IIS + 集成 Windows 身份驗證：Authenticated_Users 的讀取/執行權限是否安全？

我有一個企業 Web 應用程序，它將通過集成 Windows 身份驗證(IWA)與單點登錄 (SSO) 服務集成。SSO 服務僅提供身份驗證（不提供授權）。此 Web 應用程序將通過自定義授權模組處理授權。我們在 Windows 2003 上執行 IIS 6。

一旦使用者通過 IWA 進行身份驗證，預設情況下 IIS 將在使用者登錄的上下文中執行網頁。所以通常我們有一個 Active Directory 安全組對象，我們為網站目錄分配讀取/執行權限 - 任何使用者對象是此指定安全組的成員可以查看/執行網頁。任何成功通過 AD 身份驗證但不屬於此安全組的 AD 使用者都會收到 HTTP 401（拒絕訪問）。

對於這個項目，雖然我們不希望為指定的安全組維護添加/刪除 AD 使用者對象。我們的想法是為 Authenticated_Users 組分配網站目錄文件的讀取/執行權限。這樣，如果您可以進行身份驗證，預設情況下您將能夠查看/執行頁面請求。

這安全嗎？從我的團隊的角度來看，只要這個 Web 應用程序中的授權模組能正常工作，它就是安全的。

在 IIS 上使用集成 Windows 身份驗證時，是否有其他人這樣做，或者您是否有其他方法來管理授權？

只要您的授權模組像宣傳的那樣工作，您就不應該有任何問題。這是一個經常被忽視的分離（認證和授權）。您只需承擔授權的責任（在應用程序內），但顯然這就是您想要的！就像你說的，Windows 安全組所做的只是提供一種身份驗證機制，它與你的應用程序中的實際權限無關。

引用自：https://serverfault.com/questions/81903