ASP.NET + IIS6：通過授權部白名單的用戶在web.config中

Question

考慮一個IIS6應用下一個網站：

• Windows身份驗證功能。
• 匿名熄滅

這是一個ASP.NET MVC應用程序與地區。根web.config具有如下身份驗證和授權節點：

<authentication mode="Windows"></authentication> 

<authorization> 
    <allow users="domain\abc, domain\xyz, domain\foo, domain\bar"/> 
</authorization> 

我的身份不在允許的用戶列表中。在瀏覽器中輸入URL後，我可以查看並導航到其中的所有頁面。我知道我正在授權正確，因爲我的Active Directory名稱顯示在網站上。

問題：我有權訪問該網站。

問題：使用web.config，我如何根據用戶的Windows憑據限制用戶訪問此IIS6應用程序？

Answer 1

試試這個：

<authorization> 
    <allow users="domain\abc, domain\xyz, domain\foo, domain\bar"/> 
    <deny users="*"/> 
</authorization> 

Answer 2

如何添加否認部分允許一個在後面？

<deny users="*" />