Sobald der erste Benutzer angemeldet ist, werden Kernel, Dateisystem, Systemdateien und Desktopanwendungen durch Dateiberechtigungen, Berechtigungen und Benutzerrechte geschützt. Benutzerrechte werden auch als rollenbasierte Zugriffskontrolle (Role-Based Access Control, RBAC) bezeichnet.
Kernel-Schutz – Viele Dämonen und administrative Befehle werden nur die für die erfolgreiche Ausführung erforderlichen Berechtigungen zugewiesen. Viele Dämonen werden über spezielle Verwaltungskonten ausgeführt, die nicht über root (UID=0)-Berechtigungen verfügen, damit sie nicht aufgrund eines Hijacking-Angriffs andere Aufgaben ausführen. Eine Anmeldung mit diesen speziellen Verwaltungskonten ist nicht möglich. Geräte sind durch Berechtigungen geschützt.
Dateisysteme – Alle Dateisysteme sind standardmäßig ZFS-Dateisysteme. Da der umask-Wert des Benutzers 022 lautet, kann eine Datei oder ein Verzeichnis, die der Benutzer erstellt hat, nur durch ihn selbst geändert werden. Mitglieder der Gruppe des Benutzers sind berechtigt, das Verzeichnis zu lesen und zu durchsuchen sowie die Datei zu lesen. Angemeldete Benutzer, die nicht zur Gruppe des Benutzers gehören, können das Verzeichnis auflisten und die Datei lesen. Die Standardverzeichnisberechtigungen sind drwxr-xr-x (755). Die Dateiberechtigungen sind -rw-r--r-- (644).
Systemdateien – Die Konfigurationsdateien des Systems werden durch Dateiberechtigungen geschützt. Eine Systemdatei kann nur über die root-Rolle oder durch einen Benutzer, dem das Recht zur Bearbeitung eines bestimmten Dateisystems zugewiesen wurde, geändert werden.
Desktopapplets – Desktopapplets werden durch Rechteverwaltung geschützt. Administrative Aktionen wie das Hinzufügen von Remote-Druckern in Print Manager sind daher nur Benutzern und Rollen gestattet, die Admin-Rechte zum Drucken besitzen.