人多，就會有麻煩出現，這是不可改變的定律。Drupal 7 引入不少關於 "人" 的功能。

• IP address blocking [admin/config/people/ip-blocking]
  
  可以透過 IP 來封鎖該死的人，這不是一個新功能，但簡化及核心上有改變。可惜這功能很弱，不能一次封鎖整個 IP 段，還只能每次輸入一個。難道是為了增加可用性，開發這功能給超級純用戶端的使用者？不太敢這麼想像，Drupal 不是走這種風格的，Drupal 8 應該要去除這個沒用的功能界面。現在除了很沒質素的免費主機外，還有多少是不支援 .htaccess 的 ? 建議大家要封鎖的話，直接使用 .htaccess 便可，VPS的使用者透過防火牆更好，對系統負載也有所減少。
• 加入使用者登入的暴力攻擊防護
  
  "Sorry, there have been more than 5 failed login attempts for this account"
  什麼？不用驚訝！Drupal 7 中，只要猜五次密碼不成功，就會將你的帳號鎖上。這功能原意是不錯的，可惜並沒有提供 UI 讓你修改相關的參數，也就是說，你要更改為十次不成功才封鎖，就要安裝一個模組 (Flood control)，或透過手動去修改。
  Flood control 只是提供一個界面來改動 Drupal 的系統變量，可以手動從資料庫的 variable 表或 variable_set() 來設定

  user_failed_login_ip_limit
  user_failed_login_ip_window
  user_failed_login_user_limit
  user_failed_login_user_window
  contact_threshold_limit
  contact_threshold_window
  

  但為什麼封鎖 IP 有 UI，這沒有呢 ? 可用性在哪去了 ?? 其實這樣的封鎖方法是很弱的，任何人很簡單寫程式捉取使用者列表，便可以攻擊你，雖然未必取得使用者密碼，但能使你成千上萬的使用者都要重新進行 EMAIL 驗證，這算不算安全問題就看你想法囉！
  關於密碼，Drupal 7 將使用更安全的 sha-256 算法取代 MD5，外部程式要注意這點改變。

• 取消使用者帳號
  可以設定容許特定的使用者取消自己的帳號。在帳戶設定中，更能設定取消後，使用者本來發佈的內容如何處理。這是不錯的新功能，可是大家都這麼喜歡談我的網站擁有多少用戶的商業環境，誰會隨意讓人刪除自己的帳號？你 Google 了多少次 Facebook 才能將帳號刪除?
• 管理員角色
  只想特定的人員管理某功能? Drupal 7 終於能實現了，你可以增加新角色自由設定他們的管轄範圍。說到管理者，大家可以看看此兩個模組：Admin Role、Masquerade
• 物極必反，太多管制也不是好事。在 Drupal 7 中將 Access Rules 從核心中移除，取而代之是上面那個輕量級的 IP 防護及模組：User restrictions

  

People

在 Drupal 7 中，一些Drupal 6 中的 User management 功能將移至 People 區域去。據說這是Drupal 7 IA 的設計，在概念中的 People 指的包含了註冊使用者、匿名，還有.... (好了，我搞不懂這麼抽象的理論！所以中文化若譯為使用者管理、用戶是不太對的)。

對於我們這些不懂事的人來說，就是不明白為什麼關於人的地方卻找不到相關的設定功能 ....

Drupal 7 提倡改善使用者體驗，因此在權限設定中加了說明。

除了界面的事，Druapl 在內裏也有些變化，詳細參看：

Node Access in Drupal 7