各ユーザーは 1 つ以上のユーザー グループに所属でき、リソース権限はグループにも個々のユーザーにも割り当てることができます。一部のメインフレームのセキュリティ マネージャーのように、ES MSS には「サインオン グループ」という概念があります。この概念では、サインオン時に、サインオンに使用するグループをユーザーが指定することもできます。指定したグループ内にそのユーザーがいない場合は、サインオンは拒否されます。グループを指定しないユーザーは、ESM の決定に従い、そのユーザーの「デフォルト グループ」の下にサインオンします。
デフォルトでは、ユーザーがリソースへのアクセスを要求した際には、一部の ESM によって、そのユーザー、およびユーザーの現在のサインオン グループに関係する規則のみが適用されます。他の ESM では、サインオン グループの概念全体が無視され、そのユーザーが属するすべてのグループに関係する規則が常に適用される場合があります。ユーザーが属しているかどうかに関係なく、他のグループのための規則は無視されます。
エンタープライズ サーバーのセキュリティ構成で [Use all Groups] オプションを設定すると、この動作を変更できます。[Use all Groups] が設定されている場合は、ユーザーのサインオン グループは関係ありません。ユーザーには、そのユーザーが属す全グループに適用されるすべての権限が必ず与えられます。