Все объекты в Active Directory защищены списками контроля доступа (ACLs), которые определяют, кто из пользователей может видеть данный объект и какие действия с объектом разрешены каждому из пользователей. Если пользователю не разрешено видеть данный объект, то у него нет и никаких средств узнать о его существовании.

Список контроля доступа состоит из записей управления доступом (Access Control Entries, ACEs). Они хранятся вместе с объектом, который защищается данным списком. В операционной системе Windows 2000 список ACL хранится в двоичном формате и называется дескриптором безопасности (Security Descriptor). Каждая запись ACE содержит идентификатор защиты (Security Identifier, SID), который однозначно указывает на лицо, ответственное за безопасность данного объекта (principal) – им может быть отдельный пользователь или группа пользователей), и содержит информацию о том, какой тип доступа к объекту разрешен записью ACE.

Списки ACL в каталогах содержат записи, относящиеся к объекту в целом, и записи, относящиеся к отдельным атрибутам объекта. Это дает возможность администратору не только указывать, какие пользователи могут видеть данный объект, но и какие свойства этого объекта будут видны пользователям. Например, всем пользователям может быть разрешено чтение таких атрибутов, как телефонные номера и адреса электронной почты других пользователей, но параметры, относящиеся к безопасности данных, могут быть доступны только членам специальной группы администраторов системы. Отдельным пользователям может быть разрешена запись в их личные атрибуты, например, внесение исправлений в номера их телефонов или адреса электронной почты.