首先,一些背景信息:我们有一个基于WSS 3.0的内部网站,托管在DOMAIN_A.LOCAL的服务器上,并设置为使用集成的Windows身份验证来对DOMAIN_A.LOCAL的Active Directory用户帐户进行身份验证。
这个设置对于使用DOMAIN_A.LOCAL的AD帐户登录Windows的用户完全正常工作,但是当用户尝试从使用不同域(例如DOMAIN_B.LOCAL)的AD帐户登录Windows的PC访问网站时,会出现以下问题:
1. 用户必须手动输入他们的凭据,如DOMAIN_A\UserName而不只是UserName,否则Internet Explorer会自动插入DOMAIN_B并导致身份验证失败。 2. 登录后,如果用户需要浏览器将其身份验证传递到客户端应用程序(例如,单击文档库中的Microsoft Office文档以打开进行编辑),则似乎会自动传递无效凭据(可能是DOMAIN_B),从而强制用户再次手动输入其DOMAIN_A凭据。
因此,我的问题是:
在使用集成的Windows身份验证时,是否有任何方式实现“默认域”类型的行为(与使用基本明文身份验证时可以做到的一样),以便如果在DOMAIN_B上的用户没有输入其用户名之前的域,DOMAIN_A将自动为他们插入?
当然,我意识到此部署可能存在致命缺陷,因此我也愿意接受对不同实现的建议。
总而言之,主要问题源于需要访问一个SharePoint站点上的相同内容的两种不同类型的用户。 DOMAIN_A中的用户都有自己的全职工作站点,在其中以自己的身份登录Windows。不幸的是,在DOMAIN_B中的用户必须使用共享计算机,这些计算机使用没有SharePoint权限的通用“kiosk”类型帐户登录 - 因此要求DOMAIN_B用户在访问给定页面时随时提供他们的凭据。 我希望保留DOMAIN_A的“静态”用户集成的Windows身份验证的便利性,同时最大程度地减少DOMAIN_B的“kiosk”用户必须忍受的手动身份验证量。
这个设置对于使用DOMAIN_A.LOCAL的AD帐户登录Windows的用户完全正常工作,但是当用户尝试从使用不同域(例如DOMAIN_B.LOCAL)的AD帐户登录Windows的PC访问网站时,会出现以下问题:
1. 用户必须手动输入他们的凭据,如DOMAIN_A\UserName而不只是UserName,否则Internet Explorer会自动插入DOMAIN_B并导致身份验证失败。 2. 登录后,如果用户需要浏览器将其身份验证传递到客户端应用程序(例如,单击文档库中的Microsoft Office文档以打开进行编辑),则似乎会自动传递无效凭据(可能是DOMAIN_B),从而强制用户再次手动输入其DOMAIN_A凭据。
因此,我的问题是:
在使用集成的Windows身份验证时,是否有任何方式实现“默认域”类型的行为(与使用基本明文身份验证时可以做到的一样),以便如果在DOMAIN_B上的用户没有输入其用户名之前的域,DOMAIN_A将自动为他们插入?
当然,我意识到此部署可能存在致命缺陷,因此我也愿意接受对不同实现的建议。
总而言之,主要问题源于需要访问一个SharePoint站点上的相同内容的两种不同类型的用户。 DOMAIN_A中的用户都有自己的全职工作站点,在其中以自己的身份登录Windows。不幸的是,在DOMAIN_B中的用户必须使用共享计算机,这些计算机使用没有SharePoint权限的通用“kiosk”类型帐户登录 - 因此要求DOMAIN_B用户在访问给定页面时随时提供他们的凭据。 我希望保留DOMAIN_A的“静态”用户集成的Windows身份验证的便利性,同时最大程度地减少DOMAIN_B的“kiosk”用户必须忍受的手动身份验证量。