Endlich. Die ldap ACL waren es.
Vor allen anderen ACLs einfuegen:

access to dn.subtree=“ou=Users,ou=OxObjects,dc=floek,dc=com“
by self write
by users write
by * read
by anonymous auth

access to dn.subtree=“ou=Groups,ou=OxObjects,dc=floek,dc=com“
by self write
by users write
by * read
by anonymous auth

und schon gehts. Gibt aber noch ein paar kleinere Bugs.