Windows Authentication in IIS 6.0 en NTFS rechten

kijk eens met Internet Information Service Manager, ga naar de file to. Properties, File Security, Authentication and Access Controll, Staat daar "Enable Anonymous Access" aan? Zet dit eens uit, en selecteer een Integrated of digest Authentication.

Check ook de security settings van de application pool waar je applicatie in draait, deze kun je ook op 'system service' zetten wanneer je proces systeemtoegang moet hebben.

Is het toevallig een Domain Controller? Want op een Domain Controller mogen gebruikers niet inloggen maar Administrators wel.

Raffy schreef op zondag 07 januari 2007 @ 12:02:
[...]


Ik heb dit nu op de server toegepast en ga het zo testen op een client maar wat ik me afvroeg is of dit verder geen invloed heeft op andere site's? want je kan het alleen bij de DefaultAppPool instellen.

Je kunt meerder Application Pools aanmaken hoor, ieder met zijn eigen instellingen. Zo kun je je webapplicaties netjes scheiden.

Vwb de problemen die betrekking zouden hebben met de DC; Ik draai zelf een testserver die ook DC is en ondervind daar geen problemen met lokale of domainusers die rechten zouden moeten hebben om bestanden te openen.

Je zou wellicht nog in je web.config een <identity impersonate="true"/> kunnen zetten, dan weet je zeker dat hij de anonymous user niet meer gebruikt maar de user die je toegekend hebt aan het IIS proces. In dit geval kun je beter toch een aparte webapplication definieren en een application pool maken voor die webapplication om te voorkomen dat je hele site van deze user gebruik maakt.

[ Voor 22% gewijzigd door dominic op 07-01-2007 15:07 ]

Raffy schreef op zondag 07 januari 2007 @ 13:41:
Het is een DC ja...

Maar ze loggen toch niet daad werkelijk in?
Het gaat toch om het bekijken van een bestand die op die DC draait?
Zelfde als het opvragen van een netwerk share op een cluster? of zit ik er nu naast?

Ze loggen wel in. Immers met moet zich authentiseren en daarvoor moet je je aanmelden. Je moet je ergens aamelden, en dat doe je op de website die draaid op de domain controller. Je meld je dus aan op de domain controller.

Kijk hier eens naar User Account Cannot Use Outlook Web Access from Domain Controller

Raffy schreef op zondag 07 januari 2007 @ 17:08:
Beste Dominic,

Nu ga je wel heel die IIS in ;-)
Zo ver gaat mijn kennis van IIS niet. Kan je is uitleggen wat je precies bedoeld maar dan met voorbeeldje? want heb gezocht maar kan niet vinden waar ik dat stukje code dan zou moeten plaatsen.

BVD

Dan wordt het toch echt tijd dat je je er in gaat verdiepen, want het is niet de bedoeling dat alles je hier voorgekauwd wordt

Rolfie schreef op zondag 07 januari 2007 @ 18:20:
[...]


Ze loggen wel in. Immers met moet zich authentiseren en daarvoor moet je je aanmelden. Je moet je ergens aamelden, en dat doe je op de website die draaid op de domain controller. Je meld je dus aan op de domain controller.

Kijk hier eens naar User Account Cannot Use Outlook Web Access from Domain Controller

logon locally rechten op een dc zijn niet nodig, misschien wel voor owa maar niet voor een "gewone" website (voor ftp overigens wel).

@TS: Zet ipv domain users eens everyone F.C. op de webroot (alle bestanden). Zolang je alleen integrated authenticatie toestaat kan dit niet veel kwaad. Als dit werkt, kan je weer rechten verwijderen net zolang totdat het nog net werkt... (misschien is het ook voldoende om het iwam_servernaam account rechten te geven, je logt namelijk niet in, maar er wordt een impersonate gedaan).

[ Voor 7% gewijzigd door Verwijderd op 09-01-2007 13:15 ]

Misschien eens met auditing gaan kijken, waar het precies fout gaat?