個系統(tǒng)設置的權(quán)限，那么該用戶運行感染病毒的附件后，病毒雖然可以運行，但因為缺少權(quán)限，則無法修改系統(tǒng)設置，這也就直接阻止了病毒的破壞。

因此，長久以來，很多安全類的書籍或者文章都會建議大家在Windows中創(chuàng)建一個管理員賬戶，并創(chuàng)建一個標準賬戶，這樣平時可以使用標準賬戶登錄，只有在需要維護系統(tǒng)，或者進行其他需要管理員權(quán)限才可以進行的操作時才使用管理員賬戶登錄。

在Windows7中，因為有了全新的用戶賬戶控制功能，該功能可以限制用戶的權(quán)限，從而進一步保證了系統(tǒng)的安全。