Wenn ich so etwas wie dieses in meinem ASP.NET web.config Web-Anwendung:Prüft die Autorisierung in web.config auch Untergruppen?
<authorization>
<allow roles="MyUsers" />
<deny users="*" />
</authorization>
und dann eine ActiveDirectory- Gruppe SpecialGroup haben, die innerhalb MyUsers ist, wird ein Mitglied von SpecialGroup erlaubt werden meine Anwendung zugreifen?
Ja, wird es. Wenn Sie sich anmelden, wird ein Sicherheitstoken erstellt, das Details zu allen Gruppen enthält, denen Sie angehören und die alle verschachtelten Gruppen enthalten. Dieses Token wird verwendet, um den Zugriff zu bestimmen. Aus diesem Grund müssen Sie sich abmelden, wenn Sie einer Gruppe hinzugefügt werden.
Aber nur um sicher zu sein, habe ich es auf einer meiner Seiten getestet und es funktionierte wie beschrieben.
¹ tatsächlich ist es möglich, in so vielen Gruppen zu sein, dass sie nicht alle in das Token passen (welches eine begrenzte Größe hat). In diesem Fall enthält Ihr Token die ersten 'n' Gruppen (was von Reihenfolge, die vom Domänencontroller zurückgegeben wird, damit Sie ein merkwürdiges Verhalten sehen können).
Große Antwort, danke! –