Une fois l'utilisateur initial connecté, le noyau, les systèmes de fichiers, les fichiers système et les applications du bureau sont protégés par des autorisations de fichier, des privilèges et des droits d'utilisateur. Les droits de l'utilisateur sont également appelés contrôle d'accès basé sur les rôles (RBAC).
Protections du noyau : de nombreux démons et commandes d'administration se voient attribuer uniquement les privilèges qui leur permettent d'aboutir. De nombreux démons sont exécutés à partir de comptes d'administration spéciaux qui ne disposent pas de privilèges root (UID=0) et qui ne peuvent pas être détournés pour effectuer d'autres tâches. Ces comptes d'administration spéciaux ne peuvent pas se connecter. Les périphériques sont protégés par des privilèges.
Systèmes de fichiers : par défaut, tous les systèmes de fichiers sont des systèmes de fichiers ZFS. La valeur umask de l'utilisateur est 022. Ainsi, lorsqu'un utilisateur crée un nouveau fichier ou répertoire, seul cet utilisateur est autorisé à le modifier. Les membres du groupe de l'utilisateur sont autorisés à lire et à effectuer une recherche dans le répertoire ainsi qu'à lire le fichier. Les connexions externes au groupe de l'utilisateur peuvent lister le répertoire et lire le fichier. Les autorisations du répertoire par défaut sont drwxr-xr-x (755). Les autorisations du fichier sont -rw-r--r-- (644).
Fichiers système : les fichiers de configuration système sont protégés par des autorisations de fichier. Seul le rôle root ou un utilisateur disposant du droit de modifier un fichier système spécifique peut modifier un fichier système.
Applets de bureau : les applets de bureau sont protégés par une gestion des droits. Par conséquent, les actions d'administration, telles que l'ajout d'imprimantes distantes dans le gestionnaire d'impression, sont limitées aux utilisateurs et aux rôles disposant de droits d'administration pour l'impression.