Dieses Beispiel zeigt, wie Berechtigungen, die einem untergeordneten Objekt zugewiesen wurden, die Berechtigungen, die einem übergeordneten Objekt zugewiesen wurden, außer Kraft setzen. Sie können dieses Verhalten dazu verwenden, um den Benutzerzugriff auf bestimmte Bereiche der Bestandsliste einzuschränken.
In diesem Beispiel werden Berechtigungen für zwei verschiedene Objekte und für zwei verschiedene Gruppen definiert.
- PowerOnVMRole kann virtuelle Maschinen einschalten.
- SnapShotRole kann Snapshots von virtuellen Maschinen erstellen.
- PowerOnVMGroup wird PowerOnVMRole auf VM-Ordner zugeteilt, mit der Berechtigung „An untergeordnete Objekte weitergeben“.
- SnapShotGroup wird SnapShotRole auf VM B zugeteilt.
Benutzer 1, der sowohl zur PowerOnVMGroup als auch zur SnapShotGroup gehört, meldet sich an. Weil SnapShotRole auf einer niedrigeren Hierarchieebene zugewiesen wird wie PowerOnVMRole, setzt sie PowerOnVMRole auf VM B außer Kraft. Benutzer 1 kann zwar VM A einschalten, aber keinen Snapshot erstellen. Benutzer 1 kann zwar Snapshots von VM B erstellen, aber sie nicht einschalten.