Управление видимостью объектов

Доменные службы Active Directory предоставляют возможность скрытия объектов от пользователей, которые были отказано в определенных правах. Если объект скрыт, приложение, работающее с учетными данными пользователя, не сможет перечислить или привязать к объекту.

Если пользователю предоставлено право управления доступом ADS_RIGHT_ACTRL_DS_LIST на контейнер, пользователь может просматривать любой из дочерних объектов контейнера. Аналогичным образом, если пользователю запрещено право контроля доступа ADS_RIGHT_ACTRL_DS_LIST в контейнере, пользователь не может просматривать никакие дочерние объекты контейнера. Это позволяет скрыть содержимое всех контейнеров.

Сервер Active Directory также можно поместить в специальный режим объекта списка, задав третий символ dSHeuristics свойству "1". Режим объекта списка можно отключить, задав третий символ свойства dSHeuristics значение "0". Если сервер Active Directory находится в режиме объекта списка, объект по-прежнему будет виден, если пользователь получил ADS_RIGHT_ACTRL_DS_LIST право на родительский объект. Тем не менее, если пользователю было отказано в праве ADS_RIGHT_ACTRL_DS_LIST на родительском объекте, определенные дочерние объекты по-прежнему могут быть видимы, если пользователю предоставлено право ADS_RIGHT_DS_LIST_OBJECT как на родительском, так и на дочерних объектах. Режим объекта списка позволяет системным администраторам предоставлять или запрещать доступ к отдельным объектам для пользователей или групп. Режим объекта списка следует использовать щадя, так как для этого требуется значительно большее количество вызовов проверки доступа, которые должны выполняться службой каталогов, чтобы определить, отображается ли объект пользователю. Таким образом, это может негативно повлиять на производительность просмотра или чтения объектов из доменных служб Active Directory.