En este ejemplo, se muestra cómo los permisos que se asignan a un objeto secundario pueden anular los permisos que se asignan a un objeto primario. Este comportamiento de anulación se puede utilizar para restringir el acceso de los usuarios a áreas específicas del inventario.

En este ejemplo, los permisos están definidos en dos objetos diferentes de dos grupos distintos.

  • PowerOnVMRole permite encender las máquinas virtuales.
  • SnapShotRole puede crear instantáneas de máquinas virtuales.
  • Se asigna PowerOnVMGroup al PowerOnVMRole en la carpeta de máquina virtual; se otorga el permiso para la propagación a objetos secundarios.
  • Se concede SnapShotGroup a SnapShotRole en la máquina virtual B.

El Usuario 1, que pertenece a PowerOnVMGroup y SnapShotGroup, inicia sesión. Ya que SnapShotRole se asigna en un nivel inferior de la jerarquía que PowerOnVMRole, PowerOnVMRole se anula en la máquina virtual B. De esta forma, el Usuario 1 puede encender la máquina virtual A, pero no puede crear instantáneas. El Usuario 1 puede crear instantáneas de la máquina virtual B, pero no puede encenderla.

Figura 1. Ejemplo 2: permisos secundarios que anulan permisos primarios
En este ejemplo, se ilustran los permisos secundarios que anulan permisos primarios.