Autentimisele järgneb süsteemis juurdepääsukontroll. Juurdepääsukontroll määrab ära kas ja millistele spetsiifilistele süsteemiressurssidele on kasutajal juurdepääsuõigus ja mis tasemel on juurdepääsuõigus subjektile lubatud.Arvutisüsteem sisaldab erinevaid objekte, mis vajavad kaitset. Need objektid võivad olla riistvara nagu protsessor, põhimälu, massmäluseadmed, printerid, võivõib see olla ka tarkvara nagu protsess, fail, andmebaas võisemafor.
Igal objektil on unikaalne nimi, mille kaudu temale viidatakse ja komplekt operatsioone, mida protsessid saavad objektiga teostada. Näiteks failil on lugemis- ja kirjutamisõigused.
Arusaadavalt on vaja vahendit, millega keelata protsesside juurdepääs objektidele, millele juurdepääsuks neil õiguseid pole. Peale selle peab see mehhanism võimaldama piirata protsesside õigused objektil mingi operatsioonide komplektiga, mida antud objektil saab teostada.
Kaitsemehhanismidega seoses tuleb selgitada mõistet kaitsedomeen. See on struktuur mis määratleb igale protsessile (või üldiselt igale aktiivsele üksusele, kelleks võib olla ka kasutaja) komplekti kaitseõigusi. Iga kaitse õigus on esindatud paariga (ressurss, õiguste komplekt) ja sisaldab ressurssi, millele protsessil on ligipääs ja komplekti lubatud operatsioone, mida protsess võib täita sellel ressursil.
Oluline küsimus on kuidas süsteemis kajastada, millisesse kaitsedomeeni mingi objekt kuulub. Põhimõtteliselt saab kaitsedomeeni rakendada kaitsemaatriksit kasutades. Selle maatriksi read esindavad kaitsedomeene ja veerud esindavad ressursse. Igas lahtris on komplekt õiguseid, mida antud kaitsedomeen võib konkreetse objektiga teostada.

Domeen	FailA	FailB	FailC	Printer D	Dom. 1	Dom. 2	Dom. 3
1	Lugemine		Lugemine Käivitamine	Kirjutamine		Ümber-lülitu-mine
2		Lugemine			Ümberlülitumine
3	Lugemine Kirjutamine			Kirjutamine

Joonis 2‑15. Kaitsemaatriks (Allikas: Learning Materials for Information Technology Professionals (EUCIP-Mat))

Kaitsedomeen võib ka ise olla kaitsemaatriksi objekt, millega tehakse võimalikuks muuta protsessil enda õiguseid ja lülituda ümber teise kaitsedomeeni. Toodud näites võib protsess, mis kuulub kaitsedomeeni 1, lülituda kaitsedomeeni 2.

Reaalses süsteemis ei kasutata kaitsemaatriksit sellisel kujul, kuna see on praktikas tohutult suur. Enamus kaitsedomeene ei oma mingeid õiguseid enamikule objektidele. Seega oleks mõttetu salvestada väga suurt ja enamasti tühja kaitsemaatriksit. Praktikas salvestatakse kaitsemaatriks kas ridade või veergude järgi ja salvestatakse vaid infot sisaldavad elemendid. Kui salvestada veergude järgi siis saame iga objekti kohta nimekirja, mis sisaldab kõiki kaitsedomeene, millel on õigus selle objektiga seoses ja õiguste liigi. Seda nimekirja nimetatakse juurdepääsunimekirjaks - ACL (Access Control List). See sisaldab loetelu protsessidest (või üldisemalt aktiivsetest üksustest), millel on lubatud juurdepääs ressursile ja iga protsessi puhul loetelu operatsioonidest, mida sellel protsessil on lubatud teostada.

 

Joonis 2‑16. Juurdepääsunimekirja rakendamine ressursidele (Allikas: Learning Materials for Information Technology Professionals (EUCIP-Mat))

Joonisel on toodud 3 protsessi, mis kuuluvad erinevatesse kaitsedomeenidesse. Igal ressursil on oma juurdepääsunimekiri. Ressurss R1 juurdepääsunimekiri ütleb, et protsess P1 võib seda ressurssi lugeda ja kirjutada ja protsess P2'l on vaid lugemisõigus, jne.

Kui salvestada kaitsemaatriks ridade järgi saame nimekirja protsessidest koos objektide loeteluga, millele neil on juurdepääs ja millised operatsioonid on lubatud. Seda nimekirja nimetatakse võimekuste loetelu (Capability List) ja selle loetelu kirjed on võimekused (Capabilities).

Joonis 2‑17. Võimekuste loetelu rakendamine protsessidele (Allikas: Learning Materials for Information Technology Professionals (EUCIP-Mat))

Võimekuste loetelu on seotud protsessiga (või üldisemalt aktiivse üksusega). Loetelu sisaldab nimekirja ressurssidest, millele protsessil on lubatud ligipääs, ning iga ressurssi juures on loetelu operatsioonidest, mida sellel protsessil on lubatud teostada.

Tuleb märkida, et pääsuloendid või võimekuste loend on hallatud operatsioonisüsteemi kernelirežiimis.

Erinevad tuntud poliitikad juurdepääsuõiguste määramisel on järgmised:

• Valikuline juurdepääsukontroll (Discretionary Access Control) - baseerub juurdepääsu nõudva subjekti tuvastamisel ja juurdepääsunimekirjade kasutamisel. See võimaldab subjektil määrata mingile ressursile ise juurdepääsuõiguseid enda valitud identiteetidele.
• Kohustuslik pääsukontroll (Mandatory Access Control) -OS'i poolt kehtestatud juurdepääsuõiguste komplekt subjektile, milleks on praktikas enamasti portsess või lõim. Subjekt ei saa õiguseid edasi määrata.
• Rolli-baasil juurdepääsukontroll (Role-Based Access Control) - kasutajale tema rolli järgi määratud juurdepääsuõigused süsteemis.