Controlando a visibilidade do objeto

Os Serviços de Domínio Active Directory fornecem a capacidade de ocultar objetos de usuários aos quais foram negados determinados direitos. Se um objeto estiver oculto, um aplicativo que esteja sendo executado com as credenciais de um usuário não poderá enumerar ou vincular ao objeto.

Se um usuário receber o direito de controle de acesso ADS_RIGHT_ACTRL_DS_LIST em um contêiner, ele poderá exibir qualquer um dos objetos filho do contêiner. Da mesma forma, se for negado a um usuário o direito de controle de acesso ADS_RIGHT_ACTRL_DS_LIST em um contêiner, ele não poderá exibir nenhum dos objetos filho do contêiner. Isso permite que o conteúdo de contêineres inteiros seja oculto.

O servidor do Active Directory também pode ser colocado em um modo de objeto de lista especial definindo o terceiro caractere da propriedade dSHeuristics como "1". O modo de objeto de lista pode ser desabilitado definindo o terceiro caractere da propriedade dSHeuristics como "0". Quando o servidor do Active Directory estiver no modo de objeto de lista, um objeto ainda ficará visível se o usuário tiver recebido o direito de ADS_RIGHT_ACTRL_DS_LIST no objeto pai. Se, no entanto, o usuário tiver o direito de ADS_RIGHT_ACTRL_DS_LIST negado sobre o pai, objetos filho específicos ainda poderão ficar visíveis se o usuário receber o direito de ADS_RIGHT_DS_LIST_OBJECT sobre os objetos pai e filho. O modo de objeto de lista permite que o administrador do sistema conceda ou negue acesso a objetos individuais para usuários ou grupos. O modo de objeto de lista deve ser usado com moderação porque requer um número significativamente maior de chamadas de verificação de acesso a serem feitas pelo serviço de diretório para determinar se um objeto está visível para um usuário. Assim, ele pode ter um efeito negativo sobre o desempenho de navegação ou leitura de objetos dos Serviços de Domínio Active Directory.