Access Control et création d’objets

Le serveur Active Directory ne parvient pas à créer un objet enfant si l’appelant n’a pas la ADS_RIGHT_DS_CREATE_CHILD pour ce type d’objet sur le conteneur parent. Pour déterminer les types d’objets enfants que l’appelant peut créer dans un objet d’annuaire, lisez l’attribut allowedChildClassesEffective de l’objet.

Lorsque vous utilisez la méthode IADsContainer::Create pour créer un objet enfant, l’objet n’est pas rendu persistant tant qu’IADs::SetInfo n’est pas appelé sur le nouvel objet. Entre les appels Create et SetInfo , le thread de création peut placer des valeurs dans l’une des propriétés du nouvel objet. Après l’appel SetInfo , le thread de création ne dispose pas nécessairement des droits d’accès nécessaires pour définir les propriétés du nouvel objet. Pour vous assurer que l’appelant dispose de ces droits, spécifiez un descripteur de sécurité explicite lors de la création. Le DACL doit avoir un ACE qui donne à l’appelant les droits d’accès nécessaires sur l’objet.

Pour plus d’informations sur le contrôle d’accès et la création d’objets, consultez Comment les descripteurs de sécurité sont définis sur les nouveaux objets d’annuaire.