オブジェクトの可視性を制御する

Active Directoryドメインサービスは、特定の権限を拒否されたユーザーからオブジェクトを隠す機能を提供する。 オブジェクトが非表示になっている場合、ユーザーの認証情報で実行されているアプリケーションは、そのオブジェクトを列挙したりバインドしたりすることができません。

ユーザーに ADS_RIGHT_ACTRL_DS_LIST コンテナに対するアクセス制御権を持つユーザーは、そのコンテナの子オブジェクトのどれでも見ることができる。 同様に、もしユーザーが ADS_RIGHT_ACTRL_DS_LIST コンテナに対するアクセス制御権を持つユーザーは、そのコンテナの子オブジェクトを見ることができません。 これにより、コンテナ全体の中身を隠すことができる。

の3番目の文字を設定することで、Active Directoryサーバーを特別なリストオブジェクトモードにすることもできる。 dSHeuristics プロパティを "1 "に設定する。 の3番目の文字を設定することで、リストオブジェクトモードを無効にすることができる。 dSHeuristics プロパティを "0 "に設定する。 Active Directoryサーバーがリストオブジェクトモードにあるとき、ユーザーに ADS_RIGHT_ACTRL_DS_LIST 親オブジェクトの右側にある。 しかし、もしユーザーが ADS_RIGHT_ACTRL_DS_LIST 権限が与えられていれば、特定の子オブジェクトを表示することができます。 ADS_RIGHT_DS_LIST_OBJECT 親オブジェクトと子オブジェクトの両方に対する権利。 リストオブジェクトモードでは、システム管理者は、ユーザーまたはグループに対して、個々のオブジェクトへのアクセスを許可または拒否することができます。 リストオブジェクトモードでは、オブジェクトがユーザーに見えるかどうかを判断するために、ディレクトリサービスによるアクセスチェックの呼び出しがかなり多く必要になるため、使用は控えめにすべきである。 そのため、Active Directoryドメインサービスのオブジェクトの閲覧や読み込みのパフォーマンスに悪影響を及ぼす可能性がある。