Geräteprofile, die in einer Organisationsgruppe (OG) erstellt wurden und von einer Organisationsgruppe verwaltet werden, sind schreibgeschützt, wenn angemeldete Administratoren mit eingeschränkten Berechtigungen darauf zugreifen. Der schreibgeschützte Status wird im Profilfenster durch einen besonderen, zusätzlichen Kommentar angegeben: „Dieses Profil wird in einer höheren Organisationsgruppe verwaltet und kann nicht bearbeitet werden.“.

Dieser Schreibschutz gilt auch für Smartgroup-Zuweisungen. Wird ein Profil in einer übergeordneten OG erstellt und einer Smartgroup zugewiesen, kann ein Administrator einer untergeordneten OG die Smartgroup zwar sehen, aber nicht bearbeiten.

Ein derartiges Verhalten erhält eine hierarchiebasierte Sicherheit aufrecht und fördert gleichzeitig die Kommunikation unter den Administratoren.