Einschränken des Zugriffs bestimmter Benutzer auf angegebene Webressourcen

In diesem Artikel werden Methoden beschrieben, mit denen Sie bestimmte Benutzer daran hindern können, Zugriff auf angegebene Webressourcen zu erhalten.

              Originale Produktversion: ASP.NET
Ursprüngliche KB-Nummer: 815151

Zusammenfassung

Webanwendungen, die auf ASP.NET basieren, bieten viele Möglichkeiten, wie Benutzer authentifiziert und autorisiert werden können, um Zugriff auf Ressourcen zu erhalten. Die Art und Weise, wie Sie den Zugriff auf Ressourcen einschränken, hängt von der verwendeten Authentifizierungsmethode ab. Für eine Anwendung, in der Sie Microsoft Windows-Authentifizierung verwenden und den Identitätswechsel aktivieren, können Sie beispielsweise NTFS-Dateiberechtigungen (New Technology File System) für die Zugriffssteuerung verwenden. Für eine Anwendung, in der Sie die Formularauthentifizierung verwenden, müssen Sie jedoch die Web.config Datei ändern, um den Zugriff einzuschränken. In diesem Artikel wird beschrieben, wie Sie die Autorisierung für beide ASP.NET Authentifizierungsmethoden steuern.

Steuern der Autorisierung mithilfe von Dateiberechtigungen

Für ASP.NET Webanwendungen, bei denen Sie Windows-Authentifizierung verwenden und den Identitätswechsel aktivieren, können Sie standardmäßige NTFS-Dateiberechtigungen verwenden, um eine Authentifizierung zu erfordern und den Zugriff auf die Dateien und Ordner einzuschränken:

• Um eine Authentifizierung zu erfordern, entfernen Sie die Zugriffsberechtigungen des ASPNET-Benutzerkontos für die Datei oder den Ordner.
• Um den Zugriff auf bestimmte Windows-Benutzerkonten oder -Gruppenkonten einzuschränken, erteilen oder verweigern Sie NTFS-Dateiberechtigungen für Dateien oder Ordner.

Steuern der Autorisierung durch Ändern der Web.config-Datei

Um den Zugriff auf ASP.NET Anwendungen einzuschränken, die die Formularauthentifizierung verwenden, bearbeiten Sie das <authorization> -Element in der Web.config-Datei der Anwendung. Gehen Sie dazu wie folgt vor:

1. Starten Sie einen Text-Editor, z. B. Editor, und öffnen Sie dann die Web.config Datei, die sich im Stammordner der Anwendung befindet.

   Hinweis

   Wenn die Web.config-Datei nicht vorhanden ist, erstellen Sie eine Web.config-Datei für die ASP.NET Anwendung.

2. Wenn Sie die Autorisierung für die gesamte Anwendung steuern möchten, fügen Sie das <authorization> Konfigurationselement dem <system.web> -Element in der Web.config-Datei hinzu.

3. Fügen Sie im <authorization> -Element das <allow> Konfigurationselement und das <deny> Konfigurationselement hinzu. Verwenden Sie das users -Attribut, um eine durch Trennzeichen getrennte Liste von Benutzernamen anzugeben. Sie können ein Fragezeichen (?) als Wildcardzeichen verwenden, das mit einem beliebigen Benutzernamen übereinstimmt. Der folgende Code verweigert beispielsweise allen Benutzern mit Ausnahme von user1 und user2den Zugriff:

   <authorization>
       <allow users="user1, user2"/>
       <deny users="?"/>
   </authorization>
   

4. Speichern Sie die Web.config Datei.

References

• Bearbeiten der Konfiguration einer ASP.NET-Anwendung

• Erstellen der Web.config-Datei für eine ASP.NET-Anwendung

• Erstellen von Anwendungs- und Directory-Specific-Konfigurationseinstellungen in einer ASP.NET-Anwendung

• Schützen von Anwendungen, die auf dem .NET Framework