Глобальный доступ к универсальной группе Active Directory для веб-приложения

Question

У меня есть веб-приложение на SQL Server 2000, C # и ASP.net. Мы хотим контролировать доступ к нему с помощью групп Active Directory. Я могу заставить аутентификацию работать, если группа, которую я ввожу, является «Глобальной», но нет, если группа «Универсальная».

Как я могу сделать эту работу с универсальными группами скважин? Вот мой блок авторизации:

  <authorization>
  <allow roles="domain\Group Name Here"/>
  <allow roles="domain\Group Name Here2"/>
  <allow roles="domain\Group Name Here3"/>
  <deny users="*"/>
  </authorization>

Answer 1

В зависимости от вашей топологии Active Directory может потребоваться подождать, пока членство в универсальной группе не реплицируется на все контроллеры домена. Хотя Active Directory рекомендует следующее:

1. Создание глобальной группы для каждого домена, например, «Авторизованные пользователи домена A», «Авторизованные пользователи домена B»
2. Поместите нужных пользователей из домена A в группу «Авторизованные пользователи домена A» и т. Д.
3. Создание универсальной группы в корневом домене «Все авторизованные пользователи»
4. Поместите Глобальные группы в Универсальную группу
5. Защита ресурса с помощью универсальной группы:
6. Ожидание репликации

Одним из преимуществ этой схемы является то, что при добавлении нового пользователя в одну из глобальных групп вам не придется ждать репликации GC.

Answer 2

Оказывается, мне нужно было использовать идентификатор Pre Win2000, а не обычный.