autenticação básica com contas de domínio no Windows Server 2008

Navegue suas respostas
2

Um problema muito estranho que nunca encontrou no Windows Server 2003: ao configurar a autenticação básica para restringir o acesso a diretórios específicos no IIS7, fiz o seguinte:

  1. Habilitou a autenticação básica e desativou a autenticação anônima para diretórios específicos no IIS7
  2. Criaram três grupos do Active Directory: equipe do site.com, membros do site.com, site.com.
  3. Criado várias contas e adicionado ao grupo aplicável.
  4. Given Read & Executar permissões NTFS para um grupo de domínio específico para três áreas de um site IIS7

No entanto, qualquer conta de domínio de qualquer um dos três grupos pode acessar qualquer uma das outras três áreas do site depois de efetuar login. A única maneira de realmente bloquear um diretório não é apenas fornecer direitos de leitura ao grupo aplicável. negando acesso aos grupos que não devem ter acesso. Isso não faz sentido, exceto pelo fato de que, é claro, um membro do grupo Usuários do Domínio faz parte do grupo Usuários Locais e você não pode negar o acesso aos diretórios em questão.

Que coisa óbvia estou sentindo falta?

Atualização: Envergonhado por dizer que isso era bastante óbvio e não tem nada a ver com Win2003 vs. Win2008.

Para todos os diretórios / arquivos aplicáveis:

  1. Habilite a autenticação básica no IIS e remova o anonimato.
  2. Remover permissões herdadas (com cópia para facilitar as coisas)
  3. Remover acesso do grupo de usuários locais
  4. Conceder acesso de leitura aos grupos de domínio aplicáveis
  5. Adicionar acesso de leitura do Serviço de Rede (isso é específico para o IIS7 devido ao pipeline integrado)

Como você pode ver, o único problema Win2003 vs. Win2008 é conceder acesso ao Serviço de Rede ao recurso em questão.

    
por Ted 18.11.2009 / 20:28

1 resposta

3

A resolução de problemas de permissões pode ser um desafio, mas no final do dia, eis o que penso:

Os usuários podem acessar os diretórios, independentemente de sua participação nos grupos que você criou, pois os usuários são membros do grupo de usuários locais, que tem acesso aos diretórios. Na maior parte, as permissões são cumulativas e as permissões menos restritivas são aplicadas, exceto nos casos de permissões explicitamente definidas (Permitir ou Negar). Para alcançar as restrições desejadas, você tem duas opções:

  1. Faça o que você já fez e defina um Deny explícito nos diretórios para os grupos que você não deseja ter acesso.

  2. Remova a herança de permissões dos diretórios, remova o grupo de usuários locais das permissões nos diretórios e defina um Permitir explícito nos diretórios para os grupos que você deseja ter acesso.

por 24.11.2009 / 22:16

Tags

Como alterar a porta de escuta no webbserver IIS 7 (globalmente)? Como evitar o loop de redirecionamento infinito no htaccess?