Este exemplo ilustra como a função atribuída diretamente a um usuário individual substitui os privilégios associados a uma função atribuída a um grupo.
Neste exemplo, as permissões são definidas no mesmo objeto. Uma permissão associa um grupo a uma função, a outra permissão associa um usuário individual a uma função. O usuário é um membro do grupo.
- PowerOnVMRole pode ligar máquinas virtuais.
- O PowerOnVMGroup recebe o PowerOnVMRole na pasta da VM.
- O usuário 1 recebe a função NoAccess na pasta da VM.
O usuário 1, que pertence ao PowerOnVMGroup, faz login. A função NoAccess concedida ao Usuário 1 na pasta da VM substitui a função atribuída ao grupo. O usuário 1 não tem acesso à pasta da VM ou às VMs A e B. As VMs A e B não são visíveis na hierarquia para o usuário 1.