У нас есть веб-приложение (ASP.NET MVC), установленное на IIS для одного из наших клиентов с включенной аутентификацией Windows.
Аутентификация работает отлично, но проблема на уровне авторизации. Тип авторизации - авторизация на основе ролей.
Итак, у нас есть три уровня авторизации: MISV_Administrator MISV_Normal MSIV_Readonly
Если мы создадим эти группы локально на том же компьютере, где установлены IIS и наше веб-приложение, и назначим им пользователей домена, то пользователи смогут получить доступ к нашему приложению. Но если мы создадим эти же группы в активном каталоге как глобальные группы домена и вместо этого назначим пользователей этим группам, то теперь пользователи получат ошибку неавторизации.
И машина, и сервер Active Directory, и сервер IIS находятся в одном домене.
Так что я не понимаю, почему он работает локально, а не с глобальной группой?
Вероятно, ваше приложение явно ищет эти группы на локальном компьютере, а не в домене. Если вы написали приложение, вам нужно исправить. В противном случае обратитесь к поставщику приложения.