我们有与Windows身份validation设置的子网页(经典的ASP),没有匿名访问。 目标目录的权限设置为读取/执行域本地组。 这个小组由我们build立信任关系的另一个域的成员组成。 我们称之为GroupA 权限也是为我们的域名的IT小组设定的,我是其中一员(GroupIT)。 所有的工作都很好,直到一夜之间发生… GroupA成员每天早上都无法访问该网站,因此无法login/密码。 在这里input他们的凭据(与域限定符)不起作用。 GroupIT访问正常工作。 Webserver日志显示“401 5”错误。 事件查看器安全日志显示用户向服务器成功validation。 IIS没有完成身份validation过程。 看起来目标文件夹上GroupA的权限被删除。 他们当然仍然可见。 重新启动IIS将问题分类到第二天早上。 花了很多时间尝试深入到底,包括使用MS身份validation诊断,当我使用GroupA用户的凭证探测login时,这确认了Authentication(401)问题。 在web服务器或我们的域名上没有运行任何明显会导致这种情况的任务。 我不认为这是一个caching凭据的情况下,因为我已经添加到GroupA的新用户,并发现他们也无法访问该网站。 我将不胜感激任何想法..
我们的一个客户有以下configuration: 在域控制器上,有一个SQL Server。 在他的PC(WinXP)上,他使用LocalPC\LocalUserlogin。 在Windows资源pipe理器中,他打开DomainController\SomeShare并以Domain\Administrator身份validation。 他启动我们的应用程序,它打开SQL Server的可信连接(Windows身份validation)。 有用。 在SSMS中,连接显示为用户Domain\Administrator 。 首先,我感到惊讶的是,这甚至有效。 (我的第一个怀疑是有一个用户在域中有相同的名称和密码,但在域中没有用户LocalUser 。) 然后,我们试图在他的新电脑上重现相同的行为,但是失败了: 在他的新PC(Win7)上,他用OtherLocalPC\OtherLocalUser 。 在Windows资源pipe理器中,他打开DomainController\SomeShare并以Domain\Administrator身份validation。 他启动我们的应用程序,它打开SQL Server的可信连接(Windows身份validation)。 它失败,错误消息Login failed for user ''. The user is not associated with a trusted SQL Server connection. Login failed for user ''. The user is not associated with a trusted SQL Server connection. 因此,我的问题: 在哪些情况下,非域用户可以使用不同凭据的Windows身份validation访问远程SQL Server? 显然,这是可能的(它在旧PC上运行),但是为什么? […]
我有一个使用Windows身份validation的公司网站。 该网站在Windows Server 2008 R2,IIS 7上运行。 当我们尝试从移动设备上访问它时,我们得到了不同的结果 – 一些浏览器成功login,有些甚至不显示login窗口,有些显示login窗口,但是当我input凭据时,他们只是再次显示窗口不休。 选项的细分是这样的: HTC One Android 4.22 Native Browser SUCCESS Motorola Xoom 1 Andorid 4.0.4 Native Browser repetitive login Motorola Xoom 1 Andorid 4.0.4 Firefox repetitive login Motorola Razr M Android 2.3.6 Firefox repetitive login Morotola Droid Pro Android 2.3.4 Native Browser error 401, no login screen Morotola […]
我有一台名为WEBSERV的服务器(Window Server 2008 R2 Standard)上运行的ASP.NET 4.0(IIS 7.5)应用程序和另一台服务器上名为DATASERV的SQL Server(2008)数据库。 SQL Server具有login设置作为我的数据库用户具有读取权限。 我是与SQL Serverlogin关联的AD组的所有者,名为READGROUP,我使用集成安全性来访问数据库,我知道这是Windows身份validation。 ASP.NET应用程序的应用程序池标识设置为NetworkService。 匿名身份validation已启用。 ASP.NET模拟,基本身份validation,摘要式身份validation,表单身份validation,Windows身份validation全部禁用。 如果需要,我可以启用这些。 对于我来说,让人类用户读取数据库的访问权限,我将它们添加到READGROUP。 我的目标是添加一个非人类用户到READGROUP,以便ASP.NET应用程序可以查询数据库并在HTML表格中显示数据。 我的代码工作在我的开发盒,但它的操作与我的凭据,有权访问的数据,因为我是READGROUP的一部分。 当应用程序在WEBSERV上运行时,其Windows标识显示为“NT AUTHORITY \ Network Service”。 我不想像这样在WEBSERV上存储我的密码。 我必须每90天更换一次,这是一个重大的难题,而IT人员则强烈反对。 有没有办法让我的应用程序添加到我的AD组WEBSERV + ASP.NET的特定用户?
我想在我们的Web应用程序中使用SQL Server中的纯Windowsauthentication。 在过去,我们一直为Web应用程序创build了全function的1个SQLlogin。 在完成一些初始testing之后,我们决定创build模仿应用程序安全angular色的Windows Active Directory组(例如pipe理员,pipe理员,用户/操作员等等)。我们已经在SQL Server中为这些组创build了映射login并让他们访问应用程序的数据库。 另外,我们创build了SQL Server数据库angular色,并为每个组分配适当的angular色。 这工作很好。 我的问题围绕着大多数应用程序,公司中的每个人都应该可以读取报告(以及数据)。 据我所知,我有两个select:1)为每个应用程序创build一个只读/查看器AD组“angular色”,并把每个人都放在里面。 2)使用“域\域用户”组,并在SQL中为其分配正确的angular色。 什么是最好的和/或最简单的方法,允许每个人使用Windowsauthentication方法读取特定数据库对象的访问权限?
这个问题真的涉及到允许从家里login到SharePoint安装,但我想这是一个通用的IIS安全问题。 当popuplogin框来收集Windows凭据时,用户只需在Safari / Chrome / FF上input用户名,就可以正确login。 在IE身份validation失败,因为它似乎默认传递他们的本地计算机名称,用户需要replace域\用户。 在某些情况下不是一个大问题,但是如果用户不必input域名部分,我们更喜欢它。 这只是IE的function,我们无法控制,或者是他们的东西,我们可以做IIS / AD等,这将允许我们提供一个默认域,如果没有指定?
作为“networking服务”运行的Windows服务使用Windows身份validation与其他计算机上的服务(此处为SQL Server和Analysis Services)通信。 对于身份validation,我们必须将权限授予服务的计算机帐户。 例如,如果服务在域MYDOMAIN中的服务器MYSERVER上运行,它将自己validation为“MYDOMAIN \ MYSERVER $”。 – 我是否正确,到目前为止? 现在这是我的问题:在与同一台机器上的服务交谈时,这仍然适用吗? 或者当连接到本地服务时,它会使用“NT AUTHORITY \ Network Service”之类的东西进行身份validation? 而且:这是否是从Windows 2003到Windows 2008的突破性改变? 在我们的系统中,我们遇到了一个实际问题,该帐户只能在W2K3中拥有权限的计算机帐户连接到本地服务。 在W2K8中,这似乎不再有效:对本地服务的身份validation现在失败,但对远程计算机仍然有效。
我有一个Subversion服务器(版本1.7.2),由Apache 2.2.21使用基本的Windows / Active Directoryauthentication。 真的,它只是使用启用了Windows身份validation的Visual SVN Server 2.5软件包(基本身份validation,而不是集成的Windows身份validation)。 SVN服务器运行在专用的Windows Server 2008 R2计算机上。 我们的一个用户最近经历了名称更改,他们的Windows用户名已更新,以反映姓名更改,但他们的SID保持不变。 不幸的是,每当用户提交时,SVN仍然显示用户的旧Windows用户名。 有没有办法让SVN识别用户的用户名更改为未来的提交? 提前致谢
IIS 7,集成应用程序池,标识设置为NetworkService 我们最近把一个asp.net MVC 3移到了我们的生产环境中。 应用程序使用Windows身份validation。 生产环境是在IIS 7上运行Win 2008的Web场上设置的(不确定是否为R2)。 有两台服务器configuration为运行Web应用程序。 我们已经有两次(相隔约一周),用户被authentication为不同的用户,而不是他们自己。 检查IIS日志,似乎在某种程度上,所有的请求都被authentication为一个特定的用户。 在日志中还有X-ARR-LOG的条目,这显然是应用程序请求路由模块(不知道是否相关,但更多的信息可能会有所帮助..)。 我的networking背景不是很强大,但我们的networking资源并没有find任何运气。 是否有任何诊断工具可以运行,以查看问题可能来自哪里? 是否有可能在Web场上错误地configuration了某些可能导致此问题的内容? 一个重要的因素是,在IIS日志中,有一个不通过asp.netpipe道的简单html页面的请求,以及上述用户请求的日志中的请求。 所以看起来问题出现之后,所有请求似乎都在相同的用户帐户下进行身份validation。 欣赏任何帮助,你可以提供的提示 更新: 详细说明我们如何确定不同用户作为一个用户进行身份validation… 在IIS日志中,我们正在查看根据文档,由IIS设置的cs-username列。 我们可以看到来自不同IP地址的不同请求,在不同的地方有相同的cs-username。 在日志中,所有请求都有不同的cs-username,直到突然间,所有的请求都来自同一个cs-username。 我们已经能够通过将服务器带出服务器场并回收应用程序池来重置此问题。 不清楚具体哪一个帮助我们“重置”了这个问题。 还提到一些请求是一个纯HTML页面,这不通过的asp.netpipe道,(相信它被监控工具,因为它被称为sitecheck.html使用),这些请求突然有相同的cs-username。 此外,应用程序本身使用WindowsIdentity来显示用户特定的数据,这就是导致我们更深入地研究问题的原因。
在家里,我有一个运行在Windows Server 2012和IIS8(无AD)的小型服务器。 我希望我服务器上的一些用户能够访问共享文件目录,以便他们可以通过https下载。 我在IISpipe理器中创build了一个网站,将基础目录设置为共享文件夹,为此网站启用目录浏览,禁用匿名身份validation并启用Windows身份validation。 从互联网访问和https与签名证书也configuration和工作。 到现在为止还挺好。 当我浏览到我的服务器,我被要求我的凭据(好)。 不幸的是, 所有的本地服务器用户都被允许访问该文件夹,即使是内置的访客帐户(坏)。 现在我想限制一些用户join一个名为WebFiles Users 。 所以我尝试了一些我从web编程中知道的东西 – 我向web.config添加了一个authorization标签,现在看起来像这样: <configuration> <system.web> <authorization> <allow roles="MyServer\WebFiles Users" /> <deny users="*" /> </authorization> </system.web> <!– this was created by the IIS manager: –> <system.webServer> <directoryBrowse enabled="true" /> </system.webServer> </configuration> 但它不起作用。 我仍然可以访问该用户的网站。 谁能告诉我我做错了什么?