Web 应用程序的全局与通用 Active Directory 组访问
-
01-07-2019 - |
题
我有一个 SQL Server 2000、C# 和 ASP.net Web 应用程序。我们希望通过使用 Active Directory 组来控制对其的访问。如果我放入的组是“全局”组,则我可以获得身份验证工作,但如果该组是“通用”组,则无法进行身份验证。
我怎样才能使这项工作与“通用”团体很好地合作?这是我的授权块:
<authorization>
<allow roles="domain\Group Name Here"/>
<allow roles="domain\Group Name Here2"/>
<allow roles="domain\Group Name Here3"/>
<deny users="*"/>
</authorization>
解决方案 2
结果我需要使用“Pre Win2000”id 而不是常规 ID。
其他提示
根据您的 Active Directory 拓扑,您可能必须等待通用组成员身份复制到所有域控制器。不过,Active Directory 建议采取以下措施:
- 为每个域创建一个全局组,例如“域 A 授权用户”、“域 B 授权用户”
- 将域 A 中所需的用户放入“域 A 授权用户”组中,等等
- 在根域“所有授权用户”中创建通用组
- 将全局组放入通用组中
- 使用通用组保护资源:<allow Roles="根域\所有授权用户/>
- 等待复制
此方案的优点之一是,当您将新用户添加到全局组之一时,无需等待 GC 复制。
不隶属于 StackOverflow