не разрешать встроенную проверку подлинности Windows * для одного из доменов *

Question

У нас есть веб-приложение ASP.NET, которое использует встроенную проверку подлинности Windows. К нему обращаются пользователи из двух доменов, A и B. A является основным доменом, а B является более старым доменом, который уходит. Веб-приложение аутентифицирует пользователей, используя групповую политику, которая существует только в домене A. Каждый пользователь в домене B имеет учетную запись в домене A. Приложение живет в домене A. Между доменами не было доверия. Таким образом, пользователи из домена A будут проходить аутентификацию и входить в систему без уведомления. Пользователи из домена B не проходили аутентификацию автоматически и им предлагалось всплывающее окно IE, к которому они проходили аутентификацию, используя свои учетные данные домена A, и все работало. Теперь кто-то установил доверие между доменами, и пользователи из домена B проходят аутентификацию в IIS без вывода сообщений, а затем их вход в систему не выполняется (без групповой политики). Итак, вопрос: можно ли программно или в конфигурации IIS сделать так, чтобы пользователи из домена B по-прежнему получали запросы, даже если между доменами есть доверие? Есть ли способ сообщить серверу, где работает IIS, чтобы игнорировать доверительные отношения?

Answer 1

вы пытались изменить локальную политику безопасности?

'запретить доступ к этому компьютеру из сети' включить domain.b \ пользователей домена (не забудьте выбрать группы в критериях поиска)

Answer 2

Можно ли отключить «Включить встроенную аутентификацию» для пользователей в домене B с помощью параметра групповой политики? Можно ли изменить все браузеры IE в домене B, чтобы сервер в домене A был , а не частью зоны интрасети?

= Обновлено =

Я надеялся, что вы ответите на мой первый вопрос. Так как это будет в течение короткого времени, это не должно быть проблемой правильно; -)

Второй хитрый.

В разделе инструменты - параметры - безопасность, вы должны поэкспериментировать с добавлением этого сайта в

a) закрытые сайты (хотя это ограничит возможности пользователя на веб-сайте)

b) доверенные сайты (но в «пользовательском уровне» измените вход в систему на «запрос имени пользователя и пароля» вместо «автоматический вход только в зоне интрасети»

== Обновление 2 ===

Я не уверен, сработает ли это. Игнорируя выше, могут ли пользователи быть вынуждены изменить свой пароль, чтобы он был одинаковым в обоих доменах? Поскольку у вас установлено доверие, это должно автоматически войти в систему.