将对IIS站点的访问限制为AD组

在IIS中是否可以在IIS中设置站点，而只允许某个AD组的用户访问该站点？

根据您的IIS版本，以下内容应该可以工作。如果站点的根目录中没有一个（尽管应该在IIS7上），则需要添加一个web.config。下面将允许域管理员和拒绝域用户（很容易解释）。如果已经有配置节，请确保将配置节排成一行。

<configuration>
  <location path="MyPage.aspx/php/html">
      <system.web>
         <authorization>
            <allow users="DOMAIN\Domain Admins"/>
            <deny users="DOMAIN\Domain Users"/>
         </authorization>
      </system.web>
   </location>
</configuration>

显然，您需要在站点首选项中的“身份验证”下启用“ Windows身份验证”，才能正常工作，但是我想您已经启用了此功能。

joshatkins的答案在IIS7中不起作用。对于IIS7，您需要使用role属性。另外，如果要限制整个网站，则不需要location元素。

<authorization>
  <allow roles="DOMAIN\Domain Users"/>
  <deny users="*" />
</authorization>

在其他答案上仅添加了几点，帮助我弄清楚了如何使基本的AD身份验证与IIS正常工作后如何使它工作。

1. 通过Windows Server Manager添加角色或功能：Web服务器（IIS）-> Web服务器->安全-> URL授权。
2. 关闭然后重新打开IIS管理器（如果已打开），现在您将看到（在您网站的IIS部分下）授权规则。打开这个。
3. 单击右侧面板：添加允许规则
4. 在“ 指定角色或用户组”下，键入所需的AD组的名称。例如。myDomain \ myGroup，然后选择确定。
5. 对所需的组重复4。

如果您只想直接编辑配置文件，那么它将类似于以下内容：

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
    <system.webServer>
        ...
        <security>
            <authorization>
                <remove users="*" roles="" verbs="" />
                <add accessType="Allow" roles="myDomain\myGroup01" />
                <add accessType="Allow" roles="myDomain\myGroup02" />
            </authorization>
        </security>
    </system.webServer>
</configuration>

如果使用web.config授权规则不起作用（例如，因为运行了CGI脚本），则可以使用文件夹权限系统禁用继承，删除IIS用户（以便没有人具有读取访问权限），然后在其中添加安全组。具有读取权限。您还必须启用某种形式的身份验证方法（例如，Basic或Windows Integrated），以便识别访问者。

将文件夹的读取权限仅授予该域组也可以。

我知道这是一个非常老的问题，但这是我在测试环境中需要的。

这种方法对我有效，我弹出一个对话框即可登录，并且可以顺利登录。

我想知道如何配置它以使用SSO？如果登录的用户是安全组的成员，则请要求提供凭据。

我的IIS在Windows Server 2016 1607上并且网站是静态HTML。