Функциональный - Определяет действия, которые вы можете выполнять с типами объектов, в соответствии с тем, к каким ролям вы принадлежите. Ваша организация задает эти роли в реализации, и у каждой роли есть набор связанных с нею разрешений, который определяет, какие действия может выполнять пользователь, принадлежащий к роли. Например, если вам назначена роль "Администратор", у вас могут быть разрешения на отображение и удаление системных таблиц, а если вам назначена роль "Проверяющий", вам могут отказать в предоставлении разрешений на отображение и удаление системных таблиц.

Объект - Задает типы объектов, с которыми вы можете выполнять разрешенные действия. Другими словами, даже если вы принадлежите к роли, у которой есть общие разрешения на изменение кампаний, можно так задать безопасность на уровне объектов в Campaign, что вы не сможете получить доступ к кампаниям, находящимся в определенных папках. Например, если вы принадлежите к подразделению A, то независимо от ваших функциональных ролей вам могут запретить доступ к содержимому папок, относящихся к подразделению B.