对象可能拥有多种权限，但每个用户或组只拥有一种权限。例如，一种权限可能指定 GroupAdmin 对某个对象具有管理员角色。另一种权限可能指定 GroupVMAdmin 对同一个对象具有虚拟机管理员角色。但是，GroupVMAdmin 组不能对该对象具有同一个 GroupVMAdmin 的其他权限。

如果父对象传播属性设置为 true，则子对象将继承其父对象的权限。直接在子对象上设置的权限将取代父对象中的权限。请参见示例 2：子权限替代父权限。

如果对同一对象定义了多个组角色，且用户属于这些组中的两个或多个组，则可能出现以下两种情况：

• 没有任何用户权限是直接在对象上定义的。在这种情况下，用户拥有各组对该对象所拥有权限的集合。
• 用户的权限是直接在对象上定义的。在这种情况下，用户的权限将优先于所有组权限。