web-dev-qa-db-ja.com

IISサイトへのアクセスをADグループに制限する

IIS IISでサイトを設定し、特定のADグループのユーザーのみがサイトにアクセスできるようにすることは可能ですか?

24
John

IISバージョンに応じて、次のように動作します。Web.configがない場合は(IIS7では必要ですが)、web.configをディレクトリのルートに追加する必要があります。以下は、ドメイン管理者を許可し、ドメインユーザーを拒否します(かなり自明です)。すでにセクションなどがある場合は、必ず構成セクションを並べてください。

<configuration>
  <location path="MyPage.aspx/php/html">
      <system.web>
         <authorization>
            <allow users="DOMAIN\Domain Admins"/>
            <deny users="DOMAIN\Domain Users"/>
         </authorization>
      </system.web>
   </location>
</configuration>

これが機能するためには、サイト設定の[認証]でWindows認証を有効にする必要がありますが、これは既に有効になっていると思います。

18
Josh Atkins

joshatkins 'answer はIIS7では機能しません。 IIS7の場合、ロール属性を使用する必要があります。また、サイト全体を制限する場合は、location要素は必要ありません。

<authorization>
  <allow roles="DOMAIN\Domain Users"/>
  <deny users="*" />
</authorization>
14
Anders

IISで基本的なAD認証を正常に機能させた後、これを機能させる方法を理解するのに役立つ他の回答にいくつかのポイントを追加するだけです。

  1. Windows Server Manager:Webサーバー(IIS)-> Webサーバー->セキュリティ-> URL承認を介して役割または機能を追加します。
  2. IISマネージャー(開いている場合)を閉じてから再度開くと、(IISセクション)の下に表示されます)承認規則。これを開いてください。
  3. 右側のパネルをクリックします:Add Allow Rule
  4. 指定された役割またはユーザーグループの下に、必要なADグループの名前を入力します。例えば。 myDomain\myGroupおよび[〜#〜] ok [〜#〜]を選択します。
  5. 必要なグループに対して4を繰り返します。

構成ファイルを直接編集する場合は、次のようになります。

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
    <system.webServer>
        ...
        <security>
            <authorization>
                <remove users="*" roles="" verbs="" />
                <add accessType="Allow" roles="myDomain\myGroup01" />
                <add accessType="Allow" roles="myDomain\myGroup02" />
            </authorization>
        </security>
    </system.webServer>
</configuration>
11
Chris

Web.config承認ルールを使用しても機能しない場合(たとえば、CGIスクリプトが実行されているため)、フォルダー権限システムを使用して継承を無効にし、IIS usersを削除することができます。アクセス)、読み取りアクセスでセキュリティグループを追加するだけでなく、訪問者が認識されるように、何らかの形式の認証方法(BasicやWindows Integratedなど)を有効にする必要もあります。

3
svandragt

フォルダの読み取りアクセス許可をそのドメイングループのみに付与することもできます。

1

私はそれが非常に古い質問であることを知っていますが、これは私のテスト環境で必要なものです。

このアプローチは私にとってはうまくいき、ログインするためのポップアップが表示され、問題なくログインできます。

SSOを使用するように構成するにはどうすればよいですか?ログインしたユーザーがセキュリティグループのメンバーである場合は、資格情報を要求します。

私のIISはWindows Server 2016 1607で、Webサイトは静的HTMLです。

0
9944990