A diferencia de una regla de control de acceso de denegación de directiva, que se puede reemplazar por una regla de control de acceso ad hoc y, en algunos casos, una regla de directiva de concesión, una regla de directiva de denegación absoluta no se puede sobrescribir. No se puede conceder el acceso a un usuario al que se ha denegado el permiso para un objeto mediante una regla de directiva de denegación absoluta, salvo que se elimine la directiva de denegación absoluta. Las reglas de directiva de denegación absoluta no se pueden crear para pseudo-roles.

Por ejemplo, Jessica crea el proyecto Sport Umprella en el dominio /Default. Para controlar el contenido, no desea que los participantes del grupo Miembros dispongan de permiso para borrar. Para ello, selecciona Denegación absoluta en Permiso para borrar. Al seleccionar Denegación absoluta para un permiso, no se seleccionan automáticamente otros permisos. La regla de denegación absoluta del grupo Miembros anula las demás reglas, incluidas las reglas ad hoc y las reglas de directiva que conceden permiso para borrar a usuarios específicos del grupo o a propietarios de objetos. Por consiguiente, aunque un usuario sea el propietario de un objeto, no podrá eliminar dicho objeto.

Para obtener más información sobre la determinación del acceso que debe tener un usuario basado en una combinación de todos los permisos, consulte How ACLs Work.