我需要一些帮助来了解我能够在特定用户组的IIS网站上运行Windows身份验证的原因是什么。 发生的事情是,即使我的用户是我访问该网站的组的一部分,IE仍然提示我的凭据,甚至当我输入密码时,HTTP响应是401(未授权)。 我也不允许更改IE的设置以将任何网站添加到受信任列表(它被公司阻止)。另一方面,除了它被阻止的事实外,网站域名被列为 (* .domain.com)
遵循情景:
游泳池设置
- 姓名:PoolA
- 过程模型>身份> DomainB中\ ServiceAdUser
服务器级别的设置
ASP.NET> .NET授权
- 允许|用户:所有用户|实体类型本地
IIS>认证
- 禁用匿名身份验证
- 启用Windows身份验证
- 扩展保护:关闭
- 启用内核模式身份验证:已启用
- 提供商:谈判(第1) - > NTLM(第二)
- IIS>授权规则
- 允许|角色:DomainB \ MYGROUP |实体类型本地
站点级别的设置(在443端口上运行有效的SSL证书,这是唯一的绑定)
游泳池:PoolA
ASP.NET> .NET授权
- 允许|用户:所有用户|实体类型继承
IIS>认证
- 禁用匿名身份验证
- 启用Windows身份验证
- 扩展保护:关闭
- 启用内核模式身份验证:已启用
- 提供商:谈判(第1) - > NTLM(第二)
IIS>授权规则
- 允许|角色:DomainB \ MYGROUP |实体类型继承
网站根目录的权限
- 对IIS_IUSRS的完全控制权限
- 对MYGROUP的读取和执行,列表和读取权限
的Web.config
- 这是有关身份验证的唯一配置行: < authentication mode =" Windows" />
=============================
让网站启动并运行的唯一方法是我允许匿名访问它。
请帮我弄清楚遗失的是什么。我感谢任何帮助。
答案 0 :(得分:1)
我发现如果经过身份验证的用户无法在您的网络应用中读取静态内容的文件夹,则会对您进行身份验证,然后拒绝访问。 这可以通过授予local_Machine \ Authenicated_Users访问所需资源来解决。 在我的例子中,我将Authenticated_users添加到IIS_IUSRS组,它解决了我的问题。请注意,这也可以将任何经过身份验证的用户授予IIS_IUSRs组可用的所有文件和文件夹。因此,请注意这些用户无法通过任何其他方式访问文件系统。一个单独的组授予NT AUTHORITY \ Authenticated_Users足够的权限来读取png,静态内容是最好的方法。 配置:Windows Server 2012 R2运行IIS 8.5,NET Framework 4.5,启用静态内容。
答案 1 :(得分:0)
安全环回检查可能存在问题。请查看以下程序以禁用它。