大多数目录都有用于标识特定公司功能的组。可以为组授予对部分或全部目录的访问权限。通过将访问权限应用于组,可以避免单独为每个成员设置访问权限。可以通过将用户添加到组来为这些用户授予访问权限。
例如,在创建目录服务器实例时,默认情况下将创建一个管理员组 cn=Administrators,cn=config,此组具有目录的完全访问权限。
在 Example.com 中,人力资源组对目录的 ou=People 分支具有完全访问权限,这样他们可以更新员工目录,如ACI "HR"中所示。
在 LDIF 中,要为人力资源组授予对目录员工分支的所有权限,请使用以下语句:
aci: (targetattr="*") (version 3.0; acl "HR"; allow (all) groupdn= "ldap:///cn=HRgroup,ou=Groups,dc=example,dc=com";) |
此示例假定 ACI 已添加到以下条目中:
ou=People,dc=example,dc=com |