用户是网站的受众，也是网站内容的贡献者。现在大多数的网站都支持用户注册。Drupal适合构建从个人网站到社区驱动的网站（community-driven），是一个多用户系统，支持用户注册和身份验证，并具有维护个人信息的功能。

管理员可以通过后台管理的“用户管理”功能查看当前网站的全部用户，并可批量更新用户状态、按排用户角色或删除用户。Drupal采用 “基于角色的访问控制”的权限管理机制。角色可以理解为一个用户组，组内的成员具有相同的对网站的访问和操作权限。每个用户可以同时具有一个或多个角色。在后台可以管理 “用户角色（User Roles）”和“权限（Permission）”。管理员在后台管理的角色管理中可根据网站需求增加角色，如如普通管理员、新闻发布者、站点维护者等。但Drupal中有两个预先定义的角色不能被更改：

• 匿名用户（Anonymous User）：未注册用户或已注册但未同过审核的用户；
• 认证用户（Authenticated User）：已注册并同过审核的用户。

每个权限项，如创建节点（Create Story Node）等权限，是由模块提供的，使用钩子函数hook_perm在模块中定义。权限不能在后台管理中手动创建。