Я пытаюсь настроить наши веб-сайты, чтобы разрешить доступ только пользователям в определенных группах AD с использованием проверки подлинности Windows, но я не могу заставить его работать. Я пробовал использовать авторизацию IIS и ограничить ее только этими группами, но у меня нет доступа от пользователей, которые находятся в этих группах. Это похоже на то, что поддерживается, но я не могу заставить его работать.
Страницы полностью находятся в .net, поэтому я попытался указать
<identity impersonate="true"/>
<authentication mode="Windows" />
<authorization>
<allow users="Domain\ProgramUsers"/>
<deny users="?"/>
</authorization>
в web.config, но тогда он позволяет людям, не входящим в группу Program Users, что для меня не имеет большого смысла.
Думаю, нужно указать:
Deny users="*"
На данный момент вы блокируете доступ только для неаутентифицированных пользователей, т.е. независимо от членства в группе.
Попробуйте использовать <allow roles="domain\group"/> вместо того <allow users="domain\group"/> вроде предложил Микроуз. Это то, как мы настроили его на некоторых из наших внутренних сайтов, и, похоже, он работает для нас вместе с <deny users="*"/> и у нас нет явной настройки impersonate.