IIS IISでサイトを設定し、特定のADグループのユーザーのみがサイトにアクセスできるようにすることは可能ですか?
IISバージョンに応じて、次のように動作します。Web.configがない場合は(IIS7では必要ですが)、web.configをディレクトリのルートに追加する必要があります。以下は、ドメイン管理者を許可し、ドメインユーザーを拒否します(かなり自明です)。すでにセクションなどがある場合は、必ず構成セクションを並べてください。
<configuration>
<location path="MyPage.aspx/php/html">
<system.web>
<authorization>
<allow users="DOMAIN\Domain Admins"/>
<deny users="DOMAIN\Domain Users"/>
</authorization>
</system.web>
</location>
</configuration>
これが機能するためには、サイト設定の[認証]でWindows認証を有効にする必要がありますが、これは既に有効になっていると思います。
joshatkins 'answer はIIS7では機能しません。 IIS7の場合、ロール属性を使用する必要があります。また、サイト全体を制限する場合は、location要素は必要ありません。
<authorization>
<allow roles="DOMAIN\Domain Users"/>
<deny users="*" />
</authorization>
IISで基本的なAD認証を正常に機能させた後、これを機能させる方法を理解するのに役立つ他の回答にいくつかのポイントを追加するだけです。
構成ファイルを直接編集する場合は、次のようになります。
<?xml version="1.0" encoding="UTF-8"?>
<configuration>
<system.webServer>
...
<security>
<authorization>
<remove users="*" roles="" verbs="" />
<add accessType="Allow" roles="myDomain\myGroup01" />
<add accessType="Allow" roles="myDomain\myGroup02" />
</authorization>
</security>
</system.webServer>
</configuration>
Web.config承認ルールを使用しても機能しない場合(たとえば、CGIスクリプトが実行されているため)、フォルダー権限システムを使用して継承を無効にし、IIS usersを削除することができます。アクセス)、読み取りアクセスでセキュリティグループを追加するだけでなく、訪問者が認識されるように、何らかの形式の認証方法(BasicやWindows Integratedなど)を有効にする必要もあります。
フォルダの読み取りアクセス許可をそのドメイングループのみに付与することもできます。
私はそれが非常に古い質問であることを知っていますが、これは私のテスト環境で必要なものです。
このアプローチは私にとってはうまくいき、ログインするためのポップアップが表示され、問題なくログインできます。
SSOを使用するように構成するにはどうすればよいですか?ログインしたユーザーがセキュリティグループのメンバーである場合は、資格情報を要求します。
私のIISはWindows Server 2016 1607で、Webサイトは静的HTMLです。