Hallo Peter,

hast du dich schon ausgiebig mit der Konfiguration der Zugriffsrechte in LDAP befasst? Schau dir dazu mal man slapd.access an und vor allem auch die FAQ von openldap.org zu diesem Thema:

http://www.openldap.org/faq/data/cache/62.html

Da du leider nicht genau spezifiziert hast, was du unter einer Gruppe verstehst, interpretiere ich aus deinem Posting, dass eine Gruppe einen kompletten Teilbaum ausmacht und genau eine Wurzel hat. Unter dieser Annahme wäre die einfachste Möglichkeit einen Schreibzugriff für einen User in slapd.conf hardzucoden:

access
   to dn.sub="cn=gruppe1,ou=buchhaltung,cn=einefirma"
   by dn="uid=someuser,cn=werweisswo,ou=werweisswas,cn=einefirma"
   write

Das ist die einfachste Möglichkeit und so brauchst du schon mal ganz sicher keinen Teilbaum an einen User dranzuhängen.

Du willst aber sicherlich nichts in einer Config Datei hardcoden, daher wäre es besser die Mächtigkeit von Regulären Ausdrücken einzusetzen, um die Zugriffsrechte allgemein zu formulieren. Du kannst es mit einer geschickt formulierten access Direktive in slapd.conf hinkriegen, dass z.B. genau diejenigen User Schreibzugriff auf eine deiner Gruppen (sprich einen Teilbaum) haben, deren dn in einem Objekt genau unter der Wurzel des Teilbaums namens "admins" im Feld "members" eingetragen ist. Wenn dich diese "Meta"-Objekte stören, die ja nichts direkt mit der Datenhaltung zu tun haben, sondern nur zu Konfigurationszwecken da sind, kannst du sie auch in einen zweiten, seperaten Baum auslagern und so strukturieren, dass du von den Objekten aus dem Datenbaum mit regulären Ausdrücken auf dei Objekte im Konfigurationsbaum referenzieren kannst.

Gruß,
Cruz