Управление видимостью объектов

службы домен Active Directory предоставляют возможность скрытия объектов от пользователей, которые были отказано в определенных правах. Если объект скрыт, приложение, работающее с учетными данными пользователя, не сможет перечислить или привязать к объекту.

Если пользователю предоставлено право управления доступом ADS_RIGHT_ACTRL_DS_LIST в контейнере, пользователь может просматривать любые дочерние объекты контейнера. Аналогичным образом, если пользователю запрещено ADS_RIGHT_ACTRL_DS_LIST управление доступом в контейнере, пользователь не может просматривать какие-либо дочерние объекты контейнера. Это позволяет скрыть содержимое всех контейнеров.

Сервер Active Directory также можно поместить в специальный режим объекта списка, задав третий символ свойства dSHeuristics значение "1". Режим объекта списка можно отключить, задав третий символ свойства dSHeuristics значение "0". Если сервер Active Directory находится в режиме объекта списка, объект по-прежнему будет виден, если пользователь был предоставлен ADS_RIGHT_ACTRL_DS_LIST прямо на родительском объекте. Однако если пользователю было отказано в том, что ADS_RIGHT_ACTRL_DS_LIST право на родительский объект, определенные дочерние объекты по-прежнему могут быть видимы, если пользователю предоставлено ADS_RIGHT_DS_LIST_OBJECT право на родительские и дочерние объекты. Режим объекта списка позволяет системным администраторам предоставлять или запрещать доступ к отдельным объектам для пользователей или групп. Режим объекта списка следует использовать смешно, так как для этого требуется значительно большее количество вызовов доступа проверка для выполнения службой каталогов, чтобы определить, отображается ли объект пользователю. Таким образом, он может негативно повлиять на производительность просмотра или чтения объектов из служб домен Active Directory.