Пользователи моего приложения получают ошибку http 401. при попытке открыть мое приложение в браузере.
Мое приложение - это веб-приложение в интрасети, которое использует проверку подлинности Windows. Анонимная проверка подлинности и олицетворение личности отключены. Создается отдельный пул приложений, который закрепляется за сайтом. IIS ApplicationPool \ myApplnAppPool получает разрешение на чтение и выполнение в корневой папке приложения.
Я проверил рабочий процесс (w3wp.exe), и он работает под идентификатором пула приложений в диспетчере задач на сервере.
Когда я даю всем (группа домена «Все») доступ к папке моих веб-сайтов, они получают доступ к приложению. Однако я считаю, что предоставление группового доступа EveryOne на уровне папок - неправильная практика.
Также мое приложение создает и обновляет файл журнала приложения (в корневой папке приложения).
Любая помощь в этом будет высоко оценена. Спасибо.
Это зависит от того, для чего вы используете приложение и как работает его аутентификация. Если приложению требуются учетные данные пользователя для каких-либо действий, предоставление доступа всем (то есть всем в вашем домене, за исключением гостей) может быть неплохой идеей.
Если вы действительно хотите ограничить доступ определенным людям, лучше всего создать группу и предоставить им необходимый доступ (возможно, чтение / выполнение). Вы также можете убедиться, что группе отказано в доступе, например, к файлам конфигурации, и создать группу «поддержки» для этого приложения, у которой будет больше доступа.
В конце концов, какие бы учетные данные ни использовались (анонимная аутентификация на самом деле просто олицетворяет некоторую конкретную учетную запись, которую вы предоставляете для этой цели), для доступа к веб-сайту необходимо иметь разрешения на чтение и, возможно, выполнение и переход в файловой системе.
Из вашего комментария выше, если вам действительно нужно знать, какие конкретные пользователи домена получают к нему доступ, обязательно отключите анонимную аутентификацию, но если вам не нужно ограничивать доступ к подмножеству пользователей домена, нет никакого вреда в предоставлении доступа к домен каждый.
Включив Windows auth и отключив аноним, вы в основном говорите: «Чтобы получить доступ к моему веб-сайту, у вас должен быть доступ, иначе вы не войдете». Несмотря на то, что у пула приложений есть доступ, вы блокируете его на уровне веб-сайта. Вот почему это работает, когда вы даете доступ всем. Похоже, вам нужен анонимный сайт, и пусть приложение само определяет, какие разрешения есть у кого-то.