Очень странная проблема, с которой никогда не сталкивался в Windows Server 2003: при настройке базовой проверки подлинности для ограничения доступа к определенным каталогам в IIS7 я сделал следующее:
Однако любая учетная запись домена из любой из трех групп может получить доступ к любой из трех других областей сайта после входа в систему. Единственный способ по-настоящему заблокировать каталог - это не только предоставить права чтения соответствующей группе, но и запретить доступ к ней. группы, которые не должны иметь доступа. Это не имеет смысла, если не считать того факта, что член группы «Пользователи домена» является частью группы «Локальные пользователи», и вы не можете запретить доступ ни к одному из этих каталогов.
Что очевидного мне не хватает?
Обновление: стыдно сказать, что это было довольно очевидным и не имеет ничего общего с Win2003 против Win2008.
Для всех применимых каталогов / файлов:
Как видите, единственная проблема между Win2003 и Win2008 - это предоставление доступа сетевой службы к рассматриваемому ресурсу.
Устранение проблем с разрешениями может быть проблемой, но в конце концов вот что я думаю:
Пользователи могут получить доступ к каталогам независимо от их членства в группах, которые вы создали, потому что пользователи являются членами локальной группы пользователей, которая имеет доступ к каталогам. По большей части разрешения являются кумулятивными, и применяются наименее ограничительные разрешения, за исключением случаев явно определенных разрешений (Разрешить или Запретить). Для достижения желаемых ограничений у вас есть два варианта:
Сделайте то, что вы уже сделали, и определите явный запрет для каталогов групп, к которым вы не хотите иметь доступ.
Удалите наследование разрешений из каталогов, удалите группу локальных пользователей из разрешений в каталогах и определите явное разрешение для каталогов для групп, к которым вы хотите иметь доступ.