Todos los tipos de principal, excepto Role, pueden aparecer en el lado derecho de una correlación de roles. No es posible anidar roles.
Con los usuarios y grupos, únicamente se permiten identidades del dominio del servidor de la base de objetos con versión (VOB): no es posible especificar un usuario o grupo de otro dominio. Los principales de grupo pueden ser cualquier grupo definido por el sistema operativo del servidor de la VOB; no están limitados al grupo primario y los grupos suplementarios de la VOB.
Los tipos de principal Owner-User y Owner-Group se interpretan en relación al objeto controlado. Por ejemplo, si la lista de control de acceso (ACL) efectiva de la correlación de roles adjuntada a un elemento otorga algún permiso Owner-Group, se otorga dicho permiso a las cuentas que pertenecen al grupo del elemento.
Los principales User y Group se almacenan en la base de datos VOB utilizando la identidad de sistema operativo subyacente (UID/GID en UNIX y Linux, SID en Windows). Las identidades se convierten a o desde un texto cuando se visualizan, editan o modifican. Para mantener la interoperatividad entre Windows y UNIX o Linux, el sistema cliente muestra usuarios y grupos correlacionados desde el espacio de nombres del servidor de la VOB con el espacio de nombres del cliente.