Discreționar Access Control model (DM) se bazează pe furnizarea accesului la obiectele de proprietarii acestor obiecte.
Pentru fiecare pereche de subiect-obiect stabilește o listă a drepturilor subiectului la obiect. Decizia cu privire la propunerea sau refuzul de acces depinde de obiectul solicitat pentru utilizator. De exemplu, pentru fișierele de pe un dispozitiv extern, o listă de acțiuni posibile pot include: citi, scrie, redenumi, șterge, creați sau modificați informațiile contului. Pentru un pachet de rețea: interzicerea sau autorizarea unui pachet prin intermediul interfeței pachetului de rețea.
Un set de reguli, de obicei ia forma unui tabel de control al accesului. Pentru fiecare proprietar de utilizator obiect set are un drept nelimitat de a schimba atributele de acces ale obiectelor create sau care îi aparțin.
Pentru o descriere a matricei de acces utilizat permisiuni succesorale individuale sau de grup din obiectul părinte sau desemnat în mod individual de către proprietar.
permisiuni de grup pot reduce costurile pentru configurația de stocare, de control al accesului, și simplifica administrarea. În plus, permisiunile de grup sunt mai fiabile, deoarece acestea sunt mai mici decât individul și mai ușor de a le controla în mod corect dacă modificați drepturile de acces.
permisiunile de acces direct sugerează că atribuirea de atribute de control al accesului se realizează de fiecare dată când este creat utilizatorul.
Listele UD (ACL) sunt de obicei utilizate pentru descrierea formală a normelor de control al accesului în modelele discreționare.
ACL-obiect Fiecare element conține un drept de acces la obiect, inclusiv: individuală, directă și moștenită.