Dopo l'esecuzione del login da parte dell'utente iniziale, kernel, file system e applicazioni desktop sono protetti da autorizzazioni di file, privilegi e diritti dell'utente. I diritti dell'utente sono anche denominati controllo dell'accesso basato su ruoli (RBAC, Role-Based Access Control).
Protezioni del kernel: a molti daemon e comandi amministrativi vengono assegnati solo privilegi che ne consentono una corretta esecuzione. Molti daemon vengono eseguiti da account amministrativi speciali che non dispongono di privilegi root (UID=0), per evitare l'hijack ed eseguire altre attività. Tali account amministrativi speciali non possono effettuare il login. I dispositivi non sono protetti da privilegi.
File system: per impostazione predefinita, tutti i file system sono di tipo ZFS. Il valore umask dell'utente è 022, pertanto quando un utente crea un nuovo file o directory sarà il solo a disporre delle autorizzazioni per modificarli. I membri di un gruppo utente possono leggere e ricercare la directory, nonché leggere il file. I login che avvengono all'esterno di un gruppo utente possono elencare la directory e leggere il file. Le autorizzazioni della directory predefinite sono drwxr-xr-x (755). Le autorizzazioni del file sono -rw-r--r-- (644).
File di sistema: i file di configurazione del sistema sono protetti da autorizzazioni di file. Un file di sistema può essere modificato solo da un utente con ruolo root o a cui sia stato assegnato il diritto di modifica di un determinato file di sistema.
Applet desktop: gli applet desktop sono protetti dalla gestione dei diritti. Le azioni amministrative, come l'aggiunta di stampanti remote in Gestione stampa, sono pertanto limitate agli utenti e ai ruoli che dispongono di diritti amministrativi per la stampa.