Атрибуты доступа могут назначаться для любого пользователя или группы. Пользователь может входить в одну или несколько групп. В системе есть одна служебная группа «ВСЕ» (права по умолчанию), в которую входят все пользователи сразу же после создания учётной записи (включать пользователя в эту группу принудительно НЕ НАДО).

Если у пользователя заданы собственные атрибуты доступа (разрешающие или запрещающие) к какому либо объекту защиты, то именно эти атрибуты будут использоваться при работе с данными.

Если у пользователя атрибуты доступа НЕ ЗАДАНЫ, то проверяются атрибуты доступа, назначенные для групп, в которые входит данный пользователь. Если пользователь входит в несколько групп, то использован будет максимальный (разрешающий) атрибут, выбранный из этих групп.

Если пользователь не входит ни в одну из групп, или ни у одной из его групп атрибуты не заданы и НЕ ЗАДАНЫ также его собственные атрибуты доступа, то будут использоваться права по умолчанию (атрибуты группы «Все»).