限制对重要角色的访问权限

您可以在目录中使用角色定义，以标识对业务至关重要的功能，如网络和目录管理。

例如，您可以通过标识系统管理员的某个子集来创建超级管理员 (superAdmin) 角色，这些管理员于每周特定日期的特定时间在全球公司站点上可用。或者，您也可以创建急救员 (First Aid) 角色，其中包括特定站点中所有受过急救培训的工作人员。有关创建角色定义的信息，请参见管理角色。

当某个角色在重要的公司或业务功能方面可提供任何种类的用户特权时，应考虑限制对该角色的访问权限。例如，在 Example.com 中，员工可以向自身条目中添加除超级管理员 (superAdmin) 角色之外的任何角色，如以下示例所示。

ACI "Roles"

在 LDIF 中，要为 Example.com 员工授予在自身条目中添加除超级管理员 (superAdmin) 之外的任何角色的权限，可编写以下语句：

aci: (targetattr="*") (targattrfilters="add=nsRoleDN:
 (nsRoleDN !="cn=superAdmin, dc=example, dc=com")")
 (version 3.0; acl "Roles"; allow (write)
 userdn= "ldap:///self" ;)

此示例假定 ACI 已添加到 ou=People,dc=example, dc=com 条目中。