Các chính sách kiểm soát truy nhập tuỳ ý DAC quản lý sự truy nhập của ngời dùng tới các đối tợng căn cứ vào định danh và quyền của ngời dùng hoặc các luật đợc đặc tả cho mỗi ngời dùng hoặc nhóm ngời dùng và cho mỗi đối tợng trong hệ thống và dựa vào các phơng thức truy nhập mà ngời dùng đợc
phép trên đối tợng, ví dụ: đọc, ghi, thực hiện. Mỗi một yêu cầu truy nhập vào một đối tợng đều đợc kiểm tra dựa trên các quyền đã đợc đặc tả. Nếu tồn tại một khai báo quyền ngời dùng đợc truy nhập đối tợng trong một phơng thức truy nhập cụ thể, thì truy nhập là đợc phép, ngợc lại thì bị từ chối.
Kiểm soát truy nhập tuỳ ý có tính linh hoạt cao, nên chúng phù hợp với nhiều loại hệ thống và ứng dụng. Do vậy chúng đã đợc sử dụng rộng rãi trong trong nhiều phơng thức cài đặt, đặc biệt là trong môi trờng thơng mại và công nghiệp.
Nhợc điểm của các chính sách kiểm soát truy nhập tuỳ ý là chúng không cung cấp sự đảm bảo an toàn về luồng thông tin trong một hệ thống. Nó dễ dàng bỏ qua những sự hạn chế về truy nhập đợc khai báo thông qua các quyền. Chẳng hạn, một ngời dùng đợc phépđọc dữ liệu thì có thể đa dữ liệu đó cho các ngời dùng khác không đợc cấp quyền bất chấp ngời sở hữu, dữ liệu có cho phép hay không. Xảy ra điều này vìchính sách iểm soát truy nhập tuỳ ý không áp đặt bất kỳ một sự k hạn chế nào trong việc ngời dùng sử dụng thông tin một khi ngời dùng này đã , nhận đợc nó, tức là không có sự kiểm soát trong việc truyền bá thông tin. Nhợc điểm này đã đợc khắc phục trong kiểm soát truy nhập bắt buộc bằng cách ngăn không cho thông tin đợc lu trữ ở các đối tợng mức cao lan truyền xuống các đối tợng mức thấp.