El control de acceso obligatorio (MAC) es un enfoque de seguridad del sistema en el que un administrador establece controles de acceso y el sistema los aplica, sin permitir que los usuarios anulen la configuración de seguridad. Esta puede ser una forma más agresiva de controlar el acceso a un sistema y puede usarse en situaciones donde las computadoras contienen datos confidenciales o potencialmente comprometedores. El sistema decide qué usuarios, procesos y dispositivos deben tener acceso a qué áreas, y lo aplica en todos los ámbitos.

Un administrador del sistema puede usar pautas de control de acceso obligatorias preestablecidas basadas en perfiles de usuario, y también puede agregar medidas al sistema. Esto permite a los administradores ajustar el acceso dentro de un sistema. Una vez que se implementan estas configuraciones, solo el administrador puede anularlas. El sistema no puede otorgar acceso a una entidad sin la autorización adecuada, incluso si intenta anular la configuración. Esto cubre no solo a los usuarios de computadoras, sino también a todos los dispositivos y procesos conectados al sistema.

Esto contrasta con otro enfoque, conocido como control de acceso discrecional. En este modelo, los usuarios pueden anular la configuración de seguridad; por ejemplo, un usuario podría decirle a un directorio que muestre todos los archivos ocultos, y tendría que hacerlo. Esto es menos seguro, ya que los usuarios pueden decidir cuánto acceso deben tener. Si encuentran barreras de acceso, simplemente pueden evitarlas, en lugar de ser repelidos desde un área donde no deberían estar, como bajo el control de acceso obligatorio.

Para un sistema de alta seguridad, el control de acceso obligatorio es muy importante. Dichos sistemas se basan en controles para mantener la seguridad y la confidencialidad de la información. Las agencias gubernamentales, las compañías financieras y otras organizaciones que mantienen datos complejos y personales deben mantenerlos seguros. A veces, esto es obligatorio según la ley, y estas organizaciones deben poder proporcionar pruebas de los controles de acceso y otras medidas para proteger sus datos cuando los inspectores y auditores se lo soliciten.

En otros entornos, el control de acceso obligatorio puede no ser necesario, pero puede ser útil. Los administradores pueden usarlo para mantener a los usuarios fuera de las ubicaciones donde no necesitan estar, y para evitar problemas como cambios involuntarios de configuración realizados por usuarios que no conocen el sistema informático. En una situación en la que varias personas usan una sola terminal de computadora, el control de acceso obligatorio puede evitar actividades no autorizadas. También puede limitar las oportunidades de enviar datos a dispositivos o procesos periféricos en un intento de evitar medidas de seguridad.