Een security principal is een object (users, groepen, computers) waar permissies op uitgedeeld/aan toegekend kunnen worden.
De standaard aangemaakte map foreign security principals bevat user accounts die niet bij het eigen domein horen en toch permissies kunnen worden toegekend. Goede voorbeelden van security principals die je standaard in deze map kunt aantreffen zijn: s-1-5-11 = authenticated users s-1-5-4 = interactive s-1-1-0 = everyone
Als je “everyone” verwijdert uit de pre-windows 2000 compatible access groep, dan verdwijnt dit “user-account” ook uit de map foreign security principals.
Als je een externe trust met een ander domain maakt, dan kun je users van dat andere domain permissies geven op resources in het eigen domain. Op het moment dat je een user uit een ander domain lid maakt van een groep van het eigen domain, wordt er in de map foreign security principals een account aangemaakt voor deze “vreemde” user. Zodoende zal het pass-through authentication verkeer afnemen.