我正在尝试设置我们的网站,以仅允许使用 Windows 身份验证的某些 AD 组中的用户访问,但似乎无法使其正常工作。我尝试使用 IIS 的授权并将其限制为仅这些组,但我无法访问这些组中的用户。这似乎是受支持的功能,但我无法使其工作。
这些页面也完全在.net中,所以我尝试指定
<identity impersonate="true"/>
<authentication mode="Windows" />
<authorization>
<allow users="Domain\ProgramUsers"/>
<deny users="?"/>
</authorization>
在 web.config 中,但它允许不属于程序用户组的人员加入,这对我来说没有多大意义。
答案1
我认为你需要具体说明:
Deny users="*"
目前,您仅阻止未经身份验证的用户访问,无论其组成员身份如何。
答案2
尝试使用<allow roles="domain\group"/>而不是<allow users="domain\group"/>mikrose 建议的。这是我们在一些内部网站上的设置方法,它似乎与我们一起工作,并且<deny users="*"/>我们没有明确设置模拟。