限制主要角色的存取

您可以使用目錄中的角色定義來識別您的企業所不可或缺的功能，例如網路與目錄的管理。

例如，您可以在全球各地的公司網站上，找出於每週特定工作日之特定時間提供服務之系統管理員的子集，以建立 superAdmin 角色。或者，您也可以在特定網站上建立 First Aid 角色，內含所有受過急救訓練的工作成員。如需有關建立角色定義的資訊，請參閱管理角色。

當某個角色在重要的公司或企業功能方面提供了任何種類的專用使用者權限時，建議您限制對於該角色的存取。以 Example.com 為例，員工可在其本身的項目中加入任何角色，但 superAdmin 角色除外，如下列範例所說明。

ACI “Roles”

在 LDIF 中，若要授予 Example.com 員工在其本身的項目中加入 superAdmin 以外之任何角色的權限，請撰寫下列陳述式：

aci: (targetattr="*") (targattrfilters="add=nsRoleDN:
 (nsRoleDN !="cn=superAdmin, dc=example, dc=com")")
 (version 3.0; acl "Roles"; allow (write)
 userdn= "ldap:///self" ;)

此範例假設 ou=People,dc=example, dc=com 項目中已加入 ACI。