Назад | Перейти на главную страницу

Ограничить сайт IIS с разрешениями папки проверки подлинности Windows

Я создал два сайта IIS, на которых включена проверка подлинности Windows и просмотр каталогов.

Для первого назовем его «админ», я не устанавливал никаких специальных прав. Я перешел на сайт и меня попросили ввести учетные данные. Я вошел в систему с учетной записью администратора на машине и смог просмотреть папку. Отлично.

Для второго, назовем его «тест», я создал нового пользователя Windows и удалил его из ВСЕХ групп, включая «Пользователи». Я создал новую папку на диске и дал этому новому пользователю права доступа к папке. Когда я захожу на этот сайт через браузер и вхожу в систему с новой учетной записью, я могу просматривать папку, как и ожидалось. Тем не менее, я также могу просматривать указанный выше сайт «администратора» с помощью этой новой учетной записи. Этого не ожидается, поскольку разрешения на доступ к папке на диске имеют только пользователи «CREATOR OWNER», «SYSTEM», «Administrators» и «Users». Мой новый пользователь не является членом ни одной из этих групп.

Почему это происходит? Как правильно с помощью IIS защитить папку с помощью локальной учетной записи, но убедиться, что эта учетная запись не имеет доступа к другим папкам?

Просто потому, что ваш второй пользователь не является членом Users группы, это не значит, что она не является частью Users группа во время выполнения.

Возьмите моего пользователя Питера:

 net user peter

 Local Group Memberships      *Guests
 Global Group memberships     *None

просто участник Гостей, а не Пользователи.

Но когда я спрашиваю свой контекст безопасности во время выполнения:

 whoami /groups
 
 Group Name                             Type             SID          
 ====================================== ================ ============ 
 Everyone                               Well-known group S-1-1-0      
 BUILTIN\Guests                         Alias            S-1-5-32-546 
 BUILTIN\Performance Log Users          Alias            S-1-5-32-559 
 BUILTIN\Users                          Alias            S-1-5-32-545 
 NT AUTHORITY\INTERACTIVE               Well-known group S-1-5-4      
 CONSOLE LOGON                          Well-known group S-1-2-1      
 NT AUTHORITY\Authenticated Users       Well-known group S-1-5-11     
 NT AUTHORITY\This Organization         Well-known group S-1-5-15     
 NT AUTHORITY\Local account             Well-known group S-1-5-113    
 LOCAL                                  Well-known group S-1-2-0      
 NT AUTHORITY\NTLM Authentication       Well-known group S-1-5-64-10

Мы видим, что я нахожусь в группе «Пользователи», а также в целом ряде других специальных групп.

Чтобы ограничить доступ к файлам определенных пользователей, вам необходимо удалить разрешения для Users группа.