在 ACI 的主體中,($dn) 巨集會由目標中相符的整個子字串所取代。例如:
groupdn="ldap:///cn=DomainAdmins,ou=Groups,($dn),dc=example,dc=com" |
主體會變成:
groupdn="ldap:///cn=DomainAdmins,ou=Groups, dc=subdomain1,dc=hostedCompany1,dc=example,dc=com" |
在巨集展開後,目錄伺服器會在完成一般程序後評估 ACI,以判定是否已授予存取權。
使用巨集取代的 ACI 與標準 ACI 不同,它不一定會將存取權授予目標項目的子項。這是因為,當目標為子 DN 時,取代可能不會在主體字串中建立有效的 DN。