IIS sitesine bir AD Grubuna erişimi kısıtlayın

IIS'de IIS'de bir site oluşturmak ve yalnızca belirli bir AD Grubunun kullanıcılarının buna erişmesine izin vermek mümkün müdür?

IIS sürümünüze bağlı olarak aşağıdakiler çalışmalıdır. Sitenizin dizin kök dizininde bir tane yoksa (IIS7'de olmasına rağmen) bir web.config eklemeniz gerekir. Aşağıdakiler Domain Admins'e izin verir ve Domain Kullanıcılarını reddeder (oldukça açıklamalıdır). Zaten bir bölümünüz varsa, yapılandırma bölümlerini hizaladığınızdan emin olun.

<configuration>
  <location path="MyPage.aspx/php/html">
      <system.web>
         <authorization>
            <allow users="DOMAIN\Domain Admins"/>
            <deny users="DOMAIN\Domain Users"/>
         </authorization>
      </system.web>
   </location>
</configuration>

Açıkça çalışması için site tercihlerinizde Kimlik Doğrulama altında etkinleştirilmiş Windows Kimlik Doğrulaması'na ihtiyacınız olacak, ancak bunun zaten etkin olduğunu varsayıyorum.

joshatkins'in cevabı IIS7'de çalışmıyor. IIS7 için, rol niteliğini kullanmanız gerekir. Ayrıca, tüm siteyi sınırlamak istiyorsanız, konum elemanına ihtiyacınız yoktur.

<authorization>
  <allow roles="DOMAIN\Domain Users"/>
  <deny users="*" />
</authorization>

Diğer yanıtlara birkaç nokta daha ekleyerek, IIS ile iyi çalışan temel AD Kimlik Doğrulaması yaptıktan sonra bu çalışmanın nasıl yapıldığını bulmama yardımcı oldu.

1. Windows Sunucu Yöneticisi ile Rol veya Özellik Ekleme : Web Sunucusu (IIS) -> Web Sunucusu -> Güvenlik -> URL Yetkilendirmesi.
2. Kapatın ve sonra IIS Yöneticisini yeniden açın (açıksa), şimdi göreceksiniz (siteniz için IIS Bölümünün altında) Yetkilendirme Kuralları . Bunu aç.
3. Sağ taraftaki panele tıklayın: İzin Ver Kural Ekle
4. Belirtilen roller veya kullanıcı grupları altında ihtiyacınız olan AD grubunun adını yazın. Örneğin. etkialanım \ grubum ve Tamam'ı seçin .
5. İhtiyacınız olan gruplar için 4'ü tekrarlayın.

yapılandırma dosyasını doğrudan düzenlemek istiyorsanız, bunun gibi görünecektir:

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
    <system.webServer>
        ...
        <security>
            <authorization>
                <remove users="*" roles="" verbs="" />
                <add accessType="Allow" roles="myDomain\myGroup01" />
                <add accessType="Allow" roles="myDomain\myGroup02" />
            </authorization>
        </security>
    </system.webServer>
</configuration>

Web.config yetkilendirme kurallarını kullanmak işe yaramazsa (örneğin bir CGI betiği çalıştığından), devralmayı devre dışı bırakmak, IIS kullanıcılarını kaldırmak (hiç kimsenin okuma izni vermemesi için) IIS kullanıcılarını kaldırmak ve yalnızca güvenlik grubunu eklemek için klasör izin sistemini kullanabilirsiniz. okuma erişimi olan. Ziyaretçinin tanınması için bir tür kimlik doğrulama yöntemini (örneğin, Temel veya Windows Tümleşik) etkinleştirmeniz gerekir.

Klasörde sadece bu etki alanı grubuna okuma izni verilmesi de işe yarar.

Bunun çok eski bir soru olduğunu biliyorum ama bu, test ortamımda ihtiyacım olan bir şey.

Bu yaklaşım benim için çalışıyor ve giriş için bir açılır pencere alıyorum ve herhangi bir sorun olmadan giriş yapabilirim.

SSO kullanacak şekilde nasıl yapılandırabilirim diye merak ediyordum? Giriş yapan kullanıcı bir güvenlik grubunun üyesiyse, kimlik bilgilerini isteyin.

IIS'im Windows Server 2016 1607'de ve web sitesi statik HTML'dir.