Frage Beschränken Sie den Zugriff auf die IIS-Site auf eine AD-Gruppe


Ist es in IIS möglich, eine Site in IIS einzurichten und nur Benutzern einer bestimmten AD-Gruppe Zugriff darauf zu gewähren?


22
2018-01-23 08:47


Ursprung




Antworten:


Folgendes sollte abhängig von Ihrer IIS-Version funktionieren. Sie müssen eine Datei "web.config" hinzufügen, wenn Sie keine im Verzeichnisstammverzeichnis Ihrer Website haben (obwohl Sie auf IIS7 zugreifen sollten). Im Folgenden werden Domain-Admins und Domain-Benutzer abgelehnt (ziemlich selbsterklärend). Stellen Sie sicher, dass Sie die Konfigurationsabschnitte anordnen, wenn Sie bereits einen Abschnitt usw. haben.

<configuration>
  <location path="MyPage.aspx/php/html">
      <system.web>
         <authorization>
            <allow users="DOMAIN\Domain Admins"/>
            <deny users="DOMAIN\Domain Users"/>
         </authorization>
      </system.web>
   </location>
</configuration>

Sie müssen die Windows-Authentifizierung unter Authentifizierung in Ihren Site-Einstellungen aktiviert haben, damit dies funktioniert, aber ich nehme an, dass Sie dies bereits aktiviert haben.


18
2018-01-23 09:04



Mit welchen IIS-Versionen funktioniert das? - svandragt


Joshatkins 'Antwort funktioniert nicht in IIS7. Für IIS7 müssen Sie das Attribut role verwenden. Wenn Sie die gesamte Site einschränken möchten, benötigen Sie das Standortelement nicht.

<authorization>
  <allow roles="DOMAIN\Domain Users"/>
  <deny users="*" />
</authorization>

14
2017-10-19 07:37



Bitte verwenden Sie keine Verweise wie "oben" oder "unten", da Sie nicht wissen können, in welcher Reihenfolge eine Person die Antworten sieht. Das Problem wird mit der Zeit schlimmer, wenn mehr Antworten gepostet werden. Sie sollten stattdessen auf den Namen des Posters der Antwort verweisen, auf die verwiesen wird. - John Gardeniers


Fügen Sie den anderen Antworten einfach ein paar zusätzliche Punkte hinzu, die mir dabei geholfen haben, herauszufinden, wie das funktioniert, nachdem ich die grundlegende AD-Authentifizierung mit IIS funktionierte.

  1. Fügen Sie Rolle oder Feature über hinzu Windows Server-Manager: Webserver (IIS) -> Webserver -> Sicherheit -> URL-Autorisierung.
  2. Schließen Sie dann die IIS-Manager (Wenn Sie es geöffnet haben), werden Sie jetzt sehen (unter dem IIS-Abschnitt für Ihre Website) Autorisierungsregeln. Mach das auf.
  3. Klicken Sie auf das rechte Seitenfeld: Fügen Sie Regel zulassen hinzu
  4. Unter Angegebene Rollen oder Benutzergruppen Geben Sie den Namen der AD-Gruppe ein, die Sie benötigen. z.B. MeineDomäne \ MeineGruppe und wählen Sie OK.
  5. Wiederholen Sie 4 für die Gruppen, die Sie benötigen.

Wenn Sie die Konfigurationsdatei nur direkt bearbeiten möchten, sieht das etwa so aus:

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
    <system.webServer>
        ...
        <security>
            <authorization>
                <remove users="*" roles="" verbs="" />
                <add accessType="Allow" roles="myDomain\myGroup01" />
                <add accessType="Allow" roles="myDomain\myGroup02" />
            </authorization>
        </security>
    </system.webServer>
</configuration>

10
2017-09-11 20:49



Sie müssen auch die Windows-Authentifizierung (NTLM / Curb) aktivieren. Wenn die Browsersitzungsidentität nicht ermittelt werden kann, wie könnte die rollenbasierte Autorisierung funktionieren? Nachdem Sie Ihrer Anweisung gefolgt und die Windows-Authentifizierung aktiviert haben, funktioniert dies! - KFL


Wenn die Autorisierungsregeln web.config nicht funktionieren (z. B. weil ein CGI-Skript ausgeführt wird), können Sie mithilfe des Ordnerberechtigungssystems die Vererbung deaktivieren, IIS-Benutzer entfernen (damit niemand Lesezugriff hat) und die Sicherheitsgruppe einfach hinzufügen mit Lesezugriff. Sie müssen auch eine Form der Authentifizierungsmethode (zB Basic oder Windows Integrated) aktivieren, damit der Besucher erkannt wird.


3
2017-09-02 12:59



Ich mag diese Methode, mag nicht jedermanns Sache sein, aber es gibt keinen Grund, sich mit web.config herumzuärgern - sheldonj22


Das Erteilen der Leseberechtigung für den Ordner nur für diese Domänengruppe funktioniert ebenfalls.


1
2018-02-15 10:43