Os objetos podem ter várias permissões, mas apenas uma permissão para cada usuário ou grupo. Por exemplo, uma permissão pode especificar que GroupAdmin tem a função de Administrador em um objeto. Outra permissão pode especificar que o GroupVMAdmin tem a função de Administrador de Máquina Virtual no mesmo objeto. No entanto, o grupo GroupVMAdmin não pode ter outra permissão para o mesmo GroupVMAdmin neste objeto.
Um objeto filho herda as permissões de seu pai se a propriedade de propagação do pai estiver definida como true. Uma permissão definida diretamente em um objeto filho substitui a permissão no objeto pai. Consulte Exemplo 2: permissões herdeiras substituindo as permissões principais.
Se várias funções de grupo forem definidas no mesmo objeto, e um usuário pertencer a dois ou mais desses grupos, duas situações serão possíveis:
- Nenhuma permissão para o usuário é definida diretamente no objeto. Nesse caso, o usuário obtém a união das permissões que os grupos têm no objeto.
- Uma permissão para o usuário é definida diretamente no objeto. Nesse caso, as permissões para o usuário têm precedência sobre todas as permissões de grupo.
