Einschränken des Zugriffs bestimmter Benutzer auf angegebene Webressourcen

In diesem Artikel werden Methoden zum Einschränken des Zugriffs bestimmter Benutzer auf angegebene Webressourcen beschrieben.

Ursprüngliche Produktversion:   ASP.NET
Ursprüngliche KB-Nummer:   815151

Zusammenfassung

Webanwendungen, die auf ASP.NET basieren, bieten viele Möglichkeiten, wie Benutzer authentifiziert und autorisiert werden können, um Zugriff auf Ressourcen zu erhalten. Die Art und Weise, wie Sie den Zugriff auf Ressourcen einschränken, hängt von der verwendeten Authentifizierungsmethode ab. Beispielsweise können Sie für eine Anwendung, in der Sie Microsoft Windows-Authentifizierung verwenden und den Identitätswechsel aktivieren, NTFS-Dateiberechtigungen (New Technology File System) für die Zugriffssteuerung verwenden. Für eine Anwendung, in der Sie die Formularauthentifizierung verwenden, müssen Sie jedoch die Web.config-Datei ändern, um den Zugriff einzuschränken. In diesem Artikel wird beschrieben, wie Sie die Autorisierung für beide ASP.NET Authentifizierungsmethoden steuern.

Steuern der Autorisierung mithilfe von Dateiberechtigungen

Für ASP.NET Webanwendungen, in denen Sie Windows Authentifizierung verwenden und den Identitätswechsel aktivieren, können Sie standardmäßige NTFS-Dateiberechtigungen verwenden, um eine Authentifizierung anzufordern und den Zugriff auf die Dateien und Ordner einzuschränken:

• Um eine Authentifizierung erforderlich zu machen, entfernen Sie die Zugriffsberechtigungen des ASPNET-Benutzerkontos für die Datei oder den Ordner.
• Um den Zugriff auf bestimmte Windows Benutzerkonten oder Gruppenkonten einzuschränken, erteilen oder verweigern Sie ntfs-Dateiberechtigungen für Dateien oder Ordner lesen.

Steuern der Autorisierung durch Ändern der Web.config-Datei

Um den Zugriff auf ASP.NET Anwendungen einzuschränken, die die Formularauthentifizierung verwenden, bearbeiten Sie das <authorization> Element in der Web.configDatei der Anwendung. Gehen Sie dazu wie folgt vor:

1. Starten Sie einen Text-Editor, z. B. Editor, und öffnen Sie dann die Web.config Datei, die sich im Stammordner der Anwendung befindet.

   Hinweis

   Wenn die Web.config Datei nicht vorhanden ist, erstellen Sie eine Web.config Datei für die ASP.NET Anwendung.

2. Wenn Sie die Autorisierung für die gesamte Anwendung steuern möchten, fügen Sie das <authorization> Konfigurationselement dem <system.web> Element in der Web.config-Datei hinzu.

3. Fügen Sie im <authorization> Element das <allow> Konfigurationselement und das <deny> Konfigurationselement hinzu. Verwenden Sie das users Attribut, um eine durch Trennzeichen getrennte Liste von Benutzernamen anzugeben. Sie können ein Fragezeichen (?) als Platzhalterzeichen verwenden, das einem beliebigen Benutzernamen entspricht. Der folgende Code verweigert beispielsweise allen Benutzern den Zugriff mit Ausnahme user1 von user2 und:

   <authorization>
       <allow users="user1, user2"/>
       <deny users="?"/>
   </authorization>
   

4. Speichern Sie die dateiWeb.config.

References

• So bearbeiten Sie die Konfiguration einer ASP.NET Anwendung

• Vorgehensweise Erstellen der Web.config-Datei für eine ASP.NET-Anwendung

• Vorgehensweise Erstellen von Anwendungs- und Directory-Specific konfigurations-Einstellungen in einer ASP.NET-Anwendung

• So sichern Sie Anwendungen, die auf der .NET Framework basieren