Доступ запрещен при обновлении объекта Active Directory

Question

У меня есть приложение (MVC4) с проверкой подлинности Windows с Active Directory. После входа пользователя в систему (через диалоговое окно входа в браузер) он получает страницу со своими данными, где он может ее обновить, например, адрес emial.

После того, как пользователь нажимает кнопку «Сохранить», он получает ошибку «Доступ лишен», но у него есть соответствующие привилегии в Active Directory.

Я сохранить пользовательские данные с кодом, как это:

using (DirectoryEntry de = new DirectoryEntry (path)) 
{ 
    SetEntityPropertyValue(de, "mail", user.Email); 
    de.CommitChanges(); 
} 

Но, если я прохожу пользователя и пароль этого пользователь вошедший, как это:

using (DirectoryEntry de = new DirectoryEntry (path, user, password)) 
{ 
    SetEntityPropertyValue(de, "mail", user.Email); 
    de.CommitChanges(); 
} 

это работает. Что не так? Как получить учетные данные пользователя из проверки подлинности Windows для передачи их методу DirectoryEntry(), если это не произошло автоматически?

Я не писал ранее, но IIS и AD работают на разных машинах.

Answer 1

Я думаю, что вы аутентифицировали Active Directory изначально с использованием идентификатора пула приложений IIS, который не имеет достаточных разрешений для записи в Active Directory, но ему достаточно, чтобы читать элементы из AD. Вместо этого, я думаю, вы ищете impersonation, что заставит приложение работать как пользователь Windows с проверкой подлинности.

Попробуйте добавить это в свой web.config.

<configuration> 
    <system.web> 
    <identity impersonate="true"/> 
    </system.web> 
</configuration> 

Конечно, это потребует олицетворение пользователя Windows, чтобы иметь права на запись в Active Directory, а также.