Contrôle de la visibilité des objets

services de domaine Active Directory fournir la possibilité de masquer des objets aux utilisateurs qui se sont vu refuser certains droits. Si un objet est masqué, une application qui s’exécute avec les informations d’identification d’un utilisateur ne peut pas énumérer ou lier l’objet.

Si un utilisateur se voit accorder le droit de contrôle d’accès ADS_RIGHT_ACTRL_DS_LIST sur un conteneur, il peut afficher n’importe quel objet enfant du conteneur. De même, si un utilisateur se voit refuser le droit de contrôle d’accès ADS_RIGHT_ACTRL_DS_LIST sur un conteneur, l’utilisateur ne peut afficher aucun des objets enfants du conteneur. Cela permet de masquer le contenu de conteneurs entiers.

Le serveur Active Directory peut également être placé en mode objet de liste spéciale en définissant le troisième caractère de la propriété dSHeuristics sur « 1 ». Le mode objet de liste peut être désactivé en définissant le troisième caractère de la propriété dSHeuristics sur « 0 ». Lorsque le serveur Active Directory est en mode objet de liste, un objet est toujours visible si l’utilisateur a obtenu le droit ADS_RIGHT_ACTRL_DS_LIST sur l’objet parent. Si, toutefois, l’utilisateur s’est vu refuser le droit de ADS_RIGHT_ACTRL_DS_LIST sur le parent, des objets enfants spécifiques peuvent toujours être rendus visibles si l’utilisateur se voit accorder le droit ADS_RIGHT_DS_LIST_OBJECT sur les objets parent et enfant. Le mode d’objet de liste permet à l’administrateur système d’accorder ou de refuser l’accès à des objets individuels pour des utilisateurs ou des groupes. Le mode objet de liste doit être utilisé avec parcimonie, car il nécessite un nombre d’accès beaucoup plus élevé case activée d’appels à effectuer par le service d’annuaire pour déterminer si un objet est visible par un utilisateur. Ainsi, cela peut avoir un effet négatif sur les performances de la navigation ou de la lecture d’objets à partir de services de domaine Active Directory.