LDAP组的概念以及命令

可以通过使用groupOfNames对象类和使用member属性显式指定成员DNs来定义静态组

RFC 4519(https://www.ietf.org/rfc/rfc4519.txt)要求成员属性在groupOfNames对象类中是必需的。当管理员试图删除组中的最后一个成员时，此成员资格要求通常会导致数据管理问题。目录服务器通过允许成员属性是可选的来解决这个问题。可选的成员资格要求允许您在删除组的最后一个成员时拥有空的对象类。

可以通过使用groupOfUniqueNames对象类和使用uniqueMember属性显式指定成员DNs来定义静态组。groupOfUniqueNames对象类与groupOfNames对象类的不同之处在于，可以通过指定唯一DN和可选标识符来枚举组的成员。标识符确保在添加、删除或重命名任何对象时可以标识唯一的对象。

例如，您可以删除或移动一个员工（cn=Tom Smith），然后将一个同名的新员工（cn=Tom Smith）添加到目录中。要区分两者，必须使用位字符串添加单独的标识符。下面的示例显示了两个同名的用户，但第二个uniqueMember有一个可选的标识符。

很少有LDAP应用程序实际使用可选的UID标识符。

RFC 4519(https://www.ietf.org/rfc/rfc4519.txt)要求在groupOfUniqueNames对象类中uniqueMember属性是必需的。当管理员试图删除组中的最后一个成员时，此成员资格要求曾经导致数据管理问题。Oracle统一目录允许uniqueMember属性是可选的，从而解决了这个问题。可选的成员资格要求允许您在删除组的最后一个成员时拥有空的对象类。

可以使用groupOfEntries对象类定义静态组。基于原始规范（RFC 4519(http://www.rfc-editor.org/rfc/rfc4519.txt)和draft-findlay-ldap-groupofentries-00.txt（2008年3月到期），groupofentries对象类与groupOfNames和groupOfUniqueNames对象类的不同之处在于属性是可选的，它使您能够指定一个没有任何成员的空对象类。

Oracle统一目录支持groupOfEntries草稿，但也允许空groupOfNames和groupOfUniqueNames对象类。因此，您可以创建任何类型的空组（groupOfEntries、groupOfNames和groupOfUniqueNames）。