如果调用方没有父容器上该对象类型的 ADS_RIGHT_DS_CREATE_CHILD,Active Directory 服务器将无法创建子对象。 若要确定调用方可以在目录对象中创建的子对象的类型,请读取对象的 allowedChildClassesEffective 属性。
使用 IADsContainer::Create 方法创建子对象时,在对新对象调用 IADs::SetInfo 之前,该对象不会持久化。 在 创建 和 SetInfo 调用之间,创建线程可以将值放入任何新对象的属性中。 SetInfo 调用后,创建线程不一定具有设置新对象的属性的访问权限。 若要确保调用方具有这些权限,请在创建过程中指定显式安全描述符。 DACL 应具有 ACE,它为调用方提供对象所需的访问权限。
有关访问控制和对象创建的详细信息,请参阅 如何在新目录对象上设置安全描述符。