下例说明了直接分配给单个用户的角色如何替代与分配给组的角色关联的特权。

在此示例中，权限在相同的对象上定义。一种权限与包含某个角色的组相关联，另一种权限与包含某个角色的单个用户相关联。用户属于组成员。

• PowerOnVMRole 可启动虚拟机。
• 在虚拟机文件夹上为 PowerOnVMGroup 授予 PowerOnVMRole。
• 在虚拟机文件夹上为用户 1 授予 NoAccess 角色。

属于 PowerOnVMGroup 的用户 1 登录。在虚拟机文件夹上为用户 1 授予的 NoAccess 角色替代分配给组的角色。用户 1 无权访问虚拟机文件夹或虚拟机 A 和虚拟机 B。虚拟机 A 和 B 在层次结构中对用户 1 不可见。