Řízení viditelnosti objektu

Služba Active Directory Domain Services poskytuje možnost skrýt objekty uživatelům, kteří byli odepřeni určitými právy. Pokud je objekt skrytý, aplikace, která běží s přihlašovacími údaji uživatele, nebude moct vytvořit výčet nebo vytvořit vazbu k objektu.

Pokud je uživateli uděleno právo řízení přístupu ADS_RIGHT_ACTRL_DS_LIST na kontejneru, může uživatel zobrazit jakýkoli z podřízených objektů kontejneru. Podobně platí, že pokud je uživateli odepřeno právo ADS_RIGHT_ACTRL_DS_LIST řízení přístupu v kontejneru, uživatel nemůže zobrazit žádný z podřízených objektů kontejneru. To umožňuje skrytí obsahu celých kontejnerů.

Server služby Active Directory lze také umístit do speciálního režimu pro objekty seznamu nastavením třetího znaku vlastnosti dSHeuristics na hodnotu "1". Režim objektu seznamu lze zakázat nastavením třetího znaku vlastnosti dSHeuristics na hodnotu "0". Pokud je server služby Active Directory v režimu objektu seznamu, bude objekt stále viditelný, pokud byl uživateli udělen ADS_RIGHT_ACTRL_DS_LIST právo na nadřazený objekt. Pokud však uživateli bylo odepřeno právo ADS_RIGHT_ACTRL_DS_LIST na nadřazeném objektu, mohou být konkrétní podřízené objekty stále viditelné, pokud je uživateli uděleno právo ADS_RIGHT_DS_LIST_OBJECT na nadřazeném i podřízeném objektu. Režim objektu seznamu umožňuje správci systému udělit nebo odepřít přístup k jednotlivým objektům pro uživatele nebo skupiny. Režim objektu seznamu by se měl používat střídmě, protože vyžaduje výrazně vyšší počet volání kontroly přístupu, která má adresářová služba provést, aby určila, jestli je objekt viditelný pro uživatele. To může mít negativní vliv na výkon procházení nebo čtení objektů ze služby Active Directory Domain Services.