Controllo della visibilità degli oggetti

Servizi di dominio Active Directory consentono di nascondere gli oggetti agli utenti ai quali sono stati negati determinati diritti. Se un oggetto è nascosto, un'applicazione in esecuzione con le credenziali di un utente non sarà in grado di enumerare o associare all'oggetto.

Se a un utente viene concesso il diritto di controllo di accesso ADS_RIGHT_ACTRL_DS_LIST su un contenitore, l'utente può visualizzare uno qualsiasi degli oggetti figlio del contenitore. Analogamente, se un utente viene negato il diritto di controllo di accesso ADS_RIGHT_ACTRL_DS_LIST su un contenitore, l'utente non può visualizzare uno degli oggetti figlio del contenitore. Ciò consente di nascondere il contenuto di interi contenitori.

Il server Active Directory può anche essere inserito in una modalità oggetto elenco speciale impostando il terzo carattere della proprietà dSHeuristics su "1". La modalità oggetto elenco può essere disabilitata impostando il terzo carattere della proprietà dSHeuristics su "0". Quando il server Active Directory è in modalità oggetto elenco, un oggetto sarà comunque visibile se all'utente è stato concesso il diritto di ADS_RIGHT_ACTRL_DS_LIST sull'oggetto padre. Se, tuttavia, all'utente è stato negato il diritto di ADS_RIGHT_ACTRL_DS_LIST sull'elemento padre, è comunque possibile rendere visibili oggetti figlio specifici se all'utente viene concesso il diritto di ADS_RIGHT_DS_LIST_OBJECT sia sugli oggetti padre che su quelli figlio. La modalità oggetto elenco consente all'amministratore di sistema di concedere o negare l'accesso a singoli oggetti per utenti o gruppi. La modalità oggetto elenco deve essere usata con moderazione perché richiede un numero notevolmente superiore di chiamate di controllo di accesso da effettuare dal servizio directory per determinare se un oggetto è visibile a un utente. Può quindi avere un effetto negativo sulle prestazioni di esplorazione o lettura di oggetti da Servizi di dominio Active Directory.