IISサイトへのアクセスをADグループに制限する

IISでIISにサイトをセットアップし、特定のADグループのユーザーにのみアクセスを許可することは可能ですか？

IISのバージョンに応じて、以下が機能するはずです。サイトのディレクトリルートにweb.configがなければ（IIS7では必要ですが）web.configを追加する必要があります。以下は、ドメイン管理者を許可し、ドメインユーザーを拒否します（かなり自明です）。セクションなどがある場合は、必ず構成セクションを並べてください。

<configuration>
  <location path="MyPage.aspx/php/html">
      <system.web>
         <authorization>
            <allow users="DOMAIN\Domain Admins"/>
            <deny users="DOMAIN\Domain Users"/>
         </authorization>
      </system.web>
   </location>
</configuration>

これが機能するためには、サイト設定の認証でWindows認証を有効にする必要がありますが、これは既に有効になっていると思います。

joshatkinsの答えはIIS7では機能しません。IIS7では、ロール属性を使用する必要があります。また、サイト全体を制限する場合、location要素は必要ありません。

<authorization>
  <allow roles="DOMAIN\Domain Users"/>
  <deny users="*" />
</authorization>

基本的なAD認証がIISで正常に機能した後、これを機能させる方法を見つけるのに役立った他の回答にさらにいくつかのポイントを追加するだけです。

1. Windows Server Managerを使用して役割または機能を追加します。Webサーバー（IIS）-> Webサーバー->セキュリティ-> URL承認。
2. IISマネージャーを閉じてから再度開いて（開いている場合）、（サイトのIISセクションの下に）承認規則が表示されます。これを開けて
3. 右側のパネルをクリックします：許可ルールを追加します
4. [ 指定された役割またはユーザーグループ]で、必要なADグループの名前を入力します。例えば。myDomain \ myGroupおよびOKを選択します。
5. 必要なグループに対して4を繰り返します。

構成ファイルを直接編集する場合は、次のようになります。

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
    <system.webServer>
        ...
        <security>
            <authorization>
                <remove users="*" roles="" verbs="" />
                <add accessType="Allow" roles="myDomain\myGroup01" />
                <add accessType="Allow" roles="myDomain\myGroup02" />
            </authorization>
        </security>
    </system.webServer>
</configuration>

web.config承認規則を使用しても機能しない場合（たとえば、CGIスクリプトが実行されるため）、フォルダー許可システムを使用して継承を無効にし、IISユーザーを削除して（だれも読み取りアクセス権がないように）、セキュリティグループを追加します読み取りアクセス。また、訪問者が認識されるように、何らかの形式の認証方法（例：基本またはWindows統合）を有効にする必要があります。

そのドメイングループのみにフォルダーの読み取りアクセス許可を付与しても機能します。

これは非常に古い質問ですが、これはテスト環境で必要なものです。

このアプローチは私のために機能し、ログインするためのポップアップが表示され、問題なくログインできます。

SSOを使用するように構成するにはどうすればよいですか？ログインしているユーザーがセキュリティグループのメンバーである場合は、資格情報を要求してください。

私のIISはWindows Server 2016 1607上にあり、Webサイトは静的HTMLです。