在Windows系统中，用户和组是用安全ID（Security Identifier，SID）来定义和标识的。在单机系统中，用户和组的SID信息保存在安全账户管理器中（Security Accounts Manager，SAM）并在本地使用；在Windows域环境下，属于同一个域的一组系统的SID信息也会被集中管理，这些信息由使用LDAP协议的中央活动目录（Active Directory，AD）系统提供。大多数拥有多个系统的组织都使用域来管理它们。使用域，也可以对域内的各个系统上用户实施常见的策略。

Windows系统实现了对诸如文件、共享内存和命名管道等系统资源的自主访问控制。访问控制列表上记录了特定SID对某个资源的访问权限，这里的SID可以是单个用户，也可以是用户组。Windows Vista和后续的系统还包含了强制的完整性控制。所有的对象，如进程、文件和用户，都被标记成低、中、高或系统完整性等级中的一个等级。当数据要写入某个对象时，系统首先要确保主体的完整性等级等于或高于客体的等级。这其实是Biba完整性模型的一种实现。Biba完整性模型可以解决非信任的远程代码在如IE程序中运行并尝试修改本地资源的问题。

Windows系统也定义了系统范围内可以赋予用户的特权。一些特权的例子，如备份计算机（需要覆盖正常的访问控制来获得完全的备份）、更改系统时钟。某些特权被认为是危险的，因为攻击者可以使用它们破坏系统，因此，授权时需要十分小心。其他特权相对比较安全，可以赋给大多数甚至所有用户。

对于任何系统来说，加固系统配置可以包括进一步限制系统中的用户和组的权限和特权。因为访问控制列表给予“拒绝”访问比“允许”访问更高的优先级，因此你可以显式地设置一条拒绝许可来阻止对某个资源的非授权访问，即使被拒绝的用户隶属于有权访问该资源的组。(www.daowen.com)

当访问共享资源上的文件时，共享和NTFS权限的组合可用来提供额外的安全和粒度。例如，你可以赋予某个共享全部的权限，但是对其中的文件只赋予只读权限。如果在共享资源上启用基于访问的枚举，它就能够自动隐藏某个用户无权读取的所有对象。例如，这对包含了许多用户的个人目录的共享文件夹很有用。

同时，也应该确保拥有管理员权限的用户仅仅在需要的时候才使用它们，而在其他时候则以普通用户的身份访问系统。Vista和后续的Windows系统提供的用户账户控制（User Account Control，UAC）有助于实现这种需求。这些系统也提供了低特权服务账户（Low Privilege Service Accounts），这些账户可用于长期使用的服务进程，如不需要提升权限的文件、打印和DNS服务。