Fonctionnement jeton sous Windows

Bonjour, je voudrais savoir ce que contient et comment fonctionne les jetons
sous Windows.

Lorsqu'un utilisateur s'authentifie sous windows, le serveur local
d'authentification de sécurité (LSASS) validel 'authentification, il génère
un jeton (sous XP) sous Vista, il en génère 2 si je ne me trompe pas.

Sous windows XP, un administrateur a tous les droits. il existe des
logiciels, comme (dropmyrights) qui diminuent ces droits. Je cherche à
savoir comment celà fonctionne.
Si je ne me trompe pas, dropmyright va modifier ou créer un nouveau jeton
(qui est lié au SID de l'administrateur) en activant/désactivant des
fonctions privilèges contenues dans le jeton.

Sous Windows Vista, un administrateur est en fait un utilisateur. Lors de
l'ouverture de sa session, 2 jetons sont créés, le premier qui a les droits
administrateurs et le second qui a des droits restreints et qui passe avant
le premier jeton. (ou alors, lorsqu'un administrateur ouvre une session, le
jeton d'accès administrateur complet de l'utilisateur est divisé en deux
jetons d'accès: un administrateur, l'autre accès utilisateur standard)

Je voudrais savoir donc le fonctionnement de ce jeton, ce qu'il contient.
Cela me permettrait de voir comment fonctionne dropmyights et de voir les 2
politiques de sécuritées appliquées à l'époque sous WIndows XP avec le
compte administrateur et maintenant sous Vista avec UAC...

Je vous remercie pour vos réponses.