控制对象可见性

Active Directory 域服务提供向被拒绝特定权限的用户隐藏对象的功能。 如果对象已隐藏，则使用用户的凭据运行的应用程序将无法枚举或绑定到该对象。

如果用户被授予容器上的 ADS_RIGHT_ACTRL_DS_LIST 访问控制权限，则用户可以查看容器的任何子对象。 同样，如果用户被拒绝 容器上的ADS_RIGHT_ACTRL_DS_LIST 访问控制权限，则用户无法查看容器的任何子对象。 这允许隐藏整个容器的内容。

还可以通过将 dSHeuristics 属性的第三个字符设置为“1”，将 Active Directory 服务器置于特殊列表对象模式中。 通过将 dSHeuristics 属性的第三个字符设置为“0”，可以禁用列表对象模式。 当 Active Directory 服务器处于列表对象模式时，如果用户已获得 父对象的ADS_RIGHT_ACTRL_DS_LIST 权限，该对象仍将可见。 但是，如果用户在父对象和子对象上被拒绝 了ADS_RIGHT_ACTRL_DS_LIST 权限，则如果用户被授予 父对象和子对象的ADS_RIGHT_DS_LIST_OBJECT 权限，则仍可显示特定的子对象。 列表对象模式允许系统管理员授予或拒绝对用户或组的各个对象的访问权限。 应谨慎使用列表对象模式，因为它需要目录服务要进行大量访问检查调用来确定对象是否对用户可见。 因此，它可以对从Active Directory 域服务浏览或读取对象的性能产生负面影响。