下例说明了直接分配给单个用户的角色如何替代与分配给组的角色关联的特权。

在此示例中,权限在相同的对象上定义。一种权限与包含某个角色的组相关联,另一种权限与包含某个角色的单个用户相关联。用户属于组成员。

  • 角色 1 可启动虚拟机。

  • 在虚拟机文件夹上为组 A 授予角色 1。

  • 在虚拟机文件夹上为用户 1 授予无权访问角色。

属于组 A 的用户 1 登录。在虚拟机文件夹上为用户 1 授予的无权访问角色替代分配给组的角色。用户 1 无权访问虚拟机文件夹或虚拟机 A 和 B。

图 1. 示例 3:用户权限替代组权限
用户权限替代组权限的示例。