O fato de os usuários bloqueados estarem todos no mesmo grupo AD provavelmente não é uma coincidência. Esses usuários podem não ter permissões de NTFS para acessar a pasta do aplicativo. Para evitar esse problema, fiz o seguinte, que deve garantir que a conta de identidade do pool de aplicativos seja usada para todo o acesso a arquivos, e que nunca haja qualquer tipo de falsificação de identidade.
Abra o Gerenciador do IIS. Selecione o aplicativo em Sites. Clique duas vezes no ícone "Editor de configuração". Na lista suspensa "Seção", localize system.webServer/serverRuntime
. Defina como UseWorkerProcessUser
.
A mesma coisa pode ser feita usando arquivos appcmd.exe ou .config.
É um pouco surpreendente que esse não seja o comportamento padrão. Aparentemente, ao usar a autenticação do Windows e a configuração padrão ( UseAuthenticatedUser
), algum acesso ao arquivo é executado usando as permissões do usuário que está navegando no site e algum acesso ao arquivo é executado usando as permissões da identidade do pool de aplicativos. Pessoalmente, eu sempre quero usar somente as permissões da identidade do pool de aplicativos, por isso tenho que lembrar de ajustar as configurações descritas acima.