Sim, mas é complicado. O que você precisa fazer é colocar seu domínio no modo Listar Objeto. Isso é feito configurando o terceiro número no atributo dsHeuristics no contexto de nomenclatura de configuração como 1 na edição ADSI.
Uma vez feito isso, você irá desbloquear o modo List Object, que você verá como uma nova permissão ou ACE que você pode atribuir aos objetos do Active Directory.
É uma reminiscência do privilégio "verificação de passagem de desvio" na segurança do Windows que permite ao usuário atravessar uma pasta para a qual eles não têm permissões para acessar uma pasta à qual eles têm permissões.
Você vê principalmente o modo de lista de objetos do AD usado em ambientes de vários locatários, nos quais vários clientes compartilham o mesmo domínio do AD e você não quer que eles possam ver as coisas uns dos outros.
No entanto, lembre-se de que você encontrará erros de aplicativo da Diretiva de Grupo em seus clientes, a menos que seja muito preciso com suas permissões. O mecanismo GP em um cliente precisa ler gpLink, ler gpOptions, ler cn e ler o Nome Distinto em cada UO na cadeia de onde residem até a raiz do domínio, ou então GPO aplicativo falhará.