为组授予对后缀的完全访问权限

大多数目录都有用于标识特定公司功能的组。可以为组授予对部分或全部目录的访问权限。通过将访问权限应用于组，可以避免单独为每个成员设置访问权限。可以通过将用户添加到组来为这些用户授予访问权限。

例如，在创建目录服务器实例时，默认情况下将创建一个管理员组 cn=Administrators,cn=config，此组具有目录的完全访问权限。

在 Example.com 中，人力资源组对目录的 ou=People 分支具有完全访问权限，这样他们可以更新员工目录，如ACI "HR"中所示。

ACI "HR"

在 LDIF 中，要为人力资源组授予对目录员工分支的所有权限，请使用以下语句：

aci: (targetattr="*") (version 3.0; acl "HR"; allow (all)
  groupdn= "ldap:///cn=HRgroup,ou=Groups,dc=example,dc=com";)

此示例假定 ACI 已添加到以下条目中：

ou=People,dc=example,dc=com