Contrairement à une règle de contrôle d'accès basé sur le refus, qui peut être remplacée par une règle de contrôle d'accès ad hoc et, dans certains cas, une règle d'accès, une règle de refus catégorique ne peut pas être remplacée. Un utilisateur a refusé l'accès à un objet utilisant une règle basée sur le refus catégorique ; dans ce cas, cet objet ne peut être accessible qu'après suppression de cette règle. Les règles basées sur le refus catégorique ne peuvent pas s'appliquer aux pseudo-rôles.

Par exemple, Jessica crée le projet Sport Umbrella dans le domaine par défaut. Pour contrôler le contenu, elle ne souhaite pas que les participants du groupe Membres bénéficient de la permission de suppression. Pour cela, elle sélectionne l'option Refus catégorique pour la permission de suppression. La sélection de la permission Refus catégorique ne sous-entend pas la sélection automatique d'autres permissions. La règle de refus catégorique du groupe Membres prédomine sur toutes les autres règles, y compris les règles ad hoc et les règles de politique accordant la permission de suppression à des utilisateurs spécifiques dans le groupe ou les propriétaires d'objet. Par conséquent, même si un utilisateur est le propriétaire d'un objet, il ne sera pas en mesure de supprimer l'objet.

Pour en savoir plus sur la manière de déterminer l'accès d'un utilisateur en fonction d'une combinaison de toutes les permissions, voir .