Condividi tramite


Controllo di accesso e creazione di oggetti

Il server Active Directory non riuscirà a creare un oggetto figlio se il chiamante non dispone del ADS_RIGHT_DS_CREATE_CHILD per tale tipo di oggetto nel contenitore padre. Per determinare i tipi di oggetti figlio che il chiamante può creare in un oggetto directory, leggere l'attributo allowedChildClassesEffective dell'oggetto.

Quando si usa il metodo IADsContainer::Create per creare un oggetto figlio, l'oggetto non viene reso persistente finché non viene chiamato IADs::SetInfo sul nuovo oggetto. Tra le chiamate Create e SetInfo , il thread di creazione può inserire valori in una delle proprietà del nuovo oggetto. Dopo la chiamata a SetInfo , il thread di creazione non ha necessariamente i diritti di accesso per impostare le proprietà del nuovo oggetto. Per assicurarsi che il chiamante disponga di questi diritti, specificare un descrittore di sicurezza esplicito durante la creazione. L'elenco DACL deve avere un ace che fornisce al chiamante i diritti di accesso necessari per l'oggetto.

Per altre informazioni sul controllo di accesso e sulla creazione di oggetti, vedere How Security Descriptors are Set on New Directory Objects.