是否可以将 ASPNet 应用程序中经过 Windows 身份验证的用户限制为特定域？

Question

我正在将一个经典的 ASP 应用程序拉入 Mvc2。我将部署到 Intranet，并被要求启用对 Windows 身份验证的支持。我将部署到的网络有几个 AD 域，我只需要与一个特定的域集成。是否可以使用 Windows 身份验证并仅允许特定域内的身份验证？

同样，用户在多个域中拥有帐户的情况并不少见（帐户名称本身通常是不同的） - 如果用户使用“不受支持”的域登录，我想将他们踢到登录表格。仅使用 Windows Auth 就可以做到这一点，还是我最好寻找替代方案？

Answer 1

专业提示：

无论您做什么，都不要通过 IIS 实施 Windows 身份验证。您的 MVC 应用程序中有一个表单身份验证页面，但使用 LDAP 身份验证提供程序。这样您就可以避免浏览器实现 Windows 身份验证方式之间的差异（仅在 IE 中运行良好，这不是一个很好的原因）。

Answer 2

问题“是否可以使用 Windows 身份验证并仅允许在特定域内进行身份验证？”在我的咨询经验中始终有一个且只有一个答案：答案是您为经过身份验证的资源设置的权限。

我很少发现部署中没有某些文件、文件夹、服务器、COM+ 对象、SQL 角色或数据库表无法“锁定”以仅允许您的目标用户子集访问（例如“DOMAIN\Domain Users”）：

• 设置作为“前门”（以及可选的所有其他文件）的 ASPX 文件（或包含它们的文件夹，以及继承到这些文件）的权限，以便它们仅“域用户”组中的用户可以访问允许的域，
• 限制托管网站的服务器上的登录权限，以便只有域用户组具有适当的权限 - 根据所使用的身份验证提供程序，这可能是“允许本地登录”或“从网络访问此计算机”
• 在组件服务的某个层设置权限
• 限制 SQL Server 角色，以便只有“域用户”能够读取和访问该计算机。执行必要的数据库对象