OS ESM モジュールでは、Windows OS を外部セキュリティ マネージャーとして使用します。これは非常に単純で、構成オプションもごく一部 (パストークン サポート用) しかなく、ESF Verify (ユーザー サインオン) のみがサポートされます。このモジュールでは、Windows の LogonUser 関数を使用して、ユーザーが正しいパスワードを入力したかどうかを確認し、システムへのログインを許可するかどうかをチェックします。制限付きログオン時間のような Windows セキュリティ ポリシー ルールが自動的に適用され、ユーザーのパスワードの期限が切れていて新しいパスワードが入力されていない場合にはパスワード変更要の状態で要求が拒否されます。つまり、この ESM を使用したサインオンの動作は、従来の Windows ログインとほぼ同じになります。
ユーザーからパスワードの変更が要求されると、ESM モジュールは Windows の NetUserChangePassword 関数を呼び出してパスワードの変更を試みます。これについても、従来の Windows ログインでユーザーが新しいパスワードを指定する場合と基本的に同じです。