覆盖 Windows 身份验证的组策略?

覆盖 Windows 身份验证的组策略?

我们尝试允许域用户登录某些服务器的网站。不幸的是,似乎只有管理员可以这样做。所有其他用户都会收到 401.2 身份验证错误。

我正在尝试查找哪些组策略设置可能有效并覆盖了应用程序配置的授权。有人能建议去哪里查找吗?

更多信息:

站点托管一个配置为使用 Windows 身份验证的 asp.net web 表单应用程序。Web.config 配置为允许所有用户访问<allow users="*"/>。管理员可以访问该页面,并显示其身份。非管理员会收到一个身份验证对话框,该对话框不接受其用户名/密码。

该服务器配置为不允许非管理员进行交互式登录,但这不应该影响 IIS 身份验证,不是吗?

答案1

gpresult /H都是RSOP.msc解决组策略问题的标准工具。

尝试一下,您就会看到适用于您的服务器的每个策略项。

答案2

检查文件系统上网站文件夹的权限。Windows 身份验证将用户传递给系统,如果用户无权读取网站文件,您将收到 401.2,实际应用程序池用户执行服务器端操作,但用户仍需要对文件系统的读取权限。

因此,如果您希望所有用户都有访问权限,请添加:YourDomain\Authenticated Users

并添加该组以具有读取和执行权限以及读取权限。有时您可能想要列出文件夹内容。仅文件系统访问,无共享或其他任何权限。

答案3

还有一件事值得检查:您托管网站内容的物理文件夹是否可以供域用户访问?就我而言,当我为域用户添加读取权限时,问题就消失了。

相关内容