（一）主体

Windows用户登录到系统时，WinLogon进程为用户创建访问令牌，包含用户及所属组安全标识符（SID），作为用户身份标识。

（二）客体

文件等含有自主访问控制列表（DACL），标明谁有权访问，还含有系统访问控制列表（SACL），标明哪些主体访问需要被记录。

（三）过程

用户进程访问客体对象时，通过WIN32子系统向核心请求访问服务，核心安全参考监视器（SRM）将访问令牌与客体DACL进行比较，决定客体是否拥有访问权限，同时检查客体SACL，确定本次访问是否落在既定审计范围内，是则送至审计子系统。