Freigeben über


Steuern der Objektsichtbarkeit

Active Directory Domain Services die Möglichkeit bieten, Objekte vor Benutzern auszublenden, denen bestimmte Rechte verweigert wurden. Wenn ein Objekt ausgeblendet ist, kann eine Anwendung, die mit den Anmeldeinformationen eines Benutzers ausgeführt wird, das Objekt nicht aufzählen oder an das Objekt binden.

Wenn einem Benutzer das ADS_RIGHT_ACTRL_DS_LIST-Zugriffssteuerungsrecht für einen Container gewährt wird, kann der Benutzer jedes der untergeordneten Objekte des Containers anzeigen. Wenn einem Benutzer das ADS_RIGHT_ACTRL_DS_LIST Zugriffssteuerungsrecht für einen Container verweigert wird, kann der Benutzer keines der untergeordneten Objekte des Containers anzeigen. Dadurch kann der Inhalt ganzer Container ausgeblendet werden.

Der Active Directory-Server kann auch in einen speziellen Listenobjektmodus versetzt werden, indem das dritte Zeichen der dSHeuristics-Eigenschaft auf "1" festgelegt wird. Der Listenobjektmodus kann deaktiviert werden, indem das dritte Zeichen der dSHeuristics-Eigenschaft auf "0" festgelegt wird. Wenn sich der Active Directory-Server im Listenobjektmodus befindet, ist ein Objekt weiterhin sichtbar, wenn dem Benutzer das ADS_RIGHT_ACTRL_DS_LIST Recht für das übergeordnete Objekt gewährt wurde. Wenn dem Benutzer jedoch das ADS_RIGHT_ACTRL_DS_LIST Recht für das übergeordnete Objekt verweigert wurde, können bestimmte untergeordnete Objekte weiterhin sichtbar gemacht werden, wenn dem Benutzer das ADS_RIGHT_DS_LIST_OBJECT Recht sowohl für das übergeordnete als auch für das untergeordnete Objekt gewährt wird. Der Listenobjektmodus ermöglicht es dem Systemadministrator, Benutzern oder Gruppen den Zugriff auf einzelne Objekte zu gewähren oder zu verweigern. Der Listenobjektmodus sollte sparsam verwendet werden, da er eine deutlich höhere Anzahl von Zugriffsüberprüfungsaufrufen vom Verzeichnisdienst erfordert, um zu bestimmen, ob ein Objekt für einen Benutzer sichtbar ist. Daher kann es sich negativ auf die Leistung des Durchsuchens oder Lesens von Objekten aus Active Directory Domain Services auswirken.