是的,但它很复杂.您需要做的是将您的域置于列表对象模式.这是通过在ADSI编辑中将配置命名上下文中dsHeuristics属性中的第三个数字设置为1来完成的.

http://technet.microsoft.com/en-us/library/cc546864.aspx

完成后,您将解锁列表对象模式,您将看到该模式作为可以分配给Active Directory对象的新权限或ACE.

它让人联想到Windows安全性中的“绕过遍历检查”权限,允许用户遍历他们没有权限的文件夹,以便访问他们有权访问的文件夹.

您主要看到多租户环境中使用的AD列表对象模式,其中您有多个客户共享同一个AD域,并且您不希望他们能够看到彼此的内容.

但请记住,除非您非常非常精确地使用您的权限,否则您将在客户端遇到组策略应用程序错误.客户端上的GP引擎需要读取gpLink,读取gpOptions,读取cn并读取链中每个OU上的distinguished Name,从它们一直驻留到域的根目录,否则GPO应用程序将失败.