При создании группы домен присваивает ей идентификатор безопасности (Security Identifier, SID). Если этот идентификатор занести в список ACL, то доступ к данной группе будет открыт для тех пользователей, в чьих признаках содержится этот SID. Пользователь может присоединить идентификатор SID к своему признаку, связавшись с доменом, выдавшим этот идентификатор. Эта процедура может осуществляться при входе пользователя в сеть и производиться в “прозрачном” режиме.

При редактировании списка ACL одновременно с поиском идентификатора SID система инициализирует программный интерфейс LookupAccountName. Если уничтожить домен, присвоивший идентификатор SID, то в перечне пользователей и групп данного списка ACL появится строка “Неизвестный пользователь” ("Unknown User”). То же самое происходит в Windows NT 3.51 и Windows NT 4.0 при уничтожении домена или разрыве доверительных отношений между доменами.