在 LDIF 中,若要授予 Example.com 員工在 ou=Social Committee 分支下建立群組項目的權限,請撰寫下列陳述式:
aci: (targetattr="*") (targattrfilters="add=objectClass: (|(objectClass=groupOfNames)(objectClass=top))") (version 3.0; acl "Create Group"; allow (read,search,add) userdn= "ldap:///uid=*,ou=People,dc=example,dc=com") and dns="*.Example.com";) |
此範例假設 ou=Social Committee,dc=example,dc=com 項目中已加入 ACI。
此 ACI 並未授予寫入權限,這表示該項目的建立者無法修改項目。
由於伺服器會以隱藏方式加入 top 值,因此您必須在 targattrfilters 關鍵字中指定 objectClass=top。
此 ACI 會將用戶端機器限定在 example.com 網域中。