我有一个SQL Server 2000，C＆ASP.net Web应用程序。我们想通过使用Active Directory组来控制对其的访问。如果输入的组是"全局"，则可以通过身份验证，但如果组是"通用"，则不能。

如何使"通用"小组的工作顺利进行？
这是我的授权块：

<authorization>
  <allow roles="domain\Group Name Here"/>
  <allow roles="domain\Group Name Here2"/>
  <allow roles="domain\Group Name Here3"/>
  <deny users="*"/>
  </authorization>

解决方案

根据Active Directory拓扑，​​我们可能必须等待通用组成员身份复制到所有域控制器。 Active Directory建议采取以下措施：

• 为每个域创建一个全局组，例如"域A授权用户"，"域B授权用户"
• 将所需的用户从域A放入"域A授权用户"组中，依此类推
• 在根域"所有授权用户"中创建通用组
• 将"全球"组放入"通用"组
• 使用通用组保护资源：<allow role =" root domain \ All Authorized Users />
• 等待复制

这种方案的一个优势是，当我们将新用户添加到Global组之一时，我们将不必等待GC复制。

原来我需要使用" Pre Win2000" ID而不是常规的ID。