Here's what I'm starting with:<br><br>(targetattr = "userPassword" )<br>(target = "ldap:///dc=example,dc=com")<br>(version 3.0;<br>acl "Support can change passwords";<br>allow (all)<br>
(groupdn = "ldap:///cn=support,ou=groups,dc=example,dc=com");)<br><br>I just can't figure out how to write the exception.<br>--BO<br><br><div><span class="gmail_quote">On 3/30/07, <b class="gmail_sendername">
Bjorn Oglefjorn</b> <<a href="mailto:sys.mailing@gmail.com">sys.mailing@gmail.com</a>> wrote:</span><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
Or maybe it's not so complicated and I don't know how. ;)<br><br>This is what I'm trying to accomplish:<br><br>Users who are a member of the group 'cn=support' <br>can perform ALL operations on 'userPassword', 
<br>except on targets which are a member of group 'cn=admins' or 'cn=bosses'.  <br><br>Is this possible?  I can't figure out how.  Thanks in advance!<br><span class="sg">--BO<br>
</span></blockquote></div><br>