Die Berechtigung auf Netzwerkressourcen wird anhand dieser Regel realisiert: Der Benutzer erhält Access über die Mitgliedschaft in einer globalen Gruppe. Diese globale Gruppe wird in eine Domänen-Lokale-Gruppe gepackt. Die Zugriffsberechtigungen (Permissions) werden an die lokale Gruppe vergeben.