在Windows Server 2008上使用域帐户进行基本身份validation

Windows Server 2003从未遇到的一个非常奇怪的问题:当configuration基本身份validation来限制对IIS7中特定目录的访问时,我已经完成了以下工作:

  1. 为IIS7中的特定目录启用基本身份validation并禁用匿名身份validation
  2. 创build了三个Active Directory组:site.com员工,site.com成员,site.com东西。
  3. 创build了多个帐户并添加到适用的组。
  4. 给定对一个特定域组的读取和执行NTFS权限给IIS7站点的三个区域

但是,一旦login,来自这三个组中的任何一个的任何域帐户都可以访问该站点的任何其他三个区域。真正locking目录的唯一方法不仅为相应的组提供读取权限,而且拒绝访问应该不能访问的组。 除了当然,Domain Users组的成员是Local Users组的一部分这一事实之外,这是没有任何意义的,并且您不能拒绝对有问题的目录进行访问。

我错过了什么明显的东西?

更新:尴尬的说,这是一个非常明显的,与Win2003与Win2008无关。

对于所有适用的目录/文件:

  1. 在IIS中启用基本身份validation,并删除匿名。
  2. 删除inheritance权限(复制使事情变得简单)
  3. 删除本地用户组访问
  4. 授予适用的域组阅读权限
  5. 添加networking服务读取权限 (由于集成pipe道,这是特定于IIS7的)

正如你所看到的,唯一的Win2003与Win2008问题是授予networking服务访问有问题的资源。

  • 为什么我不能从外部访问Tomcat?
  • 在AD转换期间,是否需要将服务器许可证CAL传输到新的域控制器?
  • 我用什么来保存服务器文档?
  • 我如何确定我的DHCP服务器是什么?
  • Server 2003,2008和2008 R2提供哪些温度监控软件?
  • 随着时间的推移,响应时间会减慢,从哪里开始进行故障排除?
  • One Solution collect form web for “在Windows Server 2008上使用域帐户进行基本身份validation”

    解决权限问题可能是一个挑战,但在一天结束的时候,我认为:

    用户可以访问目录,而不pipe他们在创build的组中的成员身份,因为用户是可以访问目录的本地用户组的成员。 大多数情况下,权限是累积性的,限制性最小的权限适用,除非明确定义权限(允许或拒绝)。 为了达到你想要的限制,你有两个select:

    1. 做你已经做了什么,并定义一个明确的拒绝在目录到你不想有权访问的组。

    2. 从目录中删除权限inheritance,从目录上的权限中删除本地用户组,​​并在目录上定义一个显式允许你想要访问的组。

    服务器问题集锦,包括 Linux(Ubuntu, Centos,Debian等)和Windows Server服务器.