Что значит мандатное управление доступом? Вопрос связаное с администрированием.

вообще без чтения документации всё равно не обойтись.

По-простому - управление доступом субъекта к объекту на основе метки/меток уровня (в самом простом случае: низкий, средний, высокий). При этом, к примеру субъект у которого высокий маркер не запишет информацию в файл/окно/и.т.д. в объект у которого низкий маркер. Писать можно только в свой уровень и возможно выше. Читать - только с уровней от своего ко всем нижним. Таким образом информация помеченная высоким уровнем не должна попасть на чтение к тем, у кого уровень доступа низкий и наоборот те, у кого высокий маркер могут получить доступ ко всей информации - своего рода КГБ/АНБ...

Дискреционное(избирательное) управление доступом[DAC] - каждый владелец объекта (например файла) сам выбирает права доступа к этому объекту.

Мандатное(принудительное) управление доступом[MAC] - доступ к объектам (например файлам) выбирается на основе политики безопасности.

Например, последние redhat-ы поставляются с системой SELinux и дефолтной политикой targeted, которая определяет правила доступов для определенных ресурсов (apache, samba и т.п.) и таким образом реализует MAC. Это например значит, что ты сможешь запустить apache под root-ом, но он всё равно не сможет читать/писать дальше /var/www потому что это запрещено политикой.

Одна из моделей.

Вообще в идеале, запись не должна быть запрещена в объект с более низким уровнем секретности. Запись должна просто повышать его уровень. В идеале до наследовать уровень. В частности, если ты копируешь данные из документа с таким же уровнем секретности, и вставляешь в аналогичный, он не должен изменяться. А если данные из документа с более высоким уровнем - должен повышаться до него. Т.е. на практике тебе даже за буфером надо таскать метку уровня, а не так как в МСВС...

Смысл мандатного в том, чтобы субъект не смог скопипастать секретную информацию из секретного документа, к которому он имеет доступ, в несекретный документ, из конфиденциального хранилища в общедоступное и т.п.

При обычном избирательном контроле доступа более привилегированный пользователь может намеренно или случайно разослать то, что не следует, тем, кому это знать не положено.