La protection d’un élément de l’arborescence repose sur trois droits d’accès qui contrôlent les trois opérations de lecture (droit r pour read), d’écriture (droit w pour write) et d’exécution (droit x pour execute). Ces trois droits (rwx) sont appliqués à trois catégories d’utilisateurs qui sont le propriétaire (u pour user), (les membres de) son groupe d’appartenance (g pour group) et les autres utilisateurs (o pour others). Les identifiants des deux premières catégories sont donnés par la commande id. Les tirets (« − ») dans les droits indiquent que ces droits ne sont pas accordés.

Le système de fichiers distingue trois catégories d’utilisateurs mais sans aucune hiérarchie entre elles. Ainsi, le contrôle des accès s’effectue en commençant par la recherche selon un ordre déterminé de la catégorie (propriétaire, groupe et les autres), et ensuite, il se poursuit par la vérification du droit concerné. Les droits d’accès pour une catégorie n’interagissent pas avec ceux d’une autre catégorie. Par exemple, si un fichier possède le droit d’exécution pour les catégories o et g mais pas pour le propriétaire, alors le propriétaire se voit refuser une demande d’exécution alors que tous les autres peuvent exécuter ce fichier.

Tout système d’exploitation a également besoin de comptes spécialisés, avec des droits importants, pour des tâches d’administration. Sous Unix, il existe un compte root dit compte du super-utilisateur (ou administrateur), caractérisé par son numéro d’utilisateur (l’UID zéro) qui lui confère les pleins pouvoirs. Pour toute action avec cette identité, le système ne contrôle pas les droits d’accès et autorise l’opération.  
 
Retour à la page de cours