Alle Arten von Principals mit Ausnahme der Rolle können auf der rechten Seite einer Rollenzuordnung stehen. Rollen werden nicht verschachtelt.
Für Benutzer und Gruppen sind nur Identitäten aus der Domäne des VOB-Servers zulässig: es ist nicht möglich, einen Benutzer oder eine Gruppe aus einer anderen Domäne anzugeben. Ein Gruppenprincipal kann jede Gruppe sein, die durch das Betriebssystem des VOB-Servers definiert ist; er ist nicht auf die Primärgruppe und zusätzlichen Gruppen der VOB beschränkt.
Die Principalarten Owner-User und Owner-Group werden relativ zu dem gesteuerten Objekt interpretiert. Beispiel: Wenn die effektive ACL auf der Basis der einem Element zugewiesenen Rollenzuordnung eine Berechtigung für Owner-Group erteilt, erhalten die Accounts, die Mitglied in der Gruppe des Elements sind, diese Berechtigung.
Die Principals Benutzer und Gruppe werden in der VOB-Datenbank unter Verwendung der Identität in dem zugrunde liegenden Betriebssystem gespeichert (UID/GID unter UNIX und Linux, SID unter Windows). Die Identitäten werden für die Anzeige, Bearbeitung oder Modifikation in das Textformat (und zurück) konvertiert. Für den gemeinsamen Einsatz von Windows und UNIX oder Linux zeigt das Clientsystem die aus dem Namespace des VOB-Servers zugeordneten Benutzer und Gruppen im Namespace des Clients an.