Доступ к глобальной и универсальной группе Active Directory для веб-приложения

У меня есть веб-приложение SQL Server 2000, C# и ASP.net. Мы хотим контролировать доступ к нему с помощью групп Active Directory. Я могу заставить аутентификацию работать, если группа, которую я ввел, является «Глобальной», но не в том случае, если группа «Универсальная».

Как я могу заставить это работать с «универсальными» группами? Вот мой блок авторизации:

  <authorization>
  <allow roles="domain\Group Name Here"/>
  <allow roles="domain\Group Name Here2"/>
  <allow roles="domain\Group Name Here3"/>
  <deny users="*"/>
  </authorization>

authentication web-applications asp.net active-directory
person Keng    schedule 18.09.2008    source источник

Ответы (2)


arrow_upward
1
arrow_downward

В зависимости от вашей топологии Active Directory вам, возможно, придется подождать, пока членство в универсальной группе реплицируется на все контроллеры домена. Однако Active Directory рекомендует следующее:

  1. Создайте глобальную группу для каждого домена, например, «Авторизованные пользователи домена A», «Авторизованные пользователи домена B».
  2. Поместите нужных пользователей из домена А в группу «Авторизованные пользователи домена А» и т. д.
  3. Создайте универсальную группу в корневом домене «Все авторизованные пользователи».
  4. Поместите глобальные группы в универсальную группу
  5. Защитите ресурс с помощью универсальной группы: ‹allow roles="root domain\All Authorized Users/>
  6. Дождитесь репликации

Одним из преимуществ этой схемы является то, что при добавлении нового пользователя в одну из глобальных групп вам не придется ждать репликации GC.

person jliszka    schedule 18.09.2008

arrow_upward
0
arrow_downward

Оказывается, мне нужно было использовать идентификатор «Pre Win2000», а не обычный.

person Keng    schedule 19.09.2008