下图显示在 /（根）目标中为 Admins/Acme 主题选择“此容器和所有子容器”目标范围。

这样就为在目标类别中有权限的每个主题选择了范围。

使用“此容器和所有子容器”作为目标范围的样例

假定您希望通过“-Default-”项访问数据库的用户可以查看目录中的任何“个人”和“群组”文档，而不可以查看其他任何类型的文档。可以执行下列操作：

• 在数据库 ACL 中授予“-Default-”主题“读者”存取级别。
• 在扩展 ACL 中，在 /（根）位置将“-Default-”添加为主题，缺省拒绝其所有权限，但是允许它对“个人”和“群组”文档的“浏览”和“读取”权限。
• 保持“此容器和所有子容器”作为范围，以将范围设置应用于整个目录。

使用“此容器仅”作为目标范围的样例

假定您公司中的文档名称归属于 O=Acme 组织或 OU=East 或 OU=West 组织单元。您需要对 Admins/Acme 群组拒绝对目录中除 O=Acme 中的文档外其他所有文档的权限，且需要允许该群组对 O=Acme 中的文档拥有全部权限。此时可以在数据库 ACL 中赋予 Admins/Acme 群组“编辑者”存取级别，且使其具有所有的数据库 ACL 权限和管理角色。在 /（根）下拒绝 Admins/Acme 的所有权限，并选择“此容器和所有子容器”。在 O=Acme 中对 Admins/Acme 允许所有权限，并选择“此容器仅”作为范围。Admins/Acme 在 /（根）下的的“拒绝”权限设置会应用到 OU=East 和 OU=West。

下图说明这些权限设置。

另请参阅

扩展 ACL 的元素
设置和管理扩展 ACL
扩展 ACL