此示例说明了为子对象分配的权限如何覆盖为父对象分配的权限。可以使用此替代行为限制用户访问清单的特定区域。

在此示例中，权限在两个不同组的两个不同对象上定义。

• 角色 1 可启动虚拟机。
• 角色 2 可对虚拟机执行快照。
• 在虚拟机文件夹上为组 A 授予角色 1，并将权限设置为传播到子对象。
• 在虚拟机 B 上为组 B 授予角色 2。

属于组 A 和组 B 的用户 1 登录。因为在层次结构中，角色 2 被分配在角色 1 之下，所以它将在虚拟机 B 上替代角色 1。用户 1 可以启动虚拟机 A，但不能执行快照。用户 1 可对虚拟机 B 执行快照但无法将其启动。