Access Control et création d’objets

Le serveur Active Directory ne parvient pas à créer un objet enfant si l’appelant ne dispose pas de l' _ enfant ad droit _ créer un _ _ enfant pour ce type d’objet sur le conteneur parent. Pour déterminer les types d’objets enfants que l’appelant peut créer dans un objet d’annuaire, lisez l’attribut allowedChildClassesEffective de l’objet.

Quand vous utilisez la méthode IADsContainer :: Create pour créer un objet enfant, l’objet n’est pas rendu persistant tant que IADs :: setinfo n’est pas appelé sur le nouvel objet. Entre les appels Create et setinfo , le thread de création peut placer des valeurs dans n’importe laquelle des propriétés de l’objet. Après l’appel de setinfo , le thread de création ne dispose pas nécessairement des droits d’accès nécessaires pour définir les propriétés du nouvel objet. Pour vous assurer que l’appelant dispose de ces droits, spécifiez un descripteur de sécurité explicite lors de la création. La liste DACL doit avoir un ACE qui donne à l’appelant les droits d’accès nécessaires sur l’objet.

Pour plus d’informations sur le contrôle d’accès et la création d’objets, consultez Comment les descripteurs de sécurité sont définis sur les nouveaux objets d’annuaire.