將活動目錄組與Windows身份驗證aspnet mvc 3

Question

集成活動目錄組我在mvc 3應用程序中使用Windows身份驗證，並且我只想要一些我的活動目錄組訪問此應用程序。我沒有在我的控制器中使用[Authorize]屬性，只是我的web.config配置。

這是怎麼設置我的web.config：

<system.web> 
    <authentication mode="Windows" /> 
    <authorization> 
    <allow roles="EUsers" /> 
     <deny users="*" /> 
    </authorization> 
    </system.web> 
    <system.webServer> 
    <validation validateIntegratedModeConfiguration="false" /> 
    <modules runAllManagedModulesForAllRequests="true" /> 
    <security> 
     <authorization> 
      <add accessType="Allow" roles="EUsers" /> 
      <add accessType="Deny" users="*" /> 
     </authorization> 
    </security> 
    </system.webServer> 

我還啓用了Windows身份驗證和ASP.NET Impersation我的IIS授權部分。 我試圖用我的用戶（我是EUser的成員）訪問該應用程序，但它始終提示輸入我的用戶名和密碼。我忘了什麼嗎？難道我做錯了什麼？

Answer 1

我沒有在我的控制器中使用[Authorize]屬性，只是我的web.config配置。

這簡直是錯誤的。在ASp.NET MVC應用程序中，您不應該使用web.config來控制授權。您應該使用[Authorize]屬性。所以：

[Authorize(Roles = "EUsers")] 

Answer 2

我看到在評論部分，它仍然無法正常工作。我認爲這可能是「拒絕」被明確分配給用戶的結果=「*」和權限優先級規則

這裏是解決權限衝突的一些規則：

「拒絕」權限通常優先超過「允許」權限。 直接應用於對象的權限（顯式權限）優先於從父級繼承的權限（例如來自組）。 從近親繼承的權限優先於從遠程前輩繼承的權限。因此，從對象的父文件夾繼承的權限優先於從該對象的「祖父」文件夾繼承的權限，依此類推。 來自不同用戶組的權限（在直接設置或繼承方面，以及「拒絕」或「允許」方面）是累積的。因此，如果用戶是兩個組的成員，其中之一具有「讀」的「允許」權限，另一個具有「寫」的「允許」權限，則用戶將具有讀取和寫入權限 - 取決於當然，上面的其他規則。 雖然拒絕權限通常優先於權限，但情況並非總是如此。明確的「允許」權限可以優先於繼承的「拒絕」權限。

優先級的權限的層次結構可以概括如下，具有較高優先級的權限在列表的頂部列出：

1. 明確的拒絕
2. 明確允許
3. 繼承拒絕
4. 繼承允許