Диспетчер авторизации обеспечивает уровень абстракции между универсальным понятием, "Я хочу, чтобы эта группа смогла сделать эту вещь" и дискретный набор полномочий, требуемых заставить это произойти. Роли определяются в продукте как наборы полномочий, требуемые для той роли. Когда группы добавляются к ролям, это присваивает той группе полномочия роли (который может быть сделан много путей). Это - то, как это упрощает руководящие полномочия. Чтобы сделать это, это должно работать как пользователь высокого уровня.
В сущности это не немного лучше, чем прямой AD полномочия. Это просто упрощает присваивающиеся сложные полномочия.