2012-08-17 133 views
0

我正在致力於將用戶添加到Active Directory並將其分配給安全組的C#Asp.net站點。將用戶添加到Active Directory組導致「拒絕訪問」

除了一個問題,整個腳本的效果很好。我可以將用戶添加到組中,但在嘗試將用戶添加到應用程序池標識所屬的組時,會出現「拒絕訪問」異常。

我認爲這是一個Windows權限問題,但我不確定需要什麼權限。在使用舊的VB腳本時,我們遇到了同樣的問題。

任何想法?

+0

應用程序池的標識是否有權將成員添加到它所屬的組中?也就是說,不要認爲一個身份有權僅僅因爲它是該羣體的成員就可以將羣體添加到羣體中;或者您在執行羣組添加時冒充了特定身份? – 2012-08-17 12:50:15

+0

我正在使用特定的身份(讓我們稱他爲WebAdmin)爲整個應用程序池授予了將成員添加到組的權限。我不確定需要額外的特權才能將成員添加到「WebAdmin」是其成員的組中。 – EagleHail 2012-08-17 12:55:04

+0

你也可以看看使用目錄服務。藉助此功能,您可以設置正在進行廣告調用的用戶,而不必混淆應用程序池標識。 – Brian 2012-08-17 13:08:47

回答

0

我在爲活動目錄管理設計的網站上遇到過這類問題。到目前爲止,執行環境不允許管理AD。因此,通過IIS,我們將默認帳戶更改爲具有完全權限的本地系統(幾乎不能重新啓動系統),並且無法進行日誌記錄(安全第一)。這適用於你冒充你的網站。

如果不是,您將需要一個高級組和用戶管理。 AD許可非常敏感。

編輯: 在你的情況下,使用特定的帳戶不是問題。在管理員登錄時檢查身份,並使用本地系統進行模擬。您的應用程序環境將會正常,只有您的管理員才能訪問。

+0

不幸的是,不是每個使用該網站的人都是管理員,最常使用該網站的IT工作人員不是「管理員」,而僅僅是高級用戶。如果我知道我可以將其添加到應用程序池標識中,或者僅在您不是管理員的情況下才允許使用它? – EagleHail 2012-08-17 13:10:43

+1

您需要在該組中設置權限,以允許組將用戶成員添加到該組中或組織單位nd你可以通過程序設置這些權限。但是我做了什麼,它是用戶登錄的網站。根據他們的管理組,他們被允許訪問某些功能,等等。因此,他們可以訪問他們的角色,但所有網站都由一個帳戶(本地系統)運行。 – Gnial0id 2012-08-17 13:26:58

+0

感謝您的幫助。我必須在該組本身設置權限。 – EagleHail 2012-08-17 13:46:52

相關問題