1.3. ACI 评估

要评估特定条目的访问权限，服务器会在条目本身上创建一个访问控制指令(ACI)列表，并将父条目备份到存储在目录服务器中的顶级条目。ACI 针对特定实例在所有数据库中评估，但不在不同的实例之间。

目录服务器根据 ACI 的语义评估 ACI 列表，而不是在目录树中的放置上评估。这意味着，与目录树的根目录接近的 ACI 不优先于目录树所处处的 ACI。

在 Directory Server 中，ACI 中的 拒绝 权限优先于 允许 权限。例如，如果在目录的根目录中拒绝写入权限，无论其他 ACI 是否授予了此权限，任何用户都不能写入该目录。要为 目录授予特定用户写入权限，您必须为原始拒绝规则添加例外，以便用户在该目录中进行写入。