Le présent paragraphe présente les acteurs et concepts constituant le modèle de sécurité du système Windows.

Dans le cadre de cette présentation du modèle Windows, le terme entité est utilisé pour désigner l'acteur qui s'authentifie auprès du système. En sécurité, il est courant de désigner une telle entité sous le terme d’acteur principal. La catégorie d’acteur principal la plus courante est celle des utilisateurs du système, tels qu'un administrateur système. De façon moins intuitive, les systèmes Windows sont également des acteurs principaux. En effet, ils ont aussi à s'authentifier auprès d'autres systèmes, tels que des contrôleurs de domaines.

Les informations propres à chaque acteur principal sont conservées dans ce qu'il est d'usage d'appeler un compte, qui n'est autre qu'une entrée dans la base de données de sécurité du système (base de données SAM dans Windows NT 4.0, référentiel Active Directory à partir de Windows 2000). Alors qu'il est plus simple pour des humains de faire référence à un acteur principal en le désignant par un nom, par exemple Administrateur, le système manipule plus aisément les acteurs principaux via une structure de données de longueur variable, appelée identifiant de sécurité (security identifier) et abrégée en SID.

Un SID peut être représenté sous la forme d'une chaîne de caractères, de la forme S-R-I-XXX-XXX-XXX, où S est la lettre S (pour rappeler qu'il s'agit d'un SID), R est le numéro du format binaire du SID (actuellement, 1), I est un entier identifiant l'autorité ayant émis le SID et XXXX-XXXX-XXXX est une suite de longueur variable, formée d'identifiants de sous-autorités ou d'identifiants relatifs (relative identifier, abrégé en RID). Par exemple, le SID correspondant à l’acteur principal Administrateur d'un système local sera de la forme S-1-5-21-XXXX-XXXX-XXXX-500 ; l'autorité ayant émis ce SID ayant pour identifiant 5 (SECURITY_NT_AUTHORITY). Plus précisément c'est la sous-autorité ayant pour identifiant 21 (SECURITY_NT_NON_UNIQUE) qui est à l'origine de ce SID, la suite notée XXXX-XXXX-XXXX formant un identifiant unique du système local.
Il faut noter enfin que la valeur 500 est réservée à l’acteur principal « Administrateur ».

Il n'est pas nécessaire de connaître parfaitement le format exact d'un SID. La chose importante à retenir est que, quelle que soit sa longueur et son format, un SID identifie de façon unique un acteur principal, au sein d'une autorité.

Pour simplifier la gestion des acteurs principaux, il est d'usage de les placer dans des groupes, souvent en fonction de critères tels que des besoins similaires d'utilisation du système. Il existe deux grandes catégories de groupes : les groupes locaux à un système, visibles uniquement à l'échelle d'un système et les groupes globaux, visibles à plus grande échelle, que ce soit d'un domaine ou d'une forêt dans le cas d'Active Directory. Ces groupes sont également identifiés de façon unique par des SID.

Un domaine définit un espace de confiance au sein duquel un contrôleur de domaine gère de façon centralisée les comptes des principaux ainsi que les différentes requêtes d'authentification. Un acteur principal peut alors s'authentifier auprès de tout système faisant partie d'un domaine, chaque système du domaine utilisant le service d'authentification fourni par un contrôleur du domaine.

Pour un système, faire partie d'un domaine implique d'avoir confiance en ses contrôleurs de domaine. En effet, lorsqu'un acteur principal se connecte à un système du domaine, ce système délègue l'authentification à l'un des contrôleurs du domaine, chargé d'authentifier l’acteur principal de façon honnête.

En cas de relation d’approbation établie et lorsqu'un acteur principal à authentifier ne fait pas partie du même domaine que le système sur lequel l'authentification se fait, le contrôleur de domaine contacté par le système s'adresse à l'un des contrôleurs de domaine de l'utilisateur, lui demandant d'authentifier celui-ci. Le domaine du système fait donc confiance au domaine de l'utilisateur, puisqu'il lui délègue le service d'authentification.