Accès global ou universel au groupe Active Directory pour une application Web

Question

J'ai un SQL Server 2000, C# & Application web ASP.net. Nous voulons contrôler l'accès à l'aide de groupes Active Directory. Je peux obtenir l'authentification pour travailler si le groupe que je mets est un 'Global' mais pas si le groupe est 'Universal'.

Comment puis-je faire fonctionner ce groupe avec des groupes «universels»? Voici mon bloc d'autorisation:

<authorization> 
    <allow roles="domain\Group Name Here"/> 
    <allow roles="domain\Group Name Here2"/> 
    <allow roles="domain\Group Name Here3"/> 
    <deny users="*"/> 
    </authorization> 

Answer 1

Il s'avère que j'avais besoin d'utiliser l'identifiant "Pre Win2000" et non celui du standard.

Answer 2

En fonction de votre topologie Active Directory, vous pourriez avoir à attendre que les membres du groupe Universal pour répliquer autour de tous les contrôleurs de domaine. Active Directory recommande ce qui suit cependant:

1. Créer un groupe global pour chaque domaine, par exemple, « le domaine A Restreinte », « Domaine B Restreinte »
2. Mettez les utilisateurs que vous voulez du domaine A dans " domaine un utilisateur autorisé » groupe, etc
3. Créer un groupe universel dans le domaine racine « Tous les utilisateurs autorisés »
4. Mettez les groupes globaux dans le groupe Universal
5. sécuriser la ressource en utilisant le groupe Universal: < permettent rôles = "domaine racine \ Tous les utilisateurs autorisés />
6. Attendez que la réplication

Un avantage de ce système est que lorsque vous ajoutez un nouvel utilisateur à l'un des groupes mondiaux, vous ne devrez pas attendre pour la réplication de GC.