Hạn chế quyền truy cập vào trang IIS vào Nhóm AD

Có thể trong IIS để thiết lập một trang web trong IIS và chỉ cho phép người dùng của một Nhóm AD nhất định có quyền truy cập vào nó?

Sau đây sẽ hoạt động, tùy thuộc vào phiên bản IIS của bạn. Bạn sẽ cần thêm một web.config nếu bạn không có (mặc dù bạn nên có trên IIS7) trong thư mục gốc của trang web của bạn. Dưới đây sẽ cho phép Quản trị viên tên miền và từ chối người dùng tên miền (khá tự giải thích). Hãy chắc chắn rằng bạn xếp hàng các phần cấu hình nếu bạn đã có một phần, v.v.

<configuration>
  <location path="MyPage.aspx/php/html">
      <system.web>
         <authorization>
            <allow users="DOMAIN\Domain Admins"/>
            <deny users="DOMAIN\Domain Users"/>
         </authorization>
      </system.web>
   </location>
</configuration>

Rõ ràng, bạn sẽ cần Xác thực Windows được bật trong Xác thực trong tùy chọn trang web của bạn để điều này hoạt động, nhưng tôi cho rằng bạn đã kích hoạt tính năng này.

Câu trả lời của joshatkins không hoạt động trong IIS7. Đối với IIS7, bạn cần sử dụng thuộc tính vai trò. Ngoài ra, nếu bạn muốn hạn chế toàn bộ trang web, bạn không cần yếu tố vị trí.

<authorization>
  <allow roles="DOMAIN\Domain Users"/>
  <deny users="*" />
</authorization>

Chỉ cần thêm một vài điểm vào các câu trả lời khác đã giúp tôi tìm ra cách để hoạt động này sau khi tôi có Xác thực AD cơ bản hoạt động tốt với IIS.

1. Thêm Vai trò hoặc Tính năng qua Trình quản lý Máy chủ Windows : Máy chủ Web (IIS) -> Máy chủ Web -> Bảo mật -> Ủy quyền URL.
2. Đóng rồi mở lại Trình quản lý IIS (nếu bạn mở), bây giờ bạn sẽ thấy (bên dưới Phần IIS cho trang web của bạn) Quy tắc ủy quyền . Mở cái này lên
3. Nhấp vào bảng điều khiển bên phải: Thêm quy tắc cho phép
4. Trong phần Vai trò hoặc nhóm người dùng được chỉ định, hãy nhập tên của nhóm AD bạn cần. ví dụ. myDomain \ mygroup và chọn OK .
5. Lặp lại 4 cho các nhóm mà bạn cần.

nếu bạn chỉ muốn chỉnh sửa tập tin cấu hình trực tiếp, thì nó sẽ trông giống như thế này:

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
    <system.webServer>
        ...
        <security>
            <authorization>
                <remove users="*" roles="" verbs="" />
                <add accessType="Allow" roles="myDomain\myGroup01" />
                <add accessType="Allow" roles="myDomain\myGroup02" />
            </authorization>
        </security>
    </system.webServer>
</configuration>

Nếu sử dụng quy tắc ủy quyền web.config không hoạt động (ví dụ: do tập lệnh CGI chạy), bạn có thể sử dụng hệ thống quyền thư mục để vô hiệu hóa kế thừa, xóa người dùng IIS (để không ai có quyền truy cập đọc) và chỉ cần thêm nhóm bảo mật vào với quyền truy cập đọc. Bạn cũng phải kích hoạt một số hình thức phương thức xác thực (ví dụ: Tích hợp cơ bản hoặc Windows) để khách truy cập được nhận dạng.

Cho phép đọc trên thư mục chỉ nhóm miền đó cũng hoạt động.

Tôi biết đó là một câu hỏi rất cũ nhưng đây là thứ tôi cần trong môi trường thử nghiệm.

Cách tiếp cận này hiệu quả với tôi và tôi nhận được một cửa sổ bật lên để đăng nhập và tôi có thể đăng nhập mà không gặp vấn đề gì.

Tôi đã tự hỏi làm thế nào tôi có thể cấu hình nó để sử dụng SSO? Nếu người dùng đã đăng nhập là thành viên của nhóm bảo mật thì hãy yêu cầu thông tin đăng nhập.

IIS của tôi có trên Windows Server 2016 1607 và trang web là HTML tĩnh.