создание контроль доступа и объектов

Сервер Active Directory не сможет создать дочерний объект, если вызывающий объект не имеет ADS_RIGHT_DS_CREATE_CHILD для этого типа объекта в родительском контейнере. Чтобы определить типы дочерних объектов, которые вызывающий объект может создать в объекте каталога, прочитайте атрибут allowedChildClassesEffective объекта.

При использовании метода IADsContainer::Create для создания дочернего объекта объект не создается постоянно, пока IADs::SetInfo вызывается в новом объекте. Между вызовами Create и SetInfo создание потока может поместить значения в любое из свойств нового объекта. После вызова SetInfo создание потока не обязательно имеет права доступа для задания свойств нового объекта. Чтобы убедиться, что вызывающий объект имеет эти права, укажите явный дескриптор безопасности во время создания. DaCL должен иметь ACE, который предоставляет вызывающей стороне необходимые права доступа к объекту.

Дополнительные сведения об управлении доступом и создании объектов см. в разделе "Настройка дескрипторов безопасности" в новых объектах каталога.