Bij MAC worden beslissingen over toegangscontrole door het systeem zelf genomen, op basis van vooraf gedefinieerde regels en beveiligingslabels die verband houden met zowel onderwerpen (gebruikers of processen) als objecten (bestanden, mappen, enz.). De eigenaar van het object heeft geen bevoegdheid om deze door het systeem gedefinieerde regels te negeren. Dit in tegenstelling tot discretionaire toegangscontrole (DAC), waarbij de eigenaar anderen toegang kan verlenen of weigeren. Het systeembeleid, vaak geïmplementeerd via een beveiligingskernel, bepaalt welke toegang is toegestaan. Voorbeelden van MAC-systemen zijn onder meer systemen die beveiligingslabels gebruiken, zoals die in het Bell-LaPadula-model.