¿Cómo funcionan los descriptores de protección SDDL con CNG DPAPI?

NCryptCreateProtectionDescriptor acepta varios < a href="https://msdn.microsoft.com/en-us/library/windows/desktop/hh769091(v=vs.85).aspx"> Descriptores de protección , y puedo entender los ejemplos que se muestran como:

SID=S-1-5-21-4392301

Pero los ejemplos también muestran descriptores basados en SDDL, como:

SDDL=O:S-1-5-5-0-290724G:SYD:(A;;CCDC;;;S-1-5-5-0-290724)(A;;DC;;;WD)

No estoy seguro de seguir cómo se supone que funciona un descriptor de protección basado en SDDL. ¿El secreto está protegido para que el propietario del SDDL pueda descifrarlo? ¿En qué entran en juego los diversos derechos de acceso en el SDDL? ¿Denegar ACE denegar el cifrado, o qué? ¿G permite el cifrado, cómo funciona con un grupo?

No puedo encontrar ninguna documentación sobre este tema, y la asignación de un SDDL a un intercambio de claves se parece mucho a la clavija cuadrada y al agujero redondo.