Podmiot zabezpieczeń to dowolny użytkownik lub podmiot, który może uzyskać dostęp do komputera i zostać zidentyfikowany za pomocą nazwy użytkownika i hasła lub innej metody uwierzytelniania. Istnieją dwie główne jednostki zabezpieczeń: człowiek i inny system komputerowy. Poza ułatwieniem uwierzytelniania, użycie podmiotu umożliwia przyznanie uprawnień każdemu podmiotowi, który umożliwia lub odmawia użytkownikowi wykonywania czynności, takich jak otwieranie i zmienianie dokumentu. Aby ułatwić administratorom ustawianie poziomów uprawnień, można zgrupować razem wiele podmiotów zabezpieczeń, a prawa można nadawać lub odbierać całej grupie.
Gdy ktoś loguje się do systemu komputerowego, większość komputerów uwierzytelnia podmiot zabezpieczeń, aby upewnić się, że jest prawdziwy. Najprostszym sposobem na to jest nadanie zleceniodawcy nazwy użytkownika i hasła, ale mogą istnieć bardziej zaawansowane metody uwierzytelniania, takie jak sprawdzenie protokołu internetowego (IP), klucza publicznego i podpisu cyfrowego zleceniodawcy. Uwierzytelniając zleceniodawcę, komputer rozumie, że zleceniodawca może uzyskać dostęp do systemu.
Każdemu podmiotowi zabezpieczeń nadawane są określone prawa, w zależności od tego, jak administrator konfiguruje system. Uprawnienia podstawowe pozwalają jedynie zleceniodawcy na otwieranie dokumentów i ewentualnie na dokonywanie prostych modyfikacji w dokumentach. Bardziej zaawansowane uprawnienia umożliwiają zleceniodawcy dokonywanie złożonych modyfikacji i dostęp do sekcji systemu komputerowego, które w inny sposób są ograniczone.
Podmiotem zabezpieczeń jest zazwyczaj człowiek lub inny komputer. Bez względu na to, jakie prawa są nadane użytkownikowi, niezależnie od tego, czy jest użytkownikiem podstawowym, czy administratorem, nadal jest uważany za podmiot zabezpieczeń. Większość sieci komputerowych ma dołączone do nich inne komputery i systemy cyfrowe, ponieważ komputery te dodają dodatkowe funkcje lub wykonują zadania niezbędne do utrzymania sieci. Aby uwierzytelnić i przyznać prawa komputerom, muszą one być wyznaczone jako podmioty zabezpieczeń.
Chociaż administrator może przejrzeć każdy podmiot zabezpieczeń i określić, jakie prawa ma podmiot, może to zająć wiele godzin w dużych sieciach. Aby ułatwić to zadanie, do określonej grupy, która ma prawa domyślne, można dodać podmiot zabezpieczeń. Na przykład, jeśli nowy użytkownik otrzyma zleceniodawcę i zostanie przypisany do grupy menedżerów, to automatycznie otrzyma wszystkie uprawnienia związane z byciem menedżerem. Grupowanie niewiele pomaga w uwierzytelnianiu; ma to głównie na celu pomoc administratorowi w nadaniu uprawnień.