为每个项目直接与单个用户进行权限映射，肯定控制粒度是最细的，但是也意味着工作量很大。

所以实践中，通常是将用户分组，将项目的权限与组进行映射，也就是项目对组分配权限。

如果张三同时属于两个组：组1，组2，现在有项目：项目a

如果项目a对组1和组2都有查看权限，那么张三能够查看项目a；

如果项目a对组1有查看权限，未设置对组b的权限，那么张三继承组1的权限，可以查看项目a；

如果项目a对组1有查看权限，明确拒绝组b查看权限，那么张三同时集成组1和组2的权限，结果是不能查看项目a。

简言之：属于多个组的用户继承组权限，对某个内容对象来说（项目、工作簿、视图），只要有一个组权限是“明确拒绝”的，那么这个用户就不能访问该内容对象。

逻辑有点绕，建议找个环境仔细实验一下不同情况下的组合。

分组的意义在于批量授权，如果不能批量授权，分组的意义就没有了。

在极端情况下：如果你的每个项目权限都很特别，也就是没有任何两个项目的授权用户是相同的，那么再按照分组就没有任何价值了，也就不如直接用“项目---对用户”的模式进行授权了。

另外，10.5版本开始有个新功能叫Nested Project（项目嵌套），所以如果存在不同项目，但相同权限的管理场景，可以通过项目嵌套且权限继承的方式进行管理。