Restringir o acesso ao site do IIS a um grupo do AD

Navegue suas respostas
22

É possível no IIS configurar um site no IIS e permitir que apenas usuários de um determinado Grupo do AD tenham acesso a ele?

    
por John 23.01.2012 / 09:47

5 respostas

18

O seguinte deve funcionar, dependendo da sua versão do IIS. Você precisará adicionar um web.config se não tiver um (embora no IIS7) na raiz do diretório do seu site. As informações abaixo permitirão que os administradores de domínio neguem os usuários do domínio (bastante autoexplicativos). Certifique-se de alinhar as seções de configuração, se você já tem uma seção, etc. 

<configuration>
  <location path="MyPage.aspx/php/html">
      <system.web>
         <authorization>
            <allow users="DOMAIN\Domain Admins"/>
            <deny users="DOMAIN\Domain Users"/>
         </authorization>
      </system.web>
   </location>
</configuration>

Você precisará da Autenticação do Windows ativada em Autenticação nas preferências do seu site para que isso funcione, obviamente, mas suponho que você já tenha isso ativado.

    
por 23.01.2012 / 10:04
14

a resposta do joshatkins não funciona no IIS7. Para o IIS7, você precisa usar o atributo role. Além disso, se você quiser restringir todo o site, não precisará do elemento location. 

<authorization>
  <allow roles="DOMAIN\Domain Users"/>
  <deny users="*" />
</authorization>
    
por 19.10.2012 / 09:37
10

Apenas adicionando mais alguns pontos às outras respostas que me ajudaram a descobrir como fazer isso funcionar depois que eu tive uma autenticação básica do AD funcionando bem com o IIS.

  1. Adicionar função ou recurso por meio do Windows Server Manager : servidor Web (IIS) - > Servidor Web - > Segurança - > Autorização de URL.
  2. Feche e reabra o Gerenciador do IIS (se ele estiver aberto), agora você verá (na seção IIS do seu site) Regras de autorização . Abra isto.
  3. Clique no painel do lado direito: Adicionar regra de permissão
  4. Em Papéis ou grupos de usuários especificados , digite o nome do grupo do AD que você precisa. por exemplo. myDomain \ myGroup e selecione OK .
  5. Repita 4 para os grupos que você precisa.

se você quiser apenas editar o arquivo de configuração diretamente, ele será parecido com isto: 

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
    <system.webServer>
        ...
        <security>
            <authorization>
                <remove users="*" roles="" verbs="" />
                <add accessType="Allow" roles="myDomain\myGroup01" />
                <add accessType="Allow" roles="myDomain\myGroup02" />
            </authorization>
        </security>
    </system.webServer>
</configuration>
    
por 11.09.2015 / 22:49
3

Se as regras de autorização web.config não funcionarem (por exemplo, porque um script CGI é executado), você pode usar o sistema de permissões de pasta para desativar a herança, remover usuários do IIS (para que ninguém tenha acesso de leitura) e apenas adicionar grupo de segurança com acesso de leitura. Você também tem que habilitar alguma forma de método de autenticação (por exemplo, Basic ou Windows Integrated) para que o visitante seja reconhecido.

    
por 02.09.2014 / 14:59
1

A permissão de leitura na pasta para apenas esse grupo de domínio também funciona.

    
por 15.02.2017 / 11:43
Ligando wlan0 a eth0 apt-get update obtendo 404 no debian lenny