Este exemplo ilustra como as permissões atribuídas a um objeto filho podem substituir as permissões atribuídas a um objeto pai. Você pode usar esse comportamento de substituição para restringir o acesso do usuário a áreas específicas do inventário.

Neste exemplo, as permissões são definidas em dois objetos diferentes para dois grupos diferentes.

  • PowerOnVMRole pode ligar máquinas virtuais.
  • O SnapShotRole pode tirar snapshots de máquinas virtuais.
  • O PowerOnVMGroup recebe o PowerOnVMRole na pasta da VM, com a permissão definida para propagar para objetos herdeiros.
  • O SnapShotGroup recebe o SnapShotRole na VM B.

O usuário 1, que pertence ao PowerOnVMGroup e ao SnapShotGroup, faz login. Como o SnapShotRole é atribuído em um ponto inferior na hierarquia do que o PowerOnVMRole, ele substitui o PowerOnVMRole na VM B. O usuário 1 pode ligar a VM A, mas não pode tirar snapshots. O usuário 1 pode tirar snapshots da VM B, mas não pode ligá-la.

Figura 1. Exemplo 2: permissões herdeiras substituindo as permissões principais
Um exemplo de permissões herdeiras substituindo as permissões principais.