Access Control y creación de objetos

El servidor de Active Directory no podrá crear un objeto secundario si el autor de la llamada no tiene el ADS_RIGHT_DS_CREATE_CHILD para ese tipo de objeto en el contenedor primario. Para determinar los tipos de objetos secundarios que el autor de la llamada puede crear en un objeto de directorio, lea el atributo allowedChildClassesEffective del objeto.

Cuando se usa el método IADsContainer::Create para crear un objeto secundario, el objeto no se hace persistente hasta que se llama a IADs::SetInfo en el nuevo objeto. Entre las llamadas Create y SetInfo , el subproceso de creación puede colocar valores en cualquiera de las propiedades del nuevo objeto. Después de la llamada a SetInfo , el subproceso de creación no tiene necesariamente los derechos de acceso para establecer las propiedades del nuevo objeto. Para asegurarse de que el autor de la llamada tenga estos derechos, especifique un descriptor de seguridad explícito durante la creación. La DACL debe tener una ACE que proporcione al autor de la llamada los derechos de acceso necesarios en el objeto .

Para obtener más información sobre el control de acceso y la creación de objetos, vea How Security Descriptors are Set on New Directory Objects.