Control de la visibilidad de objetos

Active Directory Domain Services la capacidad de ocultar objetos a usuarios a los que se les han denegado determinados derechos. Si un objeto está oculto, una aplicación que se ejecuta con las credenciales de un usuario no podrá enumerar ni enlazar al objeto.

Si a un usuario se le concede el derecho de control de acceso ADS _ RIGHT _ ACTRL _ DS _ LIST en un contenedor, el usuario puede ver cualquiera de los objetos secundarios del contenedor. Del mismo modo, si se deniega a un usuario el derecho de control de acceso ADS _ RIGHT _ ACTRL _ DS _ LIST en un contenedor, el usuario no podrá ver ninguno de los objetos secundarios del contenedor. Esto permite ocultar el contenido de contenedores completos.

El Active Directory servidor también se puede colocar en un modo de objeto de lista especial estableciendo el tercer carácter de la propiedad dSHeuristics en "1". El modo de objeto de lista se puede deshabilitar estableciendo el tercer carácter de la propiedad dSHeuristics en "0". Cuando el servidor Active Directory está en el modo de objeto de lista, un objeto seguirá estando visible si se le ha concedido al usuario el derecho ADS _ RIGHT _ ACTRL _ DS _ LIST en el objeto primario. Sin embargo, si se ha denegado al usuario el derecho ADS _ RIGHT _ ACTRL _ DS _ LIST en el elemento primario, se pueden hacer visibles objetos secundarios específicos si se concede al usuario el derecho ADS RIGHT _ _ DS LIST _ _ OBJECT en los objetos primarios y secundarios. El modo de objeto de lista permite al administrador del sistema conceder o denegar el acceso a objetos individuales para usuarios o grupos. El modo de objeto de lista debe usarse con moderación porque requiere que el servicio de directorio haga un número significativamente mayor de llamadas de comprobación de acceso para determinar si un objeto es visible para un usuario. Por lo tanto, puede tener un efecto negativo en el rendimiento de examinar o leer objetos de Active Directory Domain Services.