Mengontrol Visibilitas Objek

Active Directory Domain Services menyediakan kemampuan untuk menyembunyikan objek dari pengguna yang telah ditolak hak tertentu. Jika objek disembunyikan, aplikasi yang berjalan dengan kredensial pengguna tidak akan dapat menghitung atau mengikat objek.

Jika pengguna diberikan kontrol akses ADS_RIGHT_ACTRL_DS_LIST langsung pada kontainer, pengguna dapat melihat salah satu objek turunan kontainer. Demikian juga, jika pengguna ditolak ADS_RIGHT_ACTRL_DS_LIST kontrol akses tepat pada kontainer, pengguna tidak dapat melihat salah satu objek turunan kontainer. Ini memungkinkan konten seluruh kontainer disembunyikan.

Server Direktori Aktif juga dapat dimasukkan ke dalam mode objek daftar khusus dengan mengatur karakter ketiga properti dSHeuristics ke "1". Mode objek daftar dapat dinonaktifkan dengan mengatur karakter ketiga properti dSHeuristics ke "0". Ketika server Direktori Aktif berada dalam mode objek daftar, objek masih akan terlihat jika pengguna telah diberikan ADS_RIGHT_ACTRL_DS_LIST tepat di objek induk. Namun, jika pengguna telah ditolak ADS_RIGHT_ACTRL_DS_LIST tepat di induk, objek turunan tertentu masih dapat dilihat jika pengguna diberikan ADS_RIGHT_DS_LIST_OBJECT tepat pada objek induk dan anak. Mode objek daftar memungkinkan administrator sistem untuk memberikan atau menolak akses ke objek individual untuk pengguna atau grup. Mode objek daftar harus digunakan dengan hemat karena memerlukan jumlah panggilan pemeriksaan akses yang jauh lebih tinggi untuk dilakukan oleh layanan direktori untuk menentukan apakah objek terlihat oleh pengguna. Dengan demikian dapat memiliki efek negatif pada performa penjelajahan atau membaca objek dari Active Directory Domain Services.