Access Control- und Objekterstellung

Der Active Directory-Server kann kein untergeordnetes Objekt erstellen, wenn der Aufrufer nicht über die ADS_RIGHT_DS_CREATE_CHILD für diesen Objekttyp im übergeordneten Container verfügt. Um die Typen untergeordneter Objekte zu bestimmen, die der Aufrufer in einem Verzeichnisobjekt erstellen kann, lesen Sie das attribut allowedChildClassesEffective des Objekts.

Wenn Sie die IADsContainer::Create-Methode verwenden, um ein untergeordnetes Objekt zu erstellen, wird das Objekt erst persistent gemacht, wenn IADs::SetInfo für das neue Objekt aufgerufen wird. Zwischen dem Create- und SetInfo-Aufruf kann der erstellenden Thread Werte in jede der Eigenschaften des neuen Objekts einfügen. Nach dem SetInfo-Aufruf verfügt der erstellende Thread nicht unbedingt über die Zugriffsrechte zum Festlegen der Eigenschaften des neuen Objekts. Um sicherzustellen, dass der Aufrufer über diese Rechte verfügt, geben Sie während der Erstellung einen expliziten Sicherheitsdeskriptor an. Die DACL sollte über einen ACE verfügen, der dem Aufrufer die erforderlichen Zugriffsrechte für das Objekt erteilt.

Weitere Informationen zur Zugriffssteuerung und Objekterstellung finden Sie unter Festlegen von Sicherheitsbeschreibungen für neue Verzeichnisobjekte.