Глобальный или универсальный групповой доступ Active Directory для веб-приложения
-
01-07-2019 - |
Вопрос
У меня есть SQL Server 2000, C # и ASP.net веб-приложение.Мы хотим контролировать доступ к нему с помощью групп Active Directory.Я могу заставить аутентификацию работать, если группа, в которую я ввожу, является "Глобальной", но не если группа "Универсальная".
Как я могу заставить это хорошо работать с "Универсальными" группами?Вот мой блок авторизации:
<authorization>
<allow roles="domain\Group Name Here"/>
<allow roles="domain\Group Name Here2"/>
<allow roles="domain\Group Name Here3"/>
<deny users="*"/>
</authorization>
Решение 2
Оказывается, мне нужно было использовать идентификатор "Pre Win2000", а не обычный.
Другие советы
В зависимости от вашей топологии Active Directory вам, возможно, придется подождать, пока членство в универсальной группе не будет реплицировано на все контроллеры домена.Однако Active Directory рекомендует следующее:
- Создайте глобальную группу для каждого домена, например, "Авторизованные пользователи домена А", "Авторизованные пользователи домена В".
- Поместите нужных вам пользователей из Домена А в группу "Авторизованные пользователи домена А" и т. Д
- Создайте универсальную группу в корневом домене "Все авторизованные пользователи".
- Поместите глобальные группы в Универсальную группу
- Защитите ресурс с помощью Универсальной группы:
- Дождитесь репликации
Одним из преимуществ этой схемы является то, что когда вы добавляете нового пользователя в одну из глобальных групп, вам не нужно будет ждать репликации GC.