共用方式為

控制物件可見性

  • 發行項

Active Directory 網域服務提供隱藏物件的能力,讓遭到拒絕特定許可權的用戶隱藏物件。 如果物件已隱藏,以使用者認證執行的應用程式將無法列舉或系結至物件。

如果使用者被授與容器上的 ADS_RIGHT_ACTRL_DS_LIST 訪問控制許可權,使用者可以檢視容器的任何子物件。 同樣地,如果使用者被拒絕容器上的 ADS_RIGHT_ACTRL_DS_LIST 訪問控制許可權,使用者就無法檢視容器的任何子物件。 這使能夠隱藏整個容器的內容。

Active Directory 伺服器也可以藉由將 dSHeuristics 屬性的第三個字元設定為 “1”,將 Active Directory 伺服器放入特殊清單物件模式。 您可以將 dSHeuristics 屬性的第三個字元設定為 “0”,以停用清單物件模式。 當 Active Directory 伺服器處於列表物件模式時,如果使用者已獲授與父物件上的 ADS_RIGHT_ACTRL_DS_LIST 許可權,仍然可以看到該物件。 不過,如果使用者在父物件上被拒絕 ADS_RIGHT_ACTRL_DS_LIST 許可權,則如果使用者被授與父物件和子物件的 ADS_RIGHT_DS_LIST_OBJECT 許可權,仍然可以顯示特定子物件。 清單物件模式可讓系統管理員授與或拒絕使用者或群組個別物件的存取權。 清單物件模式應該謹慎使用,因為它需要目錄服務要進行大量存取檢查呼叫,以判斷使用者是否可以看到物件。 因此,它可能會對從 Active Directory 網域服務瀏覽或讀取物件的效能產生負面影響。