当访问受保护对象(VOB 对象、策略、角色映射或元素)且有效 ACL 授予所有者/组某些权限时,如果受保护对象的所有组与某一进程的组匹配,那么会将这些权限授予该进程。对象的所有组必须是 VOB 组之一。
类似地,如果有效 ACL 授予所有者/用户某些权限,且如果对象的所有用户也是进程的所有用户,那么会将这些权限授予该进程。