Создавая private namespace (приватное пространство имён) требуется предварительно создать и настроить boundary descriptor (дескриптор границ), который затем будет связан с этим пространством имён. Дескриптор имеет свои настройки безопасности, которые определяют, кто может пересекать границу и работать с пространством имён и его контентом: создавать и читать объекты ядра ОС.

Однако и приватное пространство имён так же имеет свои настройки безопасности... Но для чего это? Ведь если в настройках дескриптора границ я уже указал, кого пропускать через границу, то для каких целей настройки безопасности присутствуют и в пространстве имён? Т.е. меня интересует, почему в WinAPI не ограничились настройками безопасности, указанными в дескрипторе границ?

P.S. буду весьма признателен за наглядный пример кода, демонстрирующий правоту ответа.

Спасибо.