控制对象可见性

Active Directory 域服务提供向拒绝某些权限的用户隐藏对象的功能。 如果隐藏对象,则使用用户的凭据运行的应用程序将无法枚举或绑定到该对象。

如果用户在容器上被授予 ADS_RIGHT_ACTRL_DS_LIST 访问控制权限,则用户可以查看容器的任何子对象。 同样,如果用户被拒绝容器上的 ADS_RIGHT_ACTRL_DS_LIST 访问控制权限,则用户无法查看容器的任何子对象。 这允许隐藏整个容器的内容。

通过将 dSHeuristics 属性的第三个字符设置为“1”,还可以将 Active Directory 服务器放入特殊列表对象模式。 通过将 dSHeuristics 属性的第三个字符设置为“0”,可以禁用列表对象模式。 当 Active Directory 服务器处于列表对象模式时,如果用户已授予父对象的 ADS_RIGHT_ACTRL_DS_LIST 权限,该对象仍将可见。 但是,如果用户在父对象和子对象上都被拒绝 了ADS_RIGHT_ACTRL_DS_LIST 权限,则如果用户被授予父对象和子对象的 ADS_RIGHT_DS_LIST_OBJECT 权限,则仍可显示特定的子对象。 列表对象模式允许系统管理员授予或拒绝对用户或组的各个对象的访问权限。 列表对象模式应谨慎使用,因为它需要目录服务要执行大量访问检查调用,以确定对象是否对用户可见。 因此,它可以对从Active Directory 域服务浏览或读取对象的性能产生负面影响。