Todos os tipos de grupos de usuários, exceto Função, podem aparecer como o lado direito de um mapeamento de função. Funções não se aninham.
Para usuários e grupos, permitimos apenas identidades do domínio do servidor do VOB: não é possível especificar um usuário ou grupo de outro domínio. Grupos de usuários do grupo podem ser qualquer grupo definido pelo sistema operacional do servidor do VOB; eles não são limitados aos grupos primário e complementar do VOB.
Os tipos de grupo de usuários do Grupo Proprietário e do Usuário Proprietário são interpretados em relação ao objeto controlado. Por exemplo, se a ACL efetiva do mapa de funções anexado a um elemento conceder ao Grupo Proprietário alguma permissão, então, essa permissão é concedida às contas com associação no grupo do elemento.
Os grupos de usuários do Grupo e do Usuário são armazenados no banco de dados do VOB usando a identidade do sistema operacional subjacente (UID/GID no UNIX e Linux, SID no Windows). As identidades são convertidas para/de o texto quando exibidas, editadas ou modificadas. Para interoperação entre Windows e UNIX ou Linux, o sistema do cliente mostra os usuários e grupos mapeados do namespace do servidor do VOB no namespace do cliente.