En el mundo *NIX -por ejemplo Linux- los permisos de acceso a ficheros se controlan -sin entrar en ACLs- por medio de las maścaras de permisos de usuarios y grupos.

El funcionamiento parece bastante intuitivo; cada usuario o tiene o no tiene un determinado tipo de permiso (escritura, lectura, ejecución) sobre un determinado fichero, en función de si el fichero es propiedad del usuario, o si el usuario es miembro del grupo al que pertenece el fichero, o ninguna de las dos.

Lo que no suele ser tan intuitivo, es que los grupos pueden ser tanto grupos de usuarios como grupos de ficheros. De hecho, el uso más común de los grupos es este segundo.

Grupos positivos (~ de ficheros)

Por ponerle algún nombre, se podría considerar "positivos" o "aditivos" a los grupos que añaden permisos a usuarios que de otra forma no los tendrían sobre determinados ficheros.

Ejemplo: rwxr-x--x evaristo informes

Un usuario "marta" no podría leer el contenido del fichero sino sólo ejecutarlo, de forma que al añadirle al grupo "informes" ya podría leerlo, aunque sólo evaristo podría modificarlo.

Desde este punto de vista, cada usuario tendría acceso a todos los ficheros cuyo grupo fuese cualquiera de aquellos a los que perteneciese el usuario.

Grupos negativos (~ de usuarios)

En vez de usarlos para añadir permisos, los grupos también pueden servir para quitarlos.

Ejemplo: rwx---r-- evaristo usuarios

Dado que los permisos se evalúan en la primera coincidencia de usuario, grupo u otros (por este orden), un usuario "marta" que perteneciese al grupo "usuarios" no podría leer este fichero del usuario "evaristo". Sin embargo, usuarios como "apache" -no perteneciente al grupo "usuarios" sino tal vez al de "demonios"- sí podrían acceder en modo lectura a este fichero.

Visto de esta forma, se pueden crear grupos de exclusión mutua de usuarios pertenecientes a ellos, permitiendo el acceso sólo a los propietarios y a todos los demás usuarios (demonios, auditoría, etc.).

Para controlar correctamente las reglas de exclusión, y aunque suene un poco contradictorio, cada usuario debe pertenecer a todos los grupos de los que deba estar excluido.

Grupos mixtos (zanahoria y palo)

También es posible mezclar ambas interpretaciones de los grupos, permitiendo a los usuarios miembros acceder a determinados ficheros pero al mismo tiempo excluyendo el acceso mutuo a otros.

Se puede interpretar esta estrategia como un "algo a cambio de algo"; permitir acceder a determinadas herramientas o documentos, a cambio de ser excluido del acceso a los datos de los demás usuarios con acceso a esas mismas herramientas o documentos.

No es la mejor estrategia para gestionar un sistema fácilmente mantenible, pues normalmente es recomendable mantener los grupos de adición y de exclusión separados para tener una mayor claridad en la gestión, pero no deja de ser una posibilidad en un momento concreto.