Кожен об'єкт, що зберігається в Active Directory (користувач, група, організаційна одиниця і т.п.) має свої власні дозволу доступу. За допомогою цих дозволів адміністратор домену може делегувати права на керування користувачами, групами або комп'ютерами будь-якому користувачеві, наприклад щоб звільнитися від виконання рутинних завдань.Однією з проблем делегування є необхідність зробити зберігаються в AD дані видимими тільки для тих користувачів, яким це необхідно для роботи і приховати від всіх інших. Про те, як це можна зробити і піде сьогодні мова.

Почнемо з того, що в AD є вбудована група Authenticated Users (Автентифіковані), в яку входять всі користувачі, успішно пройшли процедуру аутентифікації в домені.За замовчуванням для групи Authenticated Users надається дозвіл на перегляд всіх організаційних одиницях (OU) в домені. Простіше кажучи, будь-який користувач домену, який має доступ до оснащення Active Directory Users and Computers (ADUC) або до будь-якого іншого інструменту для доступу до AD може безперешкодно переглядати вміст будь-OU.

Для прикладу візьмемо OU Employees, в якій знаходиться дочірня OU Security. Про цю OU звичайним користувачам знати необов'язково, тому її необхідно приховати.

Щоб відкрити вікно параметрів Employees правим клацанням миші відкриємо контекстне меню і виберемо пункт Properties.

Потім у властивостях OU перейдемо на вкладку Security і подивимося поточні настройки безпеки.Як бачите, у групи Authenticated Users є дозвіл на читання (Read) для даної організаційної одиниці.

Примітка. Для відображення вкладки «Security» необхідно в меню «View» включити опцію «Advanced features».

За кнопці «Advanced» перейдемо до розширених налаштувань безпеки.Для більш детального перегляду всіх дозволу для групи Authenticated Users виділимо її і натиснемо Edit.

Як бачите , в базовий дозвіл Read входить дозвіл List Contents, яке і дає користувачеві можливість переглядати вміст OU незалежно від того, є у нього дозволу на дочірні об'єкти чи ні.

Тут треба уточнити, що при відсутності у користувача прав доступу до об'єкта оснащення ADUC не зможе коректно відобразити тип об'єкту і покаже його як невідомий (Unknown). Тому, якщо у групи Authenticated Users відібрати права на читання OU Security, то вийде кілька неприваблива