Mặc dù ma trận thể hiện tốt các trạng thái cấp quyền, nhưng nó không thích hợp cho việc thực thi. Trong một hệ thống thông thường, ma trận truy cập thường lớn về kích thước và thưa thớt. Lưu trữ ma trận là mảng hai chiều vì thế rất lãng phí ô nhớ. Có 3 chiến lược để thực thi ma trận truy cập:
Bảng cấp quyền (Authorization Table): các đầu vào không rỗng của ma trận được lưu trong bảng với 3 cột tương ứng là chủ thể, hành động, đối tượng. Mỗi bộ trong bảng tương ứng với một cấp quyền. Bảng cấp quyền thường được sử dụng trong hệ quản trị cơ sở dữ liệu, với các quyền được lưu trữ như các catalog (bảng quan hệ) của cơ sở dữ liệu (Hình 3.2 (a)).
Danh sách khả năng (Capability List - CL): Ma trận được lưu trữ thành hàng các chủ thể, mỗi chủ thể có một danh sách con trỏ hỗ trợ được gọi là danh sách capability, trỏ đến mỗi đối tượng, sự truy cập mà người dùng đó được phép để thực hiện trên đối tượng (Hình 3.2 (b)).
Danh sách điều khiển truy cập (Access Control List - ACL): Ma trận được lưu trữ thành các cột. Mỗi đối tượng được hỗ trợ một danh sách con trỏ, trỏ đến mỗi chủ thể, mỗi hành vi mà chủ thể có thể thực hiện trong đối tượng đó (Hình 3.2 (c)).
Các CL và ACL thể hiện một số ưu và nhược điểm cùng với các mặt của điều khiển và quản lý cấp quyền. Với ACL, ngay lập tức kiểm tra được sự cấp quyền trong một đối tượng, trong khi tìm kiếm tất cả các cấp quyền của một chủ thể đòi hỏi việc kiểm tra ACL cho mọi đối tượng. Tương tự với CL, có thể quyết định quyền của một chủ thể, trong khi tìm kiếm tất cả mọi truy cập thực hiện trong một đối tượng đòi hỏi việc kiểm tra tất cả các khả năng khác.