سناریو : ما دو Organizational Unit - OU مختلف داریم، یک OU به نام Chief که یوزرEd Price در آن است و یک OU به نام Employee که یوزر Annie Gers در آن است . هدف این است که یوزر Annie Gers نتواند هیچ Object را که در OU=Chief میباشد را ببیند، اما یوزر Ed Price که در OU=Chief میباشد بتواند Object هایی که در OU=Employee هستند را ببیند .
یوزر Annie Gers رو کلاینت Client خود لاگان Logon میکند .
قبل از هر تغییراتی مشاهده میکنید که یوزر Annie Gers میتواند یوزر Ed Price را در OU=Chief پیدا کند .
اگر احتیاج دارید که از روی کلاینت Client ، اکتیو دایرکتوری Active Directory را جستجو کنید، در قسمت Start-->Run این فرمان را وارد کنید یا در کنسول CMD نیز میتوانید این دستور Command را اجرا کنید
حال عملیات تغییرات را آغاز میکنیم تا به هدف مورد نظر دست پیدا کنیم .
کنسول Active Directory Users and Computers را باز کرده،View را کلیک کرده و Advanced Features را انتخاب میکنیم .
روی OU=Chief کلیک سمت راست کرده و Properties را انتخاب و کلیک میکنیم .
تب Security را انتخاب میکنیم .
Add را کلیک کرده و سپس یوزر Annie Gers را اضافه Add میکنیم و در آخر OK را کلیک میکنیم .
همانطور که میبینیم، یوزر Annie Gers به صورت استاندارد Default اجازه Permission خواندن Read برای OU=Chief دارد .
تیک مربوط به Allow را پاک کرده و Deny را برای Read انتخاب میکنیم .
حالا دوباره یوزر Annie Gers تلاش میکند که یوزر Ed Price را پیدا Find کند، ولی دیگر نمیتواند هیچ Object را که در OU=Chief قرار دارد پیدا کرده یا ببیند .