Маркер доступа, создаваемый для любой учетной записи содержит хорошо известный идентификатор безопасности(SID) для Everyone(Все). Маркер для любой учетной записи, прошедшей аутентификацию (не гостевой), содержит SID Authenticated Users(Прошедшие проверку). Маркер для учетной записи, выполнившей вход в систему содержит SID, соответствующий типу входа: Interactive и пр. И там может ещё некоторое количество хорошо известных SID, назначаемых процессом входа в систему. Чтобы посмотреть их конкретно для учетной записи, выполните команду whoami /groups.
Этот набор SID и определяет разрешения на доступ к объектам в системе.
PS А ешё кроме разрешений у учетной записи могут быть привилегии, не связанные с объектами.