附錄 A 服務提供者管理員及服務提供者社團組織

Delegated Administrator 主控台提供了能在目錄中建立之新的管理員角色，服務提供者管理員 (SPA)，以及新的社團組織類型。

本附錄描述服務提供者管理員角色及新的社團組織類型，並且說明如何在 Delegated Administrator 中建立它們。

服務提供者管理員

Delegated Administrator 主控台讓您委託管理作業給新的服務提供者管理員 (SPA) 角色，這個角色能夠建立及管理下層社團組織的新類型。

SPA 的權限範圍介於頂層管理員 (TLA) 和社團組織管理員 (OA) 之間。

在委託給第二層級後，可減輕由大型 LDAP 目錄所支援的大型客戶基底的管理作業。例如，ISP 可能會提供服務給上百或上千個小型企業，而每一個都需要它們自己的社團組織。每一天可能都會有許多的新社團組織新增至目錄中。

如果您使用雙層次階層，TLA 必須建立所有這些新的社團組織。現在 TLA 可以委託這些作業給 SPA。

SPA 可以為新客戶建立下層社團組織，並指定 OA 來管理那些社團組織中的使用者。

圖 A-1 中的範例顯示一個提供者社團組織。但是，一個目錄可以包含多個提供者社團組織。

SPA 有權限來管理 VIS 提供者社團組織及其下所有的社團組織。SPA 角色指派給 DEF 社團組織中的使用者 1。

名為 OA1 的社團組織管理員管理 DEF，DEF 是一個共用社團組織。此 OA 角色指派給 DEF 社團組織中的使用者 2。

OA2 管理 HIJ，HIJ 是一個共用社團組織。此 OA 角色指派給 HIJ 社團組織中的使用者 4。

OA3 管理 SESTA，SESTA 是一個完整社團組織。此 OA 角色指定給 SESTA 社團組織中的使用者 1。

服務提供者管理員角色

建立、刪除及修改在提供者社團組織中 SPA 有管理權限的共用及完整社團組織。

建立、刪除及修改在提供者社團組織之下任何社團組織中的使用者。

將 OA 角色指定給使用者。

指定 SPA 角色給提供者社團組織下的其他合法使用者 (及移除 SPA 角色)。

將服務等級套裝軟體配置給社團組織。

關於服務等級套裝軟體的資訊，請參閱第 1 章「Delegated Administrator 簡介」中的「服務套裝軟體」。

SPA 可將特定種類的服務等級套裝軟體指定給社團組織，並確定每個套裝軟體可在社團組織中使用的最大數目。

例如，SPA 可指定下列服務等級套裝軟體：

在 DEF 社團組織中：

1,000 個 Gold 套裝軟體
500 個 Platinum 套裝軟體

在 HIJ 社團組織中：

2,500 個 Topaz 套裝軟體
500 個 Platinum 套裝軟體
500 個 Emerald 套裝軟體
1,000 個 Ruby 套裝軟體

在 SESTA 社團組織中：

2,000 個 Silver 套裝軟體
1,500 個 Gold 套裝軟體
100 個 Platinum 套裝軟體

SPA 可以使用 Delegated Administrator 主控台來執行這些作業。在此發行版本中，Delegated Administrator 公用程式不包含執行這些作業的指令選項。



備註	TLA 可以修改或刪除任何現有的共用社團組織或完整社團組織。TLA 也可以管理那些社團組織中的使用者。 TLA 可以透過主控台從一個使用者上移除 SPA 角色但不能指定 SPA 角色。如需此 Delegated Administrator 發行版本中的限制清單，請參閱「此發行版本的注意事項」。如需 TLA 所執行的管理作業之完整描述，請參閱第 1 章「Delegated Administrator 簡介」中的「管理員角色和目錄階層」。

指定 SPA 角色給一個使用者

SPA 角色必須指定給派定給 SPA 的社團組織以及 SPA 所管理的提供者社團組織之下層社團組織中的使用者。

在圖 A-1 中顯示的範例中，假設您必須為提供者社團組織建立一個名為 VIS 的 SPA。您可以指定 SPA 角色給社團組織 DEF 中的使用者1。

SPA 必須常駐在下層社團組織中，因為提供者社團組織節點不包含任何使用者。

因此，在 SPA 能夠管理提供者社團組織之前，在它下面至少必須建立一個社團組織。此社團組織應該派定為保留被指定為 SPA 角色的使用者。如需詳細資訊，請參閱此附錄後面的「建立提供者社團組織及服務提供者管理員」。

此發行版本的注意事項

在此 Delegated Administrator 發行版本中，您不能使用 Delegated Administrator 主控台或公用程式來建立 SPA 或提供者社團組織。

若要建立 SPA 或提供者社團組織，您必須手動修改自訂的服務提供者範本，da.provider.skeleton.ldif。

服務提供者管理員所管理的社團組織

SPA 可以建立、修改及刪除 SPA 提供者社團組織下層的下列社團組織類型：

完整社團組織

共用社團組織

提供者社團組織、完整社團組織及共用社團組織於下列各節中描述。

提供者社團組織

提供者社團組織是 LDAP 目錄中在邏輯上包含完整社團組織及共用社團組織的節點。提供者社團組織節點有允許 SPA 管理下層社團組織的屬性。

在 LDAP 目錄中，提供者社團組織必須位於郵件網域之下。如需範例，請參閱此附錄後面的「範例服務提供者社團組織資料」。

提供者社團組織不能包含使用者項目。而是由在提供者社團組織下建立的社團組織中所提供。

提供者社團組織儲存關於在其下建立的社團組織之目錄資訊。例如：

提供者社團組織是否可以包含共用社團組織、完整社團組織，或是兩者皆可。

在此提供者社團組織下建立的共用社團組織所能夠使用的網域名稱。

在此提供者社團組織下建立的社團組織所能夠使用的服務等級套裝軟體數目及類型。

此提供者社團組織之 SPA 主要的指派社團組織。

完整社團組織

它是提供者社團組織的下層並且由 SPA 所建立的。

使用者可以在完整社團組織中提供。

作為一個完整社團組織，它有它自己的網域且是其他社團組織所不能分享的，以及它自己唯一的名稱空間。

共用社團組織

它是提供者社團組織的下層並且由 SPA 所建立的。

使用者可以在共用社團組織中提供。

它使用由提供者社團組織所提供的清單上的一個或多個共用網域名稱。

其他共用社團組織可以分享此社團組織所使用的的網域名稱。

共用社團組織沒有唯一的名稱空間。

建立提供者社團組織及服務提供者管理員

在此 Delegated Administrator 的發行版本中，您必須使用 Delegated Administrator 所提供的自訂服務提供者範本 (da.provider.skeleton.ldif) 來建立您自己的提供者社團組織及 SPA。



備註	您也可以在執行 Delegated Administrator 配置程式時，在目錄中安裝提供者社團組織的範例 (有下層社團組織的) 及 SPA 範例。您可以在配置程式中選擇 [載入範例社團組織] 來執行此操作。但是，範例社團組織範本 (da.sample.data.ldif) 是用來作為範例的，而不是建立您自己的提供者社團組織之範本。如需關於此範例的詳細資訊，請參閱此附錄後面的「範例服務提供者社團組織資料」。

一但您建立了提供者社團組織及 SPA，SPA 可以登入 Delegated Administrator 主控台、建立及管理下層社團組織、並且指定 SPA 角色給 SPA 社團組織中的其他使用者。但是，這些 SPA 只能夠管理相同的提供者社團組織。

若要建立另一個提供者社團組織及 SPA 來管理它，您應該再使用一次自訂服務提供者範本。

「範本所建立的項目」顯示一個在編輯過版本的範本安裝到目錄上時建立的社團組織範例。

「建立提供者社團組織、下層社團組織及 SPA 所需的資訊」定義範本中建立提供者社團組織、下層共用社團組織以及 SPA 所需要的參數。

「建立提供者社團組織及服務提供者管理員的步驟」解釋如何編輯範本及安裝資訊至您的目錄中。

「自訂服務提供者範本」為範本清單。

範本所建立的項目

當您在目錄中安裝編輯過版本的自訂服務提供者範本時，會建立下列項目：

提供者社團組織

派定為保留 SPA 使用者的下層共用社團組織

下層社團組織中指定為 SPA 角色的一個使用者

一個能夠建立完整社團組織的萬用字元節點。SPA 會替這個提供者社團組織管理這些完整社團組織。

圖 A-2 顯示安裝範本所建立的項目之範例。它是這個社團組織的目錄資訊樹 (DIT) 檢視。

圖 A-2 只是一個範例。您的社團組織名稱、SPA 使用者名稱及 DIT 結構應該為您自己的安裝所特有的。

範例中安裝了自訂服務提供者範本的節點

o=usergroup －使用者/群組資料的根尾碼。

o=siroe.com －提供者社團組織使用的郵件網域。

o=MyProviderOrg －提供者社團組織節點。

o=MySPAUserOrg －派定為保留提供者社團組織使用者，包括指定為 SPA 角色的使用者的下層共用社團組織。

ou=people －包含使用者所需的標準 LDAP 社團組織單位。

uid=user1 －在 MySPAUserOrg 社團組織中指定為 SPA 的使用者之 uid。

o=MyProviderOrgDomainsRoot －保留 MyProviderOrg 提供者社團組織下層的完整社團組織之萬用字元節點。

建立提供者社團組織、下層社團組織及 SPA 所需的資訊

若要建立一個提供者社團組織、一個下層社團組織及一個 SPA，必須以您安裝特有的資訊取代在自訂服務提供者範本中的參數。

在您閱讀關於這些參數的同時，您可以參閱「自訂服務提供者範本」所顯示的 da.provider.skeleton.ldif 清單。或開啟實際的 ldif 檔案，位於下列目錄中：

如需與這些參數相關聯之屬性的定義，請參閱「Sun Java System Communications Services Schema Reference」中的第 5 章「Classes and Attributes Used by Communications Services Delegated Administrator (Schema 2)」及第 3 章「Attributes」。

定義提供者及下層社團組織之參數

若要建立提供者社團組織及下層社團組織，請編輯下列參數：

提供者社團組織名稱。提供者社團組織位於的目錄節點將獲得此名稱。

此參數在 da.provider.skeleton.ldif 範本中使用多次。

範例：

sunProviderOrgDN: o=MyProviderOrg,o=siroe.com,o=usergroup

o=MyProviderOrg

sunBusinessOrgBase: o=MyProviderOrgdomainsroot, o=usergroup

能夠被指定給提供者社團組織之下層社團組織中使用者的服務套裝軟體名稱。這是一個多重值的參數。

在 da.provider.skeleton.ldif 檔案中的「提供者社團組織」一節，您會看到下列屬性：

sunIncludeServices: <servicepackage>

在您要包含在提供者社團組織之中的每一個服務套裝軟體中，加入一個 sunIncludeServices 屬性及 servicepackage 參數的實例。只有列在這裡的服務套裝軟體能夠指派給下層社團組織中的使用者。

範例：

sunIncludeServices：Gold
sunIncludeServices：Platinum
sunIncludeServices：Ruby
sunIncludeServices：Silver

如果您不使用 sunIncludeServices 屬性 (如果您刪除含有 servicepackage 參數的那一行)，目錄中所有的服務套裝軟體都可以被指定。

能夠被指定給提供者社團組織之下層社團組織的網域名稱。這是一個多重值的參數。

在 da.provider.skeleton.ldif 檔案中的「提供者社團組織」一節，您會看到下列屬性：

sunAssignableDomains: <domain_name>

sunAssignableDomains 屬性中的網域名稱是列於郵件網域社團組織的 sunPreferredDomain 和 associatedDomain 屬性中的名稱之子集 (一些或全部)。(郵件網域為在其下建立此提供者社團組織之社團組織。)

在您要包含在提供者社團組織之中的每一個網域名稱中，加入一個 sunAssignableDomains 屬性及 domain_name 參數的實例。只有列在這裡的網域名稱能夠指派給下層社團組織。

範例：

sunAssignableDomains: siroe.com
sunAssignableDomains: siroe.net
sunAssignableDomains: varrius.com
sunAssignableDomains: sesta.com
sunAssignableDomains: sesta.net

SPA 使用者所位於的共用社團組織名稱。當您安裝編輯過的 ldif 資訊於目錄中時，此社團組織被建立為提供者社團組織的共用及下層社團組織。它是派定為包含 SPA 使用者的社團組織。其他指定為此提供者社團組織的 SPA 角色必須位於此下層共用社團組織中。

在 da.provider.skeleton.ldif 檔案中的「提供者社團組織」一節，您會看到下列屬性：

sunProviderOrgDN:
o=<provider_sub_org>,o=<providerorg>,<maildomain_dn>

sunProviderOrgDN 屬性識別派定給提供者社團組織使用者的社團組織，特別是 SPA 使用者。

範例：

sunProviderOrgDN:
o=MySPAUserOrg,o=MyProviderOrg,o=siroe.com,o=usergroup

提供者社團組織之下層社團組織的慣用郵件主機的機器名稱 (SPA 使用者所在處)。您必須使用完整格式網域名稱 (FQDN)。

在 da.provider.skeleton.ldif 檔案中的「下層共用社團組織」一節，您會看到下列屬性：

preferredMailHost: <preferredmailhost>

範例：

preferredMailHost: mail.siroe.com

available_domain_name

可以指定給特定下層社團組織中的使用者之網域名稱。這是一個多重值的參數。

用於 available_domain_name 的數值為給 sunAssignableDomains 數值的適當子集：<domain_name> 屬性和參數。而 domain_name 套用在整個提供者社團組織上，available_domain_name 套用在單一下層社團組織上。

在 da.provider.skeleton.ldif 檔案中的「下層共用社團組織」一節，您會看到下列屬性：

sunAvailableDomainNames: <available_domain_name>

為每一個您要此下層社團組織從提供者社團組織的 sunAssignableDomains 屬性中的網域名稱清單繼承的網域名稱，加入一個 sunAvailableDomains 屬性及 available_domain_name 參數的實例。只有列在這裡的網域名稱能夠指派給下層社團組織。

範例：

sunAvailableDomainNames: siroe.com
sunAvailableDomainNames: siroe.net
sunAvailableDomainNames: varrius.com

available_services

特定下層社團組織可用的服務套裝軟體。這是一個多重值的參數。

指定給下層社團組織的服務套裝軟體是那些指定給有 sunIncludeServices 屬性之整個提供者社團組織的子集。

在 da.provider.skeleton.ldif 檔案中的「下層共用社團組織」一節，您會看到下列屬性：

sunAvailableServices: <available_services>

available_services 參數的格式為

Service package name: count

其中 count 為一個整數。如果沒有計數，預設值為未限制的數目。

為每一個您要此下層社團組織從提供者社團組織的 sunIncludeServices 屬性中可用的服務套裝軟體中繼承的服務套裝軟體，加入一個 sunAvailableServices 屬性及 available_services 參數的實例。

範例：

sunAvailableServices: Gold: 1500
sunAvailableServices: Platinum: 2000
sunAvailableServices: Silver: 5000

定義 SPA 的參數

spa_servicepackage

建立提供者社團組織及服務提供者管理員的步驟

若要建立提供者社團組織和服務提供者管理員，請遵循這些步驟：

在目錄中建立郵件網域。

如果您尚未如此做，則請在您的目錄中建立郵件網域。提供者社團組織及它的下層共用社團組織將會使用此郵件網域。

複製並重新命名 da.provider.skeleton.ldif 檔案。

當您安裝 Delegated Administrator 時，da.provider.skeleton.ldif 檔案安裝在下列目錄中：

da_base/lib/config-templates

在您的 da.provider.skeleton.ldif 檔案複本中編輯下列參數。用正確的參數值來進行您的安裝。

如需這些參數的定義，請參閱「建立提供者社團組織、下層社團組織及 SPA 所需的資訊」。

某些參數在 ldif 檔案中使用超過一次。您必須搜尋並取代每一個參數的全部實例。

一些參數代表多重值屬性之值。您可以複製和編輯這些參數，以及與它們相關聯的屬性名稱的參數，以允許這些屬性的多個實例在您的 ldif 檔案中。多重值的參數在下面備註。

<maildomain_dn>

<maildomain_dn_str>

<servicepackage> (多重值)

<domain_name> (多重值)

<provider_sub_org>

<available_domain_name> (多重值)

<available_services> (多重值)

<spa_uid>

<spa_password>

<spa_firstname>

<spa_lastname>

<spa_servicepackage>

<spa_mailaddress>

使用 LDAP ldapmodify 目錄工具來安裝提供者社團組織及 SPA 到目錄中。

例如，您可以執行下列指令：

ldapmodify -D <directory manager> -w <password>
-f <da.provider.finished.ldif>

其中

<directory manager> 是 Directory Server 管理員的名稱。

<password> 是 Directory Server 管理員的密碼。

<da.provider.finished.ldif> 是作為新的提供者社團組織及 SPA 到安裝目錄中之編輯過的 ldif 檔案名稱。

自訂服務提供者範本

此範本 (da.provider.skeleton.ldif) 包含您建立提供者社團組織及 SPA 所必須修改的參數。

下面列表顯示 ldif 檔案有參數的區段。此列表不包含整個檔案。支援 Access Manager 必需的項目和 ACI 不包含在這裡。

您應該只修改 ldif 檔案中的參數。請勿修改檔案中與 Access Manager 相關的區段。

da.provider.skeleton.ldif 檔案 (相關的區段)

#
# The following parameterized values must be replaced.
#
# <ugldapbasedn> :: Root suffix for user/group data
# <maildomain_dn>         :: Complete dn of the mail domain underneath which the
#                            provider organization will be created.
# <maildomain_dn_str>     :: The maildomain dn with all ',' replaced by '_'. E.g.
#                            dn --> o=siroe.com,o=SharedDomainsRoot,o=Business,
#                            dc=red,dc=iplanet,dc=com
#                            dn_str --> o=siroe.com_o=SharedDomainsRoot_o=Business_
#                            dc=red_dc=iplanet_dc=com
# <providerorg>            : Organization value for provider node.
# <servicepackage>        :: One for each service package to include.
#                            All service packages in the system may be assigned
#                            by leaving this value empty.
# <domain_name>           :: One for each DNS name which may be assigned to a
#                            subordinate organization.
#                            These names form a proper subset (some or all) of the
#                            names listed in the <maildomain> organization's
#                            sunpreferreddomain and associateddomain attributes.
# <provider_sub_org>      :: Organization value for the shared subordinate
#                            organization in which the Provider Administrator resides.
# <preferredmailhost> :: Name of the preferred mail host for the provider's
#                            subordinate organization.
# <available_domain_name> :: one for each DNS name that an organization allows an
#                            organization admin to use when creating a user's mail
#                            address. This is a proper subset of the values given
#                            for <domain_name> (sunAssignableDomains attribute).
# <available_services>    :: One for each service packags available to an
#                            organization (sunAvailableServices attribute). These
#                            service packages form a proper subset of the ones
#                            assigned to a provider organization - <servicepackage> #                            (sunIncludeServices attribute). Form is
#                            <service package name>:<count>
#                            where count is an integer. If count is absent then
#                            default is unlimited.
# <spa_uid>               :: The uid for the service provider administrator.
# <spa_password>          :: The password for the service provider administrator.
# <spa_firstname>         :: First name of the service provider administrator.
# <spa_lastname>          :: Last name of the service provider administrator.
# <spa_servicepackage>    :: Service package assigned to the service provider
#                            administrator.
# <spa_mailaddress>       :: The spa's mail address. The domain part of the mail
#                            address must be one of the values used for
#                            <available_domain_name>.
#

#
# Provider Organization
#
dn: o=<providerorg>,<maildomain_dn>
changetype: add
o: <providerorg>
objectClass: top
objectClass: sunismanagedorganization
objectClass: sunmanagedorganization
objectClass: organization
objectClass: sunManagedProvider
sunAllowBusinessOrgType: full
sunAllowBusinessOrgType: shared
sunBusinessOrgBase: o=<providerorg>domainsroot,<ugldapbasedn>
sunIncludeServices: <servicepackage>
sunAssignableDomains: <domain_name>
sunAllowMultipleDomains: true
sunAllowOutsideAdmins: false
sunProviderOrgDN: o=<provider_sub_org>,o=<providerorg>,<maildomain_dn>
# .
# .
# [Entries and ACIs required by Access Manager]
# .
# .

#
# Full Organizations node
#
dn: o=<providerorg>DomainsRoot,<ugldapbasedn>
changetype: add
o: <providerorg>DomainsRoot
objectClass: top
objectClass: organization
objectClass: sunmanagedorganization
# .
# .
# [Entries and ACIs required by Access Manager]
# .
# .

#
# Provider Admin Role shared organizations
#
dn: cn=Provider Admin Role,o=<providerorg>,<maildomain_dn>
changetype: add
cn: Provider Admin Role
objectClass: ldapsubentry
objectClass: nssimpleroledefinition
objectClass: nsroledefinition
objectClass: nsmanagedroledefinition
objectClass: iplanet-am-managed-role
objectClass: top
iplanet-am-role-description: Provider Admin

#
# Provider Admin Role full organizations
#
dn: cn=Provider Admin Role,o=<providerorg>DomainsRoot,<ugldapbasedn>
changetype: add
cn: Provider Admin Role
objectClass: ldapsubentry
objectClass: nssimpleroledefinition
objectClass: nsroledefinition
objectClass: nsmanagedroledefinition
objectClass: iplanet-am-managed-role
objectClass: top
iplanet-am-role-description: Provider Admin

#
# Shared Subordinate Organization. Includes 1 users who is the Provider Administrator.
#
dn: o=<provider_sub_org>,o=<providerorg>,<maildomain_dn>
changetype: add
preferredMailHost: <preferredmailhost>
sunNameSpaceUniqueAttrs: uid
o: <provider_sub_org>
objectClass: inetdomainauthinfo
objectClass: top
objectClass: sunismanagedorganization
objectClass: sunnamespace
objectClass: sunmanagedorganization
objectClass: organization
objectClass: sunDelegatedOrganization
objectClass: sunMailOrganization
sunAvailableDomainNames: <available_domain_name>
sunAvailableServices: <available_services>
sunOrgType: shared
sunMaxUsers: -1
sunNumUsers: 1
sunMaxGroups: -1
sunNumGroups: 0
sunEnableGAB: true
sunAllowMultipleServices: true
inetDomainStatus: active
sunRegisteredServiceName: GroupMailService
sunRegisteredServiceName: DomainMailService
sunRegisteredServiceName: UserMailService
sunRegisteredServiceName: iPlanetAMAuthService
sunRegisteredServiceName: UserCalendarService
sunRegisteredServiceName: iPlanetAMAuthLDAPService
sunRegisteredServiceName: DomainCalendarService
# .
# .
# [Entries and ACIs required by Access Manager]
# .
# .

dn: ou=People,o=<provider_sub_org>,o=<providerorg>,<maildomain_dn>
changetype: add
ou: People
objectClass: iplanet-am-managed-people-container
objectClass: organizationalUnit
objectClass: top

dn: ou=Groups,o=<provider_sub_org>,o=<providerorg>,<maildomain_dn>
changetype: add
ou: Groups
objectClass: iplanet-am-managed-group-container
objectClass: organizationalUnit
objectClass: top
# .
# .
# [Entries and ACIs required by Access Manager]
# .
# .

#
# User - provider administrator
#
dn: uid=<spa_uid>,ou=People,o=<provider_sub_org>,o=<providerorg>,<maildomain_dn>
changetype: add
sn: <spa_lastname>
givenname: <spa_firstname>
cn: <spa_firstname> <spa_lastname>
uid: <spa_uid>
iplanet-am-modifiable-by: cn=Top-level Admin Role,<ugldapbasedn>
objectClass: inetAdmin
objectClass: top
objectClass: iplanet-am-managed-person
objectClass: iplanet-am-user-service
objectClass: iPlanetPreferences
objectClass: person
objectClass: organizationalPerson
objectClass: inetuser
objectClass: inetOrgPerson
objectClass: ipUser
objectClass: inetMailUser
objectClass: inetLocalMailRecipient
objectClass: inetSubscriber
objectClass: userPresenceProfile
objectClass: icsCalendarUser
mailhost: <preferredmailhost>
mail: <spa_mailaddress>
maildeliveryoption: mailbox
mailuserstatus: active
inetCos: <spa_servicepackage>
inetUserStatus: Active
nsroledn: cn=Provider Admin Role,o=<providerorg>,<maildomain_dn>
userPassword: <spa_password>

範例服務提供者社團組織資料

當您執行 Delegated Administrator 配置程式 config-commda 時，您可以選擇安裝範例社團組織資料 (於一個 ldif 檔案中定義) 至您的目錄中。(當您執行配置程式時，在 [服務套裝軟體及社團組織範例] 面板中選取 [載入範例社團組織]。)配置程式將 da.sample.data.ldif 檔案新增至 LDAP 目錄樹中。

範例資料所提供的社團組織

圖 A-1 顯示範例 ldif 檔案所提供的組織結構之邏輯檢視。(圖 A-1 新增一個不存在此檔案中的共用社團組織 HIJ。)

VIS 提供者社團組織。下列社團組織是由 SPA 為 VIS 提供者社團組織所管理的：

SESTA，一個完整社團組織。SESTA 社團組織有它自己的網域 sesta.com。

DEF，一個共用社團組織。DEF 社團組織使用共用網域 siroe.com。

ESG 提供者社團組織。此提供者社團組織沒有定義下層社團組織。

一個給 VIS 提供者社團組織的 SPA

一個給 ESG 提供者社團組織的 SPA

一個給 SESTA 社團組織的 OA

一個給 DEF 社團組織的 OA

邏輯階層結構和目錄資訊樹

在三層次目錄階層結構中，目錄資訊樹 (DIT) 看起來和圖 A-1 中所顯示的邏輯檢視並不完全一樣。社團組織在 DIT 中實行於一個稍微不同的階層結構中。

例如，DIT 內完整的網域必需直接位於根尾碼之下。因此，網域節點新增至根尾碼下面來為共用網域 (為共用社團組織所使用) 及完整社團組織 (有它們自己的網域) 儲存 LDAP 資訊。

範例社團組織資料：目錄資訊樹檢視

圖 A-3 中顯示的範例中，如同圖 A-1 中顯示的邏輯檢視，包含下列社團組織：

上一頁目錄索引下一頁
Sun Java System Communications Services 6 2005Q1 Delegated Administrator 指南