У нас есть несколько серверов, на которых мы пытаемся разрешить пользователям домена входить на веб-сайт. К сожалению, похоже, что это могут делать только администраторы. Все остальные пользователи получают ошибку аутентификации 401,2.
Я пытаюсь отследить, какой параметр групповой политики может действовать, переопределяя авторизацию, настроенную приложением. Есть ли у кого-нибудь предложения, где искать?
Больше информации:
На сайте размещено приложение веб-форм asp.net, настроенное для использования проверки подлинности Windows. Web.config настроен так, чтобы разрешить доступ всем пользователям <allow users="*"/>. Администраторы могут получить доступ к странице, и их личность будет показана. Не администраторы получают диалоговое окно аутентификации, в котором их имя пользователя и пароль не принимаются.
Сервер настроен так, чтобы не разрешать интерактивный вход от пользователей, не являющихся администраторами, но это не должно влиять на аутентификацию IIS, не так ли?
Проверьте свои права доступа к папкам веб-сайта в вашей файловой системе. Аутентификация Windows передает пользователя в систему, если у пользователя нет доступа для чтения файлов для веб-сайта, вы получите свой 401.2, фактический пользователь пула приложений выполняет действия на стороне сервера, но пользователю все равно потребуется доступ для чтения к файловая система.
Итак, если вы хотите, чтобы все пользователи имели доступ, добавьте: YourDomain \ Authenticated Users
И добавьте эту группу для чтения, выполнения и чтения. В некоторых случаях вам может потребоваться список содержимого папки. Просто доступ к файловой системе, без общего доступа или чего-либо еще.
Обе gpresult /H и RSOP.msc являются стандартными инструментами для устранения неполадок групповой политики.
Встряхните их, и вы увидите, что каждый элемент политики применяется к вашему серверу.
Еще одна вещь, которую стоит проверить: доступна ли ваша физическая папка, в которой размещено содержимое веб-сайта, для пользователей домена? В моем случае, когда я добавил разрешение на чтение для пользователей домена, проблема исчезла.