Ce qu'un utilisateur de gestion est autorisé à faire est déterminé par les rôles assignés à l'utilisateur. Un système d'inclusion et d'exclusion basé sur l'appartenance de l'utilisateur détermine ses rôles.

Un utilisateur est associé à un rôle si :

1. L'utilisateur est :
• répertorié en tant qu'utilisateur à inclure dans le rôle, ou
• membre d'un groupe à inclure dans le rôle.
2. L'utilisateur n'est pas :
• répertorié en tant qu'utilisateur à exclure du rôle, ou
• membre d'un groupe à exclure du rôle.

Les exclusions ont priorité sur les inclusions.