Controllo della visibilità degli oggetti

Dominio di Active Directory Servizi offrono la possibilità di nascondere gli oggetti agli utenti che hanno negato determinati diritti. Se un oggetto è nascosto, un'applicazione in esecuzione con le credenziali di un utente non sarà in grado di enumerare o associare all'oggetto.

Se a un utente viene concesso il diritto di controllo di accesso ADS_RIGHT_ACTRL_DS_LIST su un contenitore, l'utente può visualizzare uno qualsiasi degli oggetti figlio del contenitore. Analogamente, se un utente viene negato il controllo di accesso ADS_RIGHT_ACTRL_DS_LIST diritto di accesso su un contenitore, l'utente non può visualizzare uno degli oggetti figlio del contenitore. Ciò consente di nascondere il contenuto di interi contenitori.

Il server Active Directory può anche essere inserito in una modalità oggetto elenco speciale impostando il terzo carattere della proprietà dSHeuristics su "1". La modalità oggetto elenco può essere disabilitata impostando il terzo carattere della proprietà dSHeuristics su "0". Quando il server Active Directory è in modalità oggetto elenco, un oggetto sarà comunque visibile se all'utente è stato concesso il diritto di ADS_RIGHT_ACTRL_DS_LIST sull'oggetto padre. Se, tuttavia, all'utente è stato negato il diritto di ADS_RIGHT_ACTRL_DS_LIST sul padre, è comunque possibile rendere visibili oggetti figlio specifici se all'utente viene concesso il diritto di ADS_RIGHT_DS_LIST_OBJECT sia sugli oggetti padre che su quello figlio. La modalità oggetto elenco consente all'amministratore di sistema di concedere o negare l'accesso a singoli oggetti per utenti o gruppi. La modalità oggetto elenco deve essere usata con moderazione perché richiede un numero notevolmente superiore di chiamate di controllo di accesso da effettuare dal servizio directory per determinare se un oggetto è visibile a un utente. Pertanto può avere un effetto negativo sulle prestazioni dell'esplorazione o della lettura di oggetti da Dominio di Active Directory Servizi.