Windows Server 2012 R2
IIS 8.5
Internet Explorer 11
Ich habe eine IIS-Webanwendung, die Windows-Authentifizierung unterstützt (Anbieter: Negotiate, NTLM).
Ich habe einen Anwendungsfall, bei dem ein bestimmter Benutzer mehrere Konten hat. Seine IE-Einstellungen betrachten die Site als „lokale Intranet“-Zone und versuchen daher automatisch, sich mit dem Benutzernamen anzumelden, mit dem er bei Windows angemeldet ist. Er muss sein anderes Konto verwenden, um sich ordnungsgemäß bei der Site zu authentifizieren, erhält jedoch keine Aufforderung zur Eingabe der Anmeldeinformationen. Wenn dies geschieht, gibt die Site sofort einen 403-Fehler zurück und das war’s.
Gibt es eine Möglichkeit, die IIS-Site so zu konfigurieren, dass der Benutzer zur Authentifizierung aufgefordert wird, anstatt aufzugeben? Ich kann die Site-Adresse aus Sicherheitsgründen nicht aus der Zone „Lokales Intranet“ in seinem Browser entfernen und ebenso kann ich die Richtlinie für die automatische Anmeldung für die gesamte lokale Intranetzone nicht ändern.
Gibt es eine andere Art und Weise?
Antwort1
In der IIS-Konfiguration gibt es nichts, was Einfluss darauf hat, wie ein Browser die Anmeldeinformationen erhält, die an den Server gesendet werden sollen.
Eine Problemumgehung für Ihr Problem ist:
Stellen Sie sicher, dass das zum Anmelden bei der Site erforderliche Windows-Konto auch ein Benutzer im Windows-Betriebssystem des Benutzers ist.
Lassen Sie den Benutzer eine separate IE-Instanz unter diesem zweiten Benutzerkonto starten. Wenn die automatische Anmeldung eingerichtet ist, sollte es dann ohne erneute Eingabe der Anmeldeinformationen funktionieren.