Cuentas de usuario inicial y de rol root: la cuenta de usuario inicial puede iniciar sesión desde la consola. A esta cuenta se le asigna el rol root. La contraseña para el usuario inicial y las cuentas root es idéntica en la instalación.
Después del inicio de sesión, el usuario inicial puede asumir el rol root para configurar más el sistema. Cuando el usuario asume el rol, se le solicita que cambie la contraseña root. Ningún rol puede iniciar sesión de manera directa, ni siquiera el rol root.
Al usuario inicial se le asignan valores predeterminados del archivo /etc/security/policy.conf. Entre los valores predeterminados se incluyen el perfil de derechos del usuario de Solaris básico y el perfil de derechos del usuario de la consola. Estos perfiles de derechos permiten a los usuarios leer y escribir en un CD o DVD, ejecutar cualquier otro comando en el sistema sin privilegios, y detener y reiniciar el sistema cuando están en la consola.
También se asigna a la cuenta de usuario inicial el perfil de derechos del administrador del sistema. Por lo tanto, sin asumir el rol root, el usuario inicial tiene algunos derechos administrativos, como el derecho de instalación de software y el de gestión del servicio de nombres.
Requisitos de contraseña: las contraseñas de los usuarios deben tener seis caracteres como mínimo y deben tener al menos dos caracteres alfabéticos y un carácter no alfabético. En las contraseñas, se aplica el algoritmo hash SHA256. Cuando cambian la contraseña, todos los usuarios, incluso el rol root, deben cumplir con estos requisitos de contraseña.
Acceso a la red limitado: después de la instalación, el sistema queda protegido de la intrusión por medio de la red. El usuario inicial tiene permitido efectuar un inicio de sesión remoto mediante una conexión cifrada y autenticada con el protocolo ssh. Este es el único protocolo de red que acepta los paquetes entrantes. La clave ssh está envuelta por el algoritmo AES128. Con la autenticación y el cifrado establecidos, el usuario puede acceder al sistema remoto sin intercepción, modificación ni falsificación.
Intentos de inicio de sesión registrados: el servicios de auditoría se activa para todos los eventos de login/logout (inicio de sesión, cierre de sesión, cambio de usuario, inicio y cierre de una sesión ssh y bloqueo de pantalla) y para todos los inicios de sesión que no se pueden atribuir (con errores). Dado que el rol root no puede iniciar sesión, se registra el nombre del usuario que está actuando como root en la pista de auditoría. El usuario inicial puede revisar los registros de auditoría con un derecho concedido mediante el perfil de derechos del administrador del sistema.