Obowiązkowa kontrola dostępu (MAC) to podejście do bezpieczeństwa systemu, w którym administrator ustawia kontrolę dostępu, a system wymusza je, nie pozwalając użytkownikom na zmianę ustawień zabezpieczeń. Może to być bardziej agresywny sposób kontrolowania dostępu do systemu i może być stosowany w sytuacjach, gdy komputery zawierają poufne lub potencjalnie zagrażające dane. System decyduje, którzy użytkownicy, procesy i urządzenia powinni mieć dostęp do jakich obszarów, i wymusza to na wszystkich poziomach.
Administrator systemu może korzystać z ustalonych obowiązkowych wytycznych kontroli dostępu opartych na profilach użytkowników, a także dodawać środki do systemu. Pozwala to administratorom na precyzyjne dostrojenie dostępu w systemie. Po zaimplementowaniu tych ustawień tylko administrator może je zmienić. System nie może przyznać dostępu podmiotowi bez odpowiedniego zezwolenia, nawet jeśli próbuje obejść ustawienie. Obejmuje to nie tylko użytkowników komputerów, ale także wszelkie urządzenia i procesy podłączone do systemu.
Kontrastuje to z innym podejściem, znanym jako uznaniowa kontrola dostępu. W tym modelu użytkownicy mogą nadpisać ustawienia zabezpieczeń; na przykład użytkownik może powiedzieć katalogowi, aby wyświetlał wszystkie ukryte pliki, i musiałby to zrobić. Jest to mniej bezpieczne, ponieważ użytkownicy mogą decydować, jaki zakres dostępu powinni mieć. Jeśli napotkają bariery dostępu, mogą po prostu obejść je, zamiast być odpychanym z obszaru, w którym nie powinny być, jak w przypadku obowiązkowej kontroli dostępu.
W przypadku systemu o wysokim poziomie bezpieczeństwa bardzo ważna jest obowiązkowa kontrola dostępu. Takie systemy opierają się na kontrolach w celu utrzymania bezpieczeństwa i poufności informacji. Agencje rządowe, firmy finansowe i inne organizacje, które przechowują złożone i osobiste dane, muszą je chronić. Czasami jest to wymagane przez prawo, a organizacje te muszą być w stanie przedstawić dowód kontroli dostępu i innych środków w celu ochrony ich danych, gdy zostaną o to poproszeni przez inspektorów i audytorów.
W innych ustawieniach obowiązkowa kontrola dostępu może nie być wymagana, ale może być pomocna. Administratorzy mogą go używać, aby trzymać użytkowników z dala od lokalizacji, w których nie muszą się znajdować, i zapobiegać problemom, takim jak nieumyślne zmiany ustawień dokonywane przez użytkowników, którzy nie mają wiedzy na temat systemu komputerowego. W sytuacji, gdy z jednego terminala komputerowego korzysta wiele osób, obowiązkowa kontrola dostępu może zapobiec nieuprawnionym działaniom. Może również ograniczyć możliwości wysyłania danych do urządzeń peryferyjnych lub procesów w celu obejścia środków bezpieczeństwa.