Objekte können über mehrere Berechtigungen verfügen, jedoch nur über eine Berechtigung für jeden Benutzer bzw. jede Gruppe. Eine Berechtigung könnte zum Beispiel festlegen, dass GroupAdmin über die Administratorrolle für ein Objekt verfügt. Eine andere Berechtigung könnte festlegen, dass der GroupVMAdmin über die VM-Administratorrolle für dasselbe Objekt verfügt. Die GroupVMAdmin-Gruppe kann jedoch über keine weitere Berechtigung für dieselbe GroupVMAdmin für dieses Objekt verfügen.

Ein untergeordnetes Objekt übernimmt die Berechtigungen seines übergeordneten Objekts, wenn die Eigenschaft „Weitergeben“ des übergeordneten Objekts auf „true“ festgelegt ist. Eine Berechtigung, die direkt für ein untergeordnetes Objekt festgelegt wird, setzt die Berechtigung im übergeordneten Objekt außer Kraft. Weitere Informationen hierzu finden Sie unter Beispiel 2: Untergeordnete Berechtigungen, die übergeordnete Berechtigungen außer Kraft setzen.

Wenn für dasselbe Objekt mehrere Gruppenrollen definiert sind und ein Benutzer mindestens zwei dieser Gruppen angehört, gibt es zwei mögliche Situationen:

• Direkt für das Objekt wurde keine Berechtigung für den Benutzer definiert. In diesem Fall erhält der Benutzer die Summe der Berechtigungen, die die Gruppen für das Objekt haben.
• Es wurde eine Berechtigung für den Benutzer für das Objekt festgelegt. In diesem Fall haben die Berechtigungen für den Benutzer Vorrang vor allen Gruppenberechtigungen.