Este ejemplo ilustra cómo la función asignada directamente a un usuario individual anula los privilegios asociados con una función asignada a un grupo.

En este ejemplo, los permisos se definen sobre el mismo objeto. Un permiso asocia un grupo con una función; el otro permiso asocia un usuario individual con una función. El usuario es un miembro del grupo.

  • PowerOnVMRole permite encender las máquinas virtuales.
  • Se concede PowerOnVMGroup a PowerOnVMRole en la carpeta de máquina virtual.
  • Se asigna la función Sin acceso al Usuario 1 en la carpeta de máquina virtual.

El Usuario 1, que pertenece al PowerOnVMGroup, inicia sesión. La función Sin acceso otorgada al Usuario 1 en la carpeta de máquina virtual anula la función asignada al grupo. El Usuario 1 no tiene acceso a la carpeta de máquina virtual o a las máquinas virtuales A y B. Las máquinas virtuales A y B no están visibles en la jerarquía para el Usuario 1.

Figura 1. Ejemplo 3: permisos de usuario que anulan permisos de grupo
Este ejemplo ilustra los permisos de usuario que anulan los permisos de grupo.