Este exemplo ilustra como a função atribuída diretamente a um usuário individual substitui os privilégios associados a uma função atribuída a um grupo.

Neste exemplo, as permissões são definidas no mesmo objeto. Uma permissão associa um grupo a uma função, a outra permissão associa um usuário individual a uma função. O usuário é um membro do grupo.

  • PowerOnVMRole pode ligar máquinas virtuais.
  • O PowerOnVMGroup recebe o PowerOnVMRole na pasta da VM.
  • O usuário 1 recebe a função NoAccess na pasta da VM.

O usuário 1, que pertence ao PowerOnVMGroup, faz login. A função NoAccess concedida ao Usuário 1 na pasta da VM substitui a função atribuída ao grupo. O usuário 1 não tem acesso à pasta da VM ou às VMs A e B. As VMs A e B não são visíveis na hierarquia para o usuário 1.

Figura 1. Exemplo 3: permissões de usuário substituindo permissões de grupo
Um exemplo de permissões de usuário substituindo permissões de grupo.