大部分的目錄都具有用以識別特定公司功能的群組。可賦予群組所有或部分目錄的存取權。對整個群組套用存取權限,即不需個別設定每個成員的存取權限。而是只要將使用者加入群組中,即可授予其存取權限。
例如,當您建立目錄伺服器實例時,依預設會建立對目錄具有完整存取權的「管理員」群組 cn=Administrators,cn=config。
在 Example.com 中,「人力資源」群組對目錄的 ou=People 分支具有完整存取權,因此可更新員工目錄,如 ACI “HR” 中所說明。
在 LDIF 中,若要授予 HR 群組對目錄之員工分支的所有權限,請使用下列陳述式:
aci: (targetattr="*") (version 3.0; acl "HR"; allow (all) groupdn= "ldap:///cn=HRgroup,ou=Groups,dc=example,dc=com";) |
此範例假設下列項目中已加入 ACI:
ou=People,dc=example,dc=com |