将用户添加到Active Directory组导致“拒绝访问”

我正在致力于将用户添加到Active Directory并将其分配给安全组的C＃Asp.net站点。将用户添加到Active Directory组导致“拒绝访问”

除了一个问题，整个脚本的效果很好。我可以将用户添加到组中，但在尝试将用户添加到应用程序池标识所属的组时，会出现“拒绝访问”异常。

我认为这是一个Windows权限问题，但我不确定需要什么权限。在使用旧的VB脚本时，我们遇到了同样的问题。

任何想法？

来源

2012-08-17 EagleHail

应用程序池的标识是否有权将成员添加到它所属的组中？也就是说，不要认为一个身份有权仅仅因为它是该群体的成员就可以将群体添加到群体中;或者您在执行群组添加时冒充了特定身份？ – 2012-08-17 12:50:15

我正在使用特定的身份（让我们称他为WebAdmin）为整个应用程序池授予了将成员添加到组的权限。我不确定需要额外的特权才能将成员添加到“WebAdmin”是其成员的组中。 – EagleHail 2012-08-17 12:55:04

你也可以看看使用目录服务。借助此功能，您可以设置正在进行广告调用的用户，而不必混淆应用程序池标识。 – Brian 2012-08-17 13:08:47

我在为活动目录管理设计的网站上遇到过这类问题。到目前为止，执行环境不允许管理AD。因此，通过IIS，我们将默认帐户更改为具有完全权限的本地系统（几乎不能重新启动系统），并且无法进行日志记录（安全第一）。这适用于你冒充你的网站。

如果不是，您将需要一个高级组和用户管理。 AD许可非常敏感。

编辑： 在你的情况下，使用特定的帐户不是问题。在管理员登录时检查身份，并使用本地系统进行模拟。您的应用程序环境将会正常，只有您的管理员才能访问。

来源

2012-08-17 13:00:57 Gnial0id

不幸的是，不是每个使用该网站的人都是管理员，最常使用该网站的IT工作人员不是“管理员”，而仅仅是高级用户。如果我知道我可以将其添加到应用程序池标识中，或者仅在您不是管理员的情况下才允许使用它？ – EagleHail 2012-08-17 13:10:43

您需要在该组中设置权限，以允许组将用户成员添加到该组中或组织单位nd你可以通过程序设置这些权限。但是我做了什么，它是用户登录的网站。根据他们的管理组，他们被允许访问某些功能，等等。因此，他们可以访问他们的角色，但所有网站都由一个帐户（本地系统）运行。 – Gnial0id 2012-08-17 13:26:58

感谢您的帮助。我必须在该组本身设置权限。 – EagleHail 2012-08-17 13:46:52

将用户添加到Active Directory组导致“拒绝访问”

回答

相关问题