Te estás topando con uno de los secretos sucios de infosec: MAC y DAC son básicamente lo mismo. Ambos proporcionan control de acceso, solo tienen conceptos diferentes de lo que son "usuario", "administrador" y "recurso". Hay una razón por la que el MAC no se hizo popular hasta la edad de las computadoras administradas por personas que en realidad no las usan: en un mainframe multiusuario, las ACL de DAC establecidas por root se parecen mucho a MAC en la práctica.
A la inversa, tome un ejemplo de un sistema MAC "puro" de última generación: los perfiles de cinturones de seguridad de Apple, basados en el MAC de BSD, se utilizan en iOS para evitar que incluso el propietario del dispositivo se ejecute cualquier cosa fuera de una caja de arena. Los permisos reales en este caso los proporcionan los "derechos": archivos XML con una lista de permisos firmados por Apple e incluidos en el binario. En este sistema, Apple es el administrador de MAC. Nadie tiene problemas para llamar a este MAC, aunque se parece mucho más a DAC en sus propios modelos de ingeniería, donde firman un código mágico para que puedan romper las reglas.
La diferencia real entre los sistemas MAC y DAC es que los sistemas MAC generalmente tienen una noción más completa de los recursos a los que se controla el acceso. DAC generalmente no le impedirá abrir un socket de red; MAC podría. MAC podría prevenir IPC; DAC probablemente no lo hará. Las llamadas al sistema permitidas son bastante granulares en MAC, no tanto en DAC.
Por supuesto, puede obtener muchos de los mismos efectos al dividir los programas en cuentas de usuario individuales y usar DAC, porque MAC y DAC son fundamentalmente homomorfos. Solo difieren en las filosofías con las que se alinean mejor.