Controlando a visibilidade do objeto

Os Serviços de Domínio Ative Directory oferecem a capacidade de ocultar objetos de usuários aos quais foram negados determinados direitos. Se um objeto estiver oculto, um aplicativo que esteja sendo executado com as credenciais de um usuário não poderá enumerar ou vincular ao objeto.

Se um utilizador receber o direito de controlo de acesso ADS_RIGHT_ACTRL_DS_LIST num contentor, ele poderá exibir qualquer um dos objetos filho do contentor. Da mesma forma, se for negado a um usuário o direito de controle de acesso ADS_RIGHT_ACTRL_DS_LIST em um contêiner, o usuário não poderá exibir nenhum dos objetos filho do contêiner. Isso permite que o conteúdo de recipientes inteiros seja oculto.

O servidor do Ative Directory também pode ser colocado em um modo de objeto de lista especial definindo o terceiro caractere da propriedade dSHeuristics como "1". O modo de objeto de lista pode ser desativado definindo o terceiro caractere da propriedade dSHeuristics como "0". Quando o servidor do Active Directory estiver no modo de lista de objetos, um objeto ainda estará visível se o utilizador tiver recebido o direito de ADS_RIGHT_ACTRL_DS_LIST no objeto pai. Se, no entanto, tiver sido negado ao utilizador o direito de ADS_RIGHT_ACTRL_DS_LIST no objeto pai, objetos filho específicos ainda poderão ser tornados visíveis se o utilizador for concedido o direito de ADS_RIGHT_DS_LIST_OBJECT nos objetos pai e filho. O modo de objeto de lista permite que o administrador do sistema conceda ou negue acesso a objetos individuais para usuários ou grupos. O modo de objeto de lista deve ser usado com moderação porque requer um número significativamente maior de chamadas de verificação de acesso a serem feitas pelo serviço de diretório para determinar se um objeto está visível para um usuário. Assim, pode ter um efeito negativo no desempenho da navegação ou leitura de objetos dos Serviços de Domínio Ative Directory.