Добавление пользователя в группу Active Directory приводит к отказу в доступе

Я работаю над сайтом С# Asp.net, который добавляет пользователей в Active Directory и назначает их группам безопасности.

Весь скрипт работает отлично, за исключением одной проблемы. Я могу добавлять пользователей в группы, но получаю исключение «Отказано в доступе» при попытке добавить пользователя в группу, членом которой является удостоверение пула приложений.

Я думаю, что это проблема с разрешениями Windows, но я не уверен, какое разрешение требуется. У нас была такая же проблема в прошлом при использовании более старого сценария VB.

Есть идеи?


c# asp.net active-directory-group active-directory
person EagleHail    schedule 17.08.2012    source источник
comment
Имеет ли удостоверение пула приложений права на добавление участников в группу, членом которой оно является? То есть не предполагайте, что удостоверение имеет право добавлять участников в группу только потому, что оно является членом этой группы... или вы выдаете себя за конкретное удостоверение во время добавления группы?   -  person David W    schedule 17.08.2012
comment
Я использую определенное удостоверение (назовем его WebAdmin) для всего пула приложений, которому предоставлены права на добавление участников в группы. Я не уверен, какие дополнительные привилегии потребуются для добавления участников в группы, членом которых является WebAdmin.   -  person EagleHail    schedule 17.08.2012
comment
вы также можете посмотреть на использование служб каталогов. При этом вы можете установить пользователя, который делает рекламные вызовы, и вам не нужно связываться с идентификатором пула приложений.   -  person Brian    schedule 17.08.2012
comment
Если я не сумасшедший (в чем моя жена почти сразу же подтвердила), возможность добавлять участников в группу разрешена для группы (конкретно) - то есть есть несколько групп, в которые я могу добавить члены, а другие я не могу. Вы уверены, что у этого удостоверения есть разрешения на добавление пользователей в рассматриваемую конкретную группу?   -  person David W    schedule 17.08.2012
comment
Это сработало! Большое спасибо! Напишите это как ответ, чтобы я мог выбрать его. Ты первым дал лучший ответ.   -  person EagleHail    schedule 17.08.2012

Ответы (1)


arrow_upward
1
arrow_downward

У меня была такая проблема с веб-сайтом, предназначенным для управления активным каталогом. Среде выполнения до сих пор не разрешалось управлять AD. Итак, через IIS мы изменили учетную запись по умолчанию на локальную систему, которая имеет полные права (например, почти не может перезагрузить систему) и не может быть зарегистрирована (безопасность прежде всего). Это работает, если вы выдаете себя за свой веб-сайт.

Если нет, Вам понадобится расширенное управление группами и пользователями. Разрешения AD очень обидчивы.

Изменить. В вашем случае использование определенной учетной записи не является проблемой. Проверяйте личность, когда ваш администратор входит в систему, и используйте олицетворение с локальной системой. Среда вашего приложения будет в порядке, и только ваш администратор будет иметь доступ.

person Nate B.    schedule 17.08.2012
comment
К сожалению, не каждый, кто использует сайт, будет администратором. ИТ-специалисты, чаще всего использующие сайт, не являются администраторами, а являются пользователями высокого уровня. Знаете ли вы, какая конкретная привилегия позволяет администратору добавлять в группу, членом которой он является? Если бы я знал, что могу добавить его в идентификатор пула приложений. Или это просто запрещено, если вы не являетесь администратором? - person EagleHail; 17.08.2012
comment
Вам необходимо установить разрешение в группе, чтобы разрешить группе добавлять пользователя в эту группу или организационное подразделение. И вы можете установить эти разрешения программно. Но то, что я сделал, это веб-сайт, на котором пользователи входят в систему. В зависимости от их административных групп им был разрешен доступ к определенным функциям и так далее. Таким образом, они могли получить доступ к своей роли, но весь веб-сайт управлялся одной учетной записью (локальной системой). - person Nate B.; 17.08.2012
comment
Спасибо за вашу помощь. Мне пришлось установить разрешение на самой группе. - person EagleHail; 17.08.2012