文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布
社区首页 >问答首页 >IIS站点不断提示Windows身份验证方法的凭据

IIS站点不断提示Windows身份验证方法的凭据
EN

Stack Overflow用户
提问于 2017-07-18 17:50:58
回答 2查看 33K关注 0票数 4

我需要一些帮助来理解为什么我不能让Windows身份验证在IIS站点上为特定的用户组工作。正在发生的情况是,即使是我的用户也是我访问站点的组的一员,IE不断提示我输入凭据,即使我输入密码,HTTP响应也是401 (未经授权)。我也不允许更改IE的设置,以添加任何网站到受信任的列表(它被公司封锁)。另一方面,除了它被阻止之外,站点域被列出如下(*.domain.com)

如下所示:

  • 服务器: Windows 2012
  • IIS: 8.5
  • 用户: DomainA\MySimpleAdUser,DomainB\ServiceAdUser
  • 组: DomainB\MYGROUP (AD组,包含DomainA\MySimpleAdUser)
  • IIS_IUSRS (本地服务器组,包含DomainB\ServiceAdUser)

池设置

  • 名称: PoolA
  • 进程模型>标识> DomainB\ServiceAdUser

服务器级设置

  • ASP.NET > .NET授权
代码语言:javascript
复制
- Allow | Users: All Users | Entity type local

  • IIS >身份验证
代码语言:javascript
复制
- Anonymous Authentication disabled
- Windows Authentication Enabled      
    - Extended protection: Off
    - Enable Kernel-mode authentication: Enabled
    - Providers: Negotiate(1st) -> NTLM(2nd)

  • IIS >授权规则
    • 允许\角色: DomainB\MYGROUP \实体类型为本地

站点级别上的设置(运行在443端口上的有效SSL证书上,这是唯一的绑定)

  • 池: PoolA
  • ASP.NET > .NET授权
代码语言:javascript
复制
- Allow | Users: All Users | Entity type inherited

  • IIS >身份验证
代码语言:javascript
复制
- Anonymous Authentication disabled
- Windows Authentication Enabled      
    - Extended protection: Off
    - Enable Kernel-mode authentication: Enabled
    - Providers: Negotiate(1st) -> NTLM(2nd)

  • IIS >授权规则
代码语言:javascript
复制
- Allow | Roles: DomainB\MYGROUP | Entity type inherited

对站点根目录的权限

  • 对IIS_IUSRS的完全控制权限
  • 对MYGROUP的读取和执行、列表和读取权限

Web.config

  • 这是唯一存在的关于身份验证的配置行:

=============================

观察

  • 我已经尝试使用我的特定用户访问该站点,但是仍然会提示输入凭据。
  • 让网站启动和运行的唯一方法是允许匿名访问它。 请帮我找出缺了什么。我很感谢你的帮助。
windows
authentication
iis
EN

回答 2

Stack Overflow用户

发布于 2017-10-20 12:41:40

安全回环检查可能有问题。请找到下面的程序来禁用它。

  • 单击“开始”,单击“运行”,键入“regedit”,然后单击“确定”。
  • 备份注册表
  • 在注册表编辑器中,找到并单击以下注册表项:
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  • 右键单击Lsa,指向New,然后单击DWORD值.
  • 键入DisableLoopbackCheck,然后按ENTER键。
  • 右键单击DisableLoopbackCheck,然后单击“修改”。
  • 在“值数据”框中,键入1,然后单击“确定”。
  • 退出注册表编辑器,然后重新启动计算机。
票数 11
EN

Stack Overflow用户

发布于 2018-05-04 09:28:53

我发现,如果经过身份验证的用户无法读取web应用程序中静态内容的文件夹,它将对您进行身份验证,然后拒绝访问。这可以通过授予local_Machine\Authenicated_Users对所需资源的访问来解决。

在我的例子中,我将Authenticated_users添加到IIS_IUSRS组中,它解决了我的问题。请注意,这也可以将任何经过身份验证的用户授予IIS_IUSRs组可用的所有文件和文件夹。因此,请注意,这些用户不能以任何其他方式访问文件系统。一个单独的组授予NT AUTHORITY\Authenticated_Users足够多的权限来读取pngs,静态内容是最好的方法。

配置: Windows 2012 R2运行IIS8.5,NETFramework4.5,启用静态内容。

票数 5
EN
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:

https://stackoverflow.com/questions/45173852

复制
相关文章

相似问题

领券

腾讯云开发者

扫码关注腾讯云开发者

扫码关注腾讯云开发者

领取腾讯云代金券

热门产品

热门推荐

更多推荐

Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有 

深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 粤公网安备44030502008569号

腾讯云计算(北京)有限责任公司 京ICP证150476号 |  京ICP备11018762号

问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档