Tutti i tipi di principal, tranne Ruolo, possono apparire come lato destro di un'associazione di ruoli. I ruoli non si nidificano.
Per gli utenti e i gruppi, vengono consentite solo identità provenienti dal dominio del server VOB: non è possibile specificare un utente o un gruppo da un altro dominio. I principal Gruppo possono essere qualsiasi gruppo definito dal sistema operativo del server VOB; non sono limitati ai gruppi primario e supplementare del VOB.
I principal Utente proprietario e Gruppo proprietario vengono interpretati in relazione all'oggetto controllato. Ad esempio, se l'ACL effettivo dalla mappa ruoli associata a un elemento concede alcune autorizzazioni al Gruppo proprietario, agli account con appartenenza nel gruppo dell'elemento viene concessa quell'autorizzazione.
I principal Utente e Gruppo vengono archiviati nel database VOB utilizzando l'identità del sistema operativo sottostante (UID/GID su UNIX e Linux, SID su Windows). Le identità vengono convertite in testo e da testo quando vengono visualizzate o modificate. Per un'interoperazione tra Windows e UNIX o Linux, il sistema client mostra gli utenti e i gruppi associati dallo spazio dei nomi del server VOB nello spazio dei nomi del client.