Каждому пользователю и группе пользователей присваиваются локалыные идентификаторы: UID, EUID, GUID, GID.
Любой процесс, запускаемый пользователем после завершения аутидентефикации, автоматически приобретает атрибуты: UID, GID, описывающие данного пользователя в ОС.
Каждый объект, в том числе и внешнее устройство, и порты вв/выв представляются в системе в виде файла, и в общем случае содержат права доступа для записи и т.д. Кроме этого, для каждого объекта определены UID и GID, присвоенные от порождающих их процессов в момент создания.
Разрешения доступа для каждого объекта хранятся в специальных служебных атрибутах файловой системы (индексные дескрипторы и т.д.)
При обращении процесса к файлу или устройству идентификаторы UID и GID из таблицы процесса сравниваются с соответствующими значениями индексного дескриптора.
Для разрешения модели защиты при работе не привилегированных пользователей с критичными данными системы в программах могут быть назначены специальные идентификаторы (EUID и GUID). Программы, запускаемые непривилегированным пользователям, получают права доступа к ресурсам, установленные для владельцев этих программ.
Программы, которые назначены UID, GID реализуют модель программного шлюза, т.к. позволяют выполнять доступ к отдельным элементам файла без представления доступа ко всему файлу.