当您在web.config中使用以下代码时,是否有办法允许对可能位于所列AD角色的子组内的个人进行授权?
<location path="Restricted.aspx">
<system.web>
<authorization>
<allow roles="FOOMAIN\AccessGroup" />
<deny users="*" />
</authorization>
</system.web>
</location>
AD组的设置如下:
目前,当 Billy.Jean 尝试访问Restricted.aspx时,他们会被拒绝。
我们希望能够在web.config中使用 AccessGroup ,并且能够添加子组以供将来访问,而不必进行web.config或代码更改。已经提出了仅在PageLoad上进行授权的可能性,但业务更喜欢在配置中设置这些内容。该应用程序当前正在使用Windows身份验证,并拒绝在站点范围内匿名访问。
有什么想法吗? IIS是如何执行此查找的? AD中是否需要为 AccessGroup 更改设置? 我无法访问IIS或AD设置,他们各自的管理员也没有帮助。
感谢。
答案 0 :(得分:6)
我终于能够彻底解决这个问题了。未访问 Subgroup1 和 Subgroup2 的原因是因为它们是通讯组而非安全组。添加包含Billy.Jean的相应安全组时,一切正常。一个令人愤怒的问题的基本答案。