ASP.NET + IIS6: белый список пользователей через раздел авторизации в web.config

Question

Рассмотрим приложение IIS6 на веб-сайте:

• Проверка подлинности Windows включена.
• Аноним отключен

Это приложение ASP.NET MVC с областями. Корневой web.config имеет следующие узлы аутентификации и авторизации:

<authentication mode="Windows"></authentication>

<authorization> 
    <allow users="domain\abc, domain\xyz, domain\foo, domain\bar"/>   
</authorization>

Моя личность отсутствует в списке разрешенных пользователей. Введя URL в браузер, я могу просмотреть и перейти ко всем страницам внутри. Я знаю, что я авторизован должным образом, так как мое имя Active Directory отображается на сайте.

Проблема: Мне предоставлен доступ к сайту.

Вопрос: Используя web.config, как я могу ограничить пользователей на основе их учетных данных Windows этим приложением IIS6?

Answer 1

Попробуйте это:

<authorization> 
    <allow users="domain\abc, domain\xyz, domain\foo, domain\bar"/>   
    <deny users="*"/>
</authorization>

Answer 2

Как насчет добавления запрещающего раздела за разрешающим?

<deny users="*" />