Les objets peuvent avoir des autorisations multiples, mais seulement une autorisation pour chaque utilisateur ou groupes. Par exemple, une autorisation peut spécifier que GroupAdmin dispose du rôle Administrateur sur un objet. Une autre autorisation peut spécifier que GroupVMAdmin possède le rôle d'administrateur de machines virtuelles sur le même objet. Toutefois, le groupe GroupVMAdmin ne peut pas avoir une autre autorisation pour le même GroupVMAdmin sur cet objet.
Un objet enfant hérite des autorisations de son parent si la propriété de propagation du parent est définie sur true. Une autorisation qui est définie directement sur un objet enfant remplace l'autorisation dans l'objet parent. Reportez-vous à la section Exemple 2 : Autorisations d'enfant ignorant des autorisations de parent.
Si plusieurs rôles de groupe sont définis sur le même objet et qu'un utilisateur appartient à deux de ces groupes ou plus, deux situations sont possibles :
- Aucune autorisation n'est définie directement sur l'objet pour l'utilisateur. Dans ce cas, l'utilisateur obtient l'union des autorisations dont les groupes ont sur l'objet.
- Une autorisation est définie directement sur l'objet pour l'utilisateur. Dans ce cas, les autorisations de l'utilisateur sont prioritaires sur toutes les autorisations de groupe.