<div dir="ltr"><div dir="ltr"><br></div><br><div class="gmail_quote gmail_quote_container"><div dir="ltr" class="gmail_attr">On Thu, Mar 13, 2025 at 8:01 PM Andrii Deinega <<a href="mailto:andrii.deinega@gmail.com">andrii.deinega@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div><div>Dick, you've clarified my suggestion,and provided a good example.</div></div></div></blockquote><div><br></div><div>Yeah!<br> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div><div><br></div><div><div>> nesting groups would then only be allowed in the metadata command?</div><div><br></div><div>That's correct.</div></div></div><div><br></div>Karl, while I agree with all your points, my suggestion was to use something a bit better than a flat list of groups in the metadata, not in any other places. This information makes a lot of sense, at least for me; an RP has a better understanding of how groups are structured, that also allows to build hierarchy queries like "I'd like to get all members in the staff group<span style="font-family:monospace">.</span>". It could be yet another nice thing that the OP Commands brings to the table, and I'll leave it up to the WG what to do with it next.</div></blockquote><div><br></div><div>As Karl alluded to, but I will call out explicitly, exposing the group structure to the RP may be considered over sharing from the enterprise security team. <br><br>It is an interesting idea though, thanks for the proposal. Let's see what others have to say!</div><div><br></div><div>/Dick </div></div></div>