允许管理用户做什么是由为用户分配的角色决定的。根据用户成员资格决定用户所属角色的系统包括和排除。

在以下条件下，用户被认为已分配至某个角色：

1. 用户：
• 被列为角色中包含的用户，或者
• 属于被列为包含在角色中的组的成员。
2. 用户：
• 没有被列为从角色中排除的用户，或者
• 不属于被列为从角色中排除的组的成员。

排除项优先于包含项。