Назад | Перейти на главную страницу

базовая проверка подлинности с учетными записями домена в Windows Server 2008

Очень странная проблема, с которой никогда не сталкивался в Windows Server 2003: при настройке базовой проверки подлинности для ограничения доступа к определенным каталогам в IIS7 я сделал следующее:

  1. Включена базовая проверка подлинности и отключена анонимная проверка подлинности для определенных каталогов в IIS7.
  2. Создал три группы Active Directory: site.com Staff, site.com Members, site.com Something.
  3. Создал несколько учетных записей и добавлен в соответствующую группу.
  4. Имеются разрешения на чтение и выполнение NTFS для определенной группы (групп) домена в трех областях сайта IIS7

Однако любая учетная запись домена из любой из трех групп может получить доступ к любой из трех других областей сайта после входа в систему. Единственный способ по-настоящему заблокировать каталог - это не только предоставить права чтения соответствующей группе, но и запретить доступ к ней. группы, которые не должны иметь доступа. Это не имеет смысла, если не считать того факта, что член группы «Пользователи домена» является частью группы «Локальные пользователи», и вы не можете запретить доступ ни к одному из этих каталогов.

Что очевидного мне не хватает?

Обновление: стыдно сказать, что это было довольно очевидным и не имеет ничего общего с Win2003 против Win2008.

Для всех применимых каталогов / файлов:

  1. Включите обычную проверку подлинности в IIS и удалите анонимный.
  2. Удалить права наследования (с копией, чтобы упростить задачу)
  3. Удалить доступ к группе локальных пользователей
  4. Предоставьте доступ для чтения соответствующим группам домена
  5. Добавить доступ для чтения к сетевой службе (это характерно для IIS7 из-за интегрированного конвейера)

Как видите, единственная проблема между Win2003 и Win2008 - это предоставление доступа сетевой службы к рассматриваемому ресурсу.

Устранение проблем с разрешениями может быть проблемой, но в конце концов вот что я думаю:

Пользователи могут получить доступ к каталогам независимо от их членства в группах, которые вы создали, потому что пользователи являются членами локальной группы пользователей, которая имеет доступ к каталогам. По большей части разрешения являются кумулятивными, и применяются наименее ограничительные разрешения, за исключением случаев явно определенных разрешений (Разрешить или Запретить). Для достижения желаемых ограничений у вас есть два варианта:

  1. Сделайте то, что вы уже сделали, и определите явный запрет для каталогов групп, к которым вы не хотите иметь доступ.

  2. Удалите наследование разрешений из каталогов, удалите группу локальных пользователей из разрешений в каталогах и определите явное разрешение для каталогов для групп, к которым вы хотите иметь доступ.