Ограничить доступ к сайту IIS в группу AD

Возможно ли в IIS настроить сайт в IIS и разрешить доступ к ним только определенной группе AD?

22 голоса | спросил John 23 Jpm1000000pmMon, 23 Jan 2012 12:47:22 +040012 2012, 12:47:22

5 ответов


18

В зависимости от вашей версии IIS должно работать следующее. Вам нужно будет добавить web.config, если у вас его нет (хотя вы должны на IIS7) в корне каталога вашего сайта. В приведенном ниже разделе разрешены администраторы домена и запрещающие пользователям домена (справедливо объясняющие себя). Убедитесь, что вы выстраиваете разделы конфигурации, если у вас уже есть раздел и т. Д.

<configuration>
  <location path="MyPage.aspx/php/html">
      <system.web>
         <authorization>
            <allow users="DOMAIN\Domain Admins"/>
            <deny users="DOMAIN\Domain Users"/>
         </authorization>
      </system.web>
   </location>
</configuration>

Вам понадобится Windows Authentication, включенная в разделе «Аутентификация» в настройках вашего сайта, чтобы это работало, очевидно, но я предполагаю, что у вас уже есть это.

ответил Josh Atkins 23 Jpm1000000pmMon, 23 Jan 2012 13:04:31 +040012 2012, 13:04:31
14

ответ joshatkins не работает в IIS7. Для IIS7 вам нужно использовать атрибут role. Кроме того, если вы хотите ограничить весь сайт, вам не нужен элемент местоположения.

<authorization>
  <allow roles="DOMAIN\Domain Users"/>
  <deny users="*" />
</authorization>
ответил Anders 19 +04002012-10-19T11:37:43+04:00312012bEurope/MoscowFri, 19 Oct 2012 11:37:43 +0400 2012, 11:37:43
10

Просто добавив еще пару вопросов к другим ответам, которые помогли мне разобраться, как получить эту работу после того, как у меня была базовая аутентификация AD, работающая отлично с IIS.

  1. Добавить роль или функцию через Диспетчер Windows Server : веб-сервер (IIS) -> Веб-сервер -> Безопасность -> Авторизация URL.
  2. Закройте, затем снова запустите диспетчер IMS (если он у вас открыт), теперь вы увидите (в разделе IIS для вашего сайта) Правила авторизации . Откройте это.
  3. Нажмите правую боковую панель: Добавить правило Allow
  4. В Указанные роли или группы пользователей введите имя требуемой группы AD. например. myDomain \ myGroup и выберите ОК .
  5. Повторите 4 для групп, которые вам нужны.

, если вы просто хотите напрямую отредактировать файл конфигурации, он будет выглядеть примерно так:

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
    <system.webServer>
        ...
        <security>
            <authorization>
                <remove users="*" roles="" verbs="" />
                <add accessType="Allow" roles="myDomain\myGroup01" />
                <add accessType="Allow" roles="myDomain\myGroup02" />
            </authorization>
        </security>
    </system.webServer>
</configuration>
ответил Chris 11 thEurope/Moscowp30Europe/Moscow09bEurope/MoscowFri, 11 Sep 2015 23:49:41 +0300 2015, 23:49:41
3

Если использование правил авторизации web.config не работает (например, из-за сценария CGI), вы можете использовать систему разрешений на доступ к папкам для отключения наследования, удаления пользователей IIS (чтобы никто не имел доступа на чтение) и просто добавили группа безопасности с доступом для чтения. Вам также необходимо включить способ проверки подлинности (например, Basic или Windows Integrated), чтобы узнал посетителя.

ответил svandragt 2 ndEurope/Moscowp30Europe/Moscow09bEurope/MoscowTue, 02 Sep 2014 16:59:27 +0400 2014, 16:59:27
1

Предоставление разрешения на чтение в папке только для этой группы домена также работает.

ответил Hüseyin Yağlı 15 FebruaryEurope/MoscowbWed, 15 Feb 2017 13:43:31 +0300000000pmWed, 15 Feb 2017 13:43:31 +030017 2017, 13:43:31

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132