Den administrativen Zugriffskontrollen, welche gelegentlich auch als logische Zugriffskontrollen bezeichnet werden, liegt das Hierarchieprinzip zugrunde. Das Unternehmen entscheidet über die Befugnisse jedes einzelnen Nutzers, indem diesen eine Position zugeteilt wird. In umfangreichen Vorschriften sind dann die jeweiligen Kompetenzen der zugeteilten Position geregelt. Im Zugriffskontrollmodell wird festgelegt, welche Kriterien in den Zugriffsschutz mit aufgenommen werden. Ein solches Modell kann beispielsweise Benutzer, Prozesse, Zugriffskontrolllisten, Risikoklassen, Gruppen oder Rollen zuteilen.
Die Modelle dienen zur Organisation für die Nutzung technischer Geräte. Das verbreitete System ist das sogenannte Rollenmodell: der Betrieb legt fest, welche Rollen unter den Mitarbeitern getrennt werden müssen, welche Eigenschaften eine Person für die Zugangsberechtigung erfüllen muss und wie diese Eigenschaften regelmäßig überprüft und wieder entzogen werden können.