Când procesorul unui sistem informatic are cel puțin două moduri de operare, inclusiv un așa-numit mod de supraveghere sau kernel care nu impune restricții asupra instrucțiunilor executate și un așa-numit mod utilizator care limitează ceea ce pot face instrucțiunile și când sistemul de operare implementează această distincție prin operarea altor programe în modul utilizator și rezervarea modului de supraveghere, se spune că programele atât de restricționate fac parte din spațiul utilizatorului (în engleză, spațiul utilizatorilor ).
Această partiție între spațiul utilizatorului și spațiul kernel este elementul de bază al controlului accesului: aplicațiile de spațiu utilizator nu pot accesa, accidental sau intenționat, o zonă de memorie care nu le aparține deoarece o astfel de acțiune declanșează imediat o capcană de kernel, care trebuie să trimită un un anumit semnal către program și, în general, îl încheie.
Pentru ca acest mecanism să funcționeze, procesoarele trebuie să aibă o unitate de gestionare a memoriei (MMU) care poate fi utilizată de nucleu. Trapa este de fapt declanșată de o întrerupere hardware. Mecanismul de protecție a memoriei nu poate fi implementat eficient în software.
Nucleul în sine funcționează fără restricții, motiv pentru care trebuie construit cu mare grijă.