Для распределения прав доступа нужны, как минимум, группы. Желательно иметь возможность создания контейнеров, чтобы распределять пользователей и группы по "веткам" дерева каталога. Особенно это важно для сетей с большим числом пользователей, в частности, для школ.
Конкретный заказчик - электронный классный журнал РУЖЭЛЬ - предусматривает распределение прав через объекты дерева. Если нет структурных объектов в дереве, придется распределять права индивидуально, что существенно повышает трудоемкость и вероятность ошибок.
Пожелание - дополнить web-интерфейс управления LDAP возможностью создания структурных объектов типа "группа", "контейнер" и распределение по ним пользователей, поиск (просмотр) пользователей по контейнерам, группам.