Миграция не влияет на списки контроля доступа (ACL). Если все домены Windows NT 3.51 и Windows NT 4.0 модернизированы без дополнительных изменений, то с точки зрения списков контроля доступа ничего не меняется.

Если серверы из ресурсного домена при миграции перемещаются в организационные единицы (OU) в доменах учетных записей, а затем ресурсный домен уничтожается, то необходимо отредактировать все списки ACL, в которых имеются записи ACE, относящиеся к уничтоженному домену. Это требование является общим для всех версий Windows: при уничтожении домена в любой версии Windows NT идентификаторы безопасности, относящиеся к этому домену, становятся недействительными.

Для упрощения процедуры редактирования ресурсов ACL можно воспользоваться следующим правилом. Если у вас имеется ресурсный домен в Windows NT 3.51 или 4.0 и вы намерены заменить его организационной единицей в Windows 2000 и затем уничтожить, то не следует помещать группы из этого домена в ресурсы ACL. Это не относится к локальным группам на серверах; данное правило распространяется только на группы в контроллерах доменов.

Microsoft планирует создать специальные инструменты, облегчающие редактирование списков ACL и включить эти инструменты в состав Windows 2000.