Como especificar SIDs na política de segurança?

Após a instalação do KB2871997, no Windows Server 2008 R2 em um controlador de domínio, você obtém um novo grupo de usuários: 'Usuários restritos' e como este artigo menciona , você obtém dois novos SIDs conhecidos:

1. LOCAL_ACCOUNT - qualquer conta local herdará esse SID
2. LOCAL_ACCOUNT_AND_MEMBER_OF_ADMINISTRATORS_GROUP - Qualquer conta local que seja membro do grupo de administradores herdará esse SID

Esta página do MSDN lista todos os SIDs conhecidos e a mesma página lista esses dois novos SIDs ( S-1-5-113 e S-1-5-114 ). No cabeçalho do Windows, os RIDs para estes estão incluídos:

#define SECURITY_LOCAL_ACCOUNT_RID (0x00000071L) // 113
#define SECURITY_LOCAL_ACCOUNT_AND_ADMIN_RID (0x00000072L) / 114

Descobri a importância do grupo Usuários Restritos, mas não consegui entender como esses SIDs podem ser colocados em Segurança de qualquer objeto - começando com arquivo / pasta na unidade NTFS, como fornecer esses (ou quaisquer) SIDs

Estou fazendo essa pesquisa para ver qualquer impacto dessa atualização em qualquer aplicativo ou serviço, devido à possível restrição colocada sobre eles.

Graças a grawity por fornecer exemplo usando icacls . Depois de brincar com a interface de segurança e com o icacls , descobri que há muitos SIDs que não podem ser especificados diretamente com o nome amigável, mas aparecerá nos resultados. Isso significa que na caixa de diálogo Segurança, bem como quando icacls é chamado. Tente isso (em qualquer sistema operacional recente):

icacls FolderName /grant:*S-1-18-2:(oi)(ci)(f)

Seguido pelo seguinte comando:

icacls Folder name

Você verá ' Identidade declarada do serviço ' na saída do comando e na caixa de diálogo Segurança. Para os novos SIDs, você não verá quando especificar o comando /save junto com o comando acima. Você irá, no entanto, vê-lo na caixa de diálogo Segurança. Em suma, há pouco incoerente.

Então, agora , minha pergunta é: Como especificar o SID na política de segurança?