控制物件可見性
Active Directory 網域服務 提供隱藏物件的能力,讓遭到拒絕特定許可權的用戶隱藏物件。 如果物件已隱藏,以使用者認證執行的應用程式將無法列舉或系結至物件。
如果使用者被授與 容器上的ADS_RIGHT_ACTRL_DS_LIST 訪問控制許可權,則使用者可以檢視容器的任何子物件。 同樣地,如果使用者拒絕 容器上的ADS_RIGHT_ACTRL_DS_LIST 訪問控制許可權,使用者就無法檢視容器的任何子物件。 這可讓隱藏整個容器的內容。
Active Directory 伺服器也可以藉由將 dSHeuristics 屬性的第三個字元設定為 “1”,以放入特殊清單物件模式。 將 dSHeuristics 屬性的第三個字元設定為 “0”,即可停用清單物件模式。 當 Active Directory 伺服器處於清單物件模式時,如果使用者已獲授 與父物件上的ADS_RIGHT_ACTRL_DS_LIST 許可權,仍然會顯示物件。 不過,如果使用者在父系和子物件上被 授與ADS_RIGHT_DS_LIST_OBJECT 許可權,使用者仍可看見ADS_RIGHT_ACTRL_DS_LIST許可權。如果使用者被授 與父物件和子對象的許可權 ,仍然可以顯示特定的子物件。 清單物件模式可讓系統管理員授與或拒絕使用者或群組個別物件的存取權。 清單物件模式應該謹慎使用,因為它需要目錄服務要進行大量存取檢查呼叫,以判斷使用者是否可以看到物件。 因此,它可能會對流覽或讀取 Active Directory 網域服務 物件的效能產生負面影響。