Создание групп и эквивалентов защиты
                                                                        

            Сейчас это может уже быть достаточно очевидным,  но пока  об
       этом нигде не говорилось: способ задания для одного объекта защи-
       ты,  эквивалентной другому объекту,  и включение объекта в  члены
       группы очень похоже на присваивание полномочий с помощью ACL. Так
       как эквивалентность защиты и членство в группе реализуется с  по-
       мощью атрибутов, для получения нужного результата требуется толь-
       ко изменить соответствующий атрибут.

            При изменении членства в группе нужно учитывать еще один мо-
       мент. Список групп, членом которых объект является, и список чле-
       нов группы - это разные списки.  Оба  списка  должны  обновляться
       приложением.  Членство  в  группе (Group Membership) представляет
       собой  атрибут  объекта  пользователя  и  содержит  идентификацию
       групп,  членом которых является пользователь. Атрибут член группы
       (Member) - это атрибут объекта группы, который содержит идентифи-
       кацию объектов, являющихся членами группы.

            В итоге,  в дереве каталога полномочия доступа вы можете по-
       лучить:

            - от объектов, которым вы подчиняетесь;
            - от объектов, к которым вы приравнены по защите;
            - от объектов, членами группы которых вы являетесь;
            - путем прямого присваивания.