Windows Server 2003从未遇到的一个非常奇怪的问题:当configuration基本身份validation来限制对IIS7中特定目录的访问时,我已经完成了以下工作:
但是,一旦login,来自这三个组中的任何一个的任何域帐户都可以访问该站点的任何其他三个区域。真正locking目录的唯一方法不仅为相应的组提供读取权限,而且拒绝访问应该不能访问的组。 除了当然,Domain Users组的成员是Local Users组的一部分这一事实之外,这是没有任何意义的,并且您不能拒绝对有问题的目录进行访问。
我错过了什么明显的东西?
更新:尴尬的说,这是一个非常明显的,与Win2003与Win2008无关。
对于所有适用的目录/文件:
正如你所看到的,唯一的Win2003与Win2008问题是授予networking服务访问有问题的资源。
解决权限问题可能是一个挑战,但在一天结束的时候,我认为:
用户可以访问目录,而不pipe他们在创build的组中的成员身份,因为用户是可以访问目录的本地用户组的成员。 大多数情况下,权限是累积性的,限制性最小的权限适用,除非明确定义权限(允许或拒绝)。 为了达到你想要的限制,你有两个select:
做你已经做了什么,并定义一个明确的拒绝在目录到你不想有权访问的组。
从目录中删除权限inheritance,从目录上的权限中删除本地用户组,并在目录上定义一个显式允许你想要访问的组。