Controlar la visibilidad del objeto
Servicios de dominio de Active Directory proporcionar la capacidad de ocultar objetos de los usuarios a los que se les han denegado determinados derechos. Si un objeto está oculto, una aplicación que se ejecuta con las credenciales de un usuario no podrá enumerar ni enlazar con el objeto .
Si a un usuario se le concede el derecho de control de acceso ADS_RIGHT_ACTRL_DS_LIST en un contenedor, el usuario puede ver cualquiera de los objetos secundarios del contenedor. Del mismo modo, si se deniega al usuario el derecho de control de acceso ADS_RIGHT_ACTRL_DS_LIST en un contenedor, el usuario no puede ver ninguno de los objetos secundarios del contenedor. Esto permite ocultar el contenido de los contenedores completos.
El servidor de Active Directory también se puede colocar en un modo de objeto de lista especial estableciendo el tercer carácter de la propiedad dSHeuristics en "1". El modo de objeto de lista se puede deshabilitar estableciendo el tercer carácter de la propiedad dSHeuristics en "0". Cuando el servidor de Active Directory está en el modo de objeto de lista, un objeto seguirá siendo visible si se le ha concedido al usuario el ADS_RIGHT_ACTRL_DS_LIST derecho en el objeto primario. Sin embargo, si se ha denegado al usuario el ADS_RIGHT_ACTRL_DS_LIST derecho en el elemento primario, se pueden hacer visibles objetos secundarios específicos si se concede al usuario el derecho ADS_RIGHT_DS_LIST_OBJECT en los objetos primarios y secundarios. El modo de objeto de lista permite al administrador del sistema conceder o denegar el acceso a objetos individuales para usuarios o grupos. El modo de objeto de lista debe usarse con moderación porque requiere un número significativamente mayor de llamadas de comprobación de acceso que el servicio de directorio realice para determinar si un objeto es visible para un usuario. Por lo tanto, puede tener un efecto negativo en el rendimiento de la exploración o lectura de objetos de Servicios de dominio de Active Directory.