ACL 是用于强制执行访问控制的机制。本节介绍如何从域的访问控制策略中导出 ACL。下一节将介绍 ACL 的作用方式。

ACL 是为每一对象类型、状态和域而生成的。如果给定的对象与 ACL 关联，则该 ACL 的域、类型和状态均与对象的相应部分相匹配。例如，给定域内处于给定生命周期状态的所有 WTDocument 对象，都与同一 ACL 关联。另外，此 ACL 与在同一域中、并与 WTPart 对象关联的 ACL 是不同的。

对象的 ACL 是通过组合所有应用于该对象的类型、状态和域的规则而获得的。为了使这个定义更加准确，有必要说明这些规则是如何组合的以及规则何时应用于类型。

如果访问控制规则中涉及的对象类型是给定类型本身或其原型类型之一，该规则就可应用于该类型。例如，如果 IncidentReport 是 WTDocument 的子类型，则应用于 WTDocument 类型的规则也将应用于事件报告。

通过合并具有相同权限类型和参与者的规则，可将应用于某种类型的规则加以组合。通过计算结论中所有权限的并集，来执行该合并。

例如，考虑合并以下规则：

如果将这些规则组合，将为“自行车生产”上下文内 /Parts 域中处于 InWork 状态的事件报告生成以下 ACL 条目：