Die Zugangswege Dialog und Batchauftrag können mit Guards geschützt werden. Der Zugang ist in diesem Fall nur dann erlaubt, wenn die Zugriffsbedingungen im entsprechenden Guard erfüllt sind. Das Subjekt, für das die Zugriffsbedingungen geprüft werden, hängt davon ab, ob persönliche Identifizierung verlangt ist oder nicht (siehe „Persönliche Identifizierung").
Die beiden Instanzen systemglobaler Benutzerverwalter und Gruppenverwalter haben folgende Möglichkeiten, den Zugriffsschutz mit Guards zu verwalten:
der System-Benutzerverwalter kann GUARDS unter seiner eigenen Benutzerkennung anlegen, verwalten und zum Zwecke der Zugangskontrolle an alle Benutzerkennungen zuweisen.
der Gruppenverwalter kann GUARDS unter seiner eigenen Benutzerkennung anlegen, verwalten und zum Zwecke der Zugangskontrolle an die Mitglieder seine Gruppen zuweisen.
Handelt es sich bei einer der genannten Instanzen um eine Kennung mit dem Privileg GUARD-ADMINISTRATION, kann diese Guards unter beliebigen Benutzerkennungen anlegen, verwalten und zum Zwecke der Zugangskontrolle an die von ihr verwalteten Benutzerkennungen zuweisen.
Berechtigt zur Verwaltung der Zugriffsbedingungen ist der Eigentümer des Guard, also die Benutzerkennung, unter der das Guard abgelegt ist. Diese Benutzerkennung hat damit das Recht, den Zugriff zu einer ihr unbekannten Zahl von Benutzerkennungen zu manipulieren. Es liegt in der Verantwortung der Systembetreuung, diese Situationen zu vermeiden.
Die gleiche Situation kann auch durch Degradierung eines Gruppenverwalters bzw. System-Benutzerverwalters entstehen.