Este exemplo ilustra como as permissões atribuídas a um objeto filho podem substituir as permissões atribuídas a um objeto pai. Você pode usar esse comportamento de substituição para restringir o acesso do usuário a áreas específicas do inventário.
Neste exemplo, as permissões são definidas em dois objetos diferentes para dois grupos diferentes.
- PowerOnVMRole pode ligar máquinas virtuais.
- O SnapShotRole pode tirar snapshots de máquinas virtuais.
- O PowerOnVMGroup recebe o PowerOnVMRole na pasta da VM, com a permissão definida para propagar para objetos herdeiros.
- O SnapShotGroup recebe o SnapShotRole na VM B.
O usuário 1, que pertence ao PowerOnVMGroup e ao SnapShotGroup, faz login. Como o SnapShotRole é atribuído em um ponto inferior na hierarquia do que o PowerOnVMRole, ele substitui o PowerOnVMRole na VM B. O usuário 1 pode ligar a VM A, mas não pode tirar snapshots. O usuário 1 pode tirar snapshots da VM B, mas não pode ligá-la.