Microsoft一個事實:大多數用戶都用一個Administrator(管理員)帳戶來登錄Windows。利用這個帳戶,用戶幾乎沒有任何限制地訪問重要的系統資源,因為該帳戶被授予很高的權限。一旦用戶這樣的一個特權帳戶來登錄Vista之前的某個Windows操作系統,就會創建一個安全令牌(security token)。每當有代碼試圖訪問一個受保護的安全資源時,操作系統就會使用(出示)這個安全令牌。這個令牌會與新建的所有進程關聯。第一個進程就是Windows資源管理前,后者隨即將令牌拿給它的所有子進程,並以此類推。在這樣的配置中,如果從Internet下載的一個而已程序開始運行,或者電子郵件中的一個惡意腳本開始運行,就會繼承Administrator帳戶的高特權(因為它們的宿主應用程序正在這個帳戶下運行)-----因為更改機器上的任何內容,甚至可以啟動另一個進程,並讓啟動的進程繼承相同的高特權。
相反,在Windows Vista中,如果用戶使用Administrator這樣的一個被授予高特權的帳戶登錄,那么除了與這個帳戶對應的安全令牌之外,還會創建一個經過篩選的令牌(filtered token),后者將只被授予Standard User(標准用戶)的權限。以后,系統代表最終用戶啟動的所有新進程都會關聯這個篩選令牌。第一個進程仍然是Windows資源管理器。你可能馬上會對此提出疑問:既然所有應用程序都只有標准用戶的權限集,那么如何訪問受限制的資源呢?比較短的一個回答是:權限受限的進程無法訪問需要更高權才能訪問的安全資源。