我想将基本身份验证添加到 IIS 中的网站,仅限 https。为此,我需要创建一个 Windows 用户。此用户只能访问本网站,这一点很重要。所以我需要将他添加到Deny log on locally& Deny log on through Remote Desktop Servicesin Local Computer Policy。
但是我无法将他添加到该网站,Deny access to this computer from the network或者他无法访问该网站。微软说这个权限:
可以通过网络登录设备的用户可以枚举帐户名、组名和共享资源的列表。
有权访问共享文件夹和文件的用户可以通过网络连接并可能查看或修改数据。
我可以做些什么来创建一个我可以 100% 确定只能访问该网站而绝对不能访问其他任何内容的用户?
也许您应该使用其他帐户类型。用户帐户类型只能用于真人(以及有问题的应用程序)。
https://docs.microsoft.com/en-us/iis/manage/configuring-security/application-pool-identities
为了解决您对“拒绝从网络访问此计算机”政策的担忧,这不应禁止该帐户用于对网站进行身份验证,因为“从网络访问”不包括 HTTP/S 协议和万维网服务。因此,您可以根据需要将基本身份验证用户帐户添加到“拒绝访问”策略中。
来源...
https://www.itprotoday.com/compute-engines/understanding-access-computer-network-user-right
“尽管名称听起来很宽泛,但‘从网络访问此计算机’用户权限仅适用于服务器服务及其提供的资源。服务器服务主要提供对文件和打印机的远程访问,但也提供对资源的远程访问您在 Microsoft 管理控制台 (MMC) 计算机管理管理单元中看到,包括事件日志、共享文件夹、本地用户和组、逻辑磁盘管理以及使用命名管道的应用程序。但是从网络用户权限访问此计算机具有对万维网发布、Telnet 和终端服务等服务没有影响。要控制对这些服务的访问,您必须根据需要实施特定于每个服务的安全设置。
“从网络访问这台计算机策略设置确定哪些用户可以从网络连接到设备。许多网络协议都需要此功能,包括基于服务器消息块 (SMB) 的协议、NetBIOS、通用 Internet 文件系统(CIFS) 和 Component Object Model Plus (COM+)。”
希望这可以帮助。