ASP.NET：禁止某些Active Directory用戶

Question

我有一個使用Windows身份驗證的ASP.NET MVC應用程序。我希望我們的工作人員能夠在無需登錄的情況下使用該應用程序。但是，我們將某些通用的部門標識作爲用戶在Active Directory中。我該如何讓我的應用程序不允許這些用戶，這樣如果一個員工用這些通用想法之一登錄到計算機，應用程序將使他們登錄？

謝謝！

Answer 1

我會把受限制的部門用戶放到一個AD組中，然後你可以把它放在你的web.config中，在拒絕特定組權限的授權下。

請參見下面的例子（DepartmentIDs將是你的AD組）：

<?xml version="1.0"?> 
<configuration> 
    <system.web> 
     <compilation debug="true" /> 
     <authentication mode="Windows" /> 

     <authorization> 
      <allow roles="DomainName\AuthorizedUsers" /> 
      <deny users="DomainNames\DepartmentIDs" /> 
     </authorization> 
    </system.web> 
</configuration> 

用戶也可以指定爲

<deny users="comma-separated list of users"> 

或者，你也不能否認的角色。這裏有很多選擇。您還可以直接在IIS中執行權限，具體取決於Web應用程序，虛擬目錄，NTFS目錄訪問權限。我會堅持使用web.config，但我相信你會從其他人聽到幾種不同的選擇。

我還讀到一篇有趣的文章關於身份冒充在.NET中，我們來看一看： http://msdn.microsoft.com/en-us/library/xh507fc5%28v=VS.90%29.aspx