Partilhar via

Controle de Acesso e Criação de Objetos

  • Artigo

O servidor do Active Directory falhará ao criar um objeto filho se o chamador não tiver o ADS_RIGHT_DS_CREATE_CHILD para esse tipo de objeto no contêiner pai. Para determinar os tipos de objetos filho que o chamador pode criar em um objeto de diretório, leia o atributo allowedChildClassesEffective do objeto.

Quando você usa o método IADsContainer::Create para criar um objeto filho, o objeto não se torna persistente até que IADs::SetInfo seja chamado no novo objeto. Entre as chamadas Create e SetInfo , o thread de criação pode colocar valores em qualquer uma das propriedades do novo objeto. Após a chamada SetInfo , o thread de criação não tem necessariamente os direitos de acesso para definir as propriedades do novo objeto. Para garantir que o chamador tenha esses direitos, especifique um descritor de segurança explícito durante a criação. A DACL deve ter uma ACE que conceda ao chamador os direitos de acesso necessários no objeto.

Para obter mais informações sobre controle de acesso e criação de objetos, consulte Como os descritores de segurança são definidos em novos objetos de diretório.