针对你遇到的这两类IIS问题，我来逐一给你梳理排查方向和实操解决方案：

一、web.config中<location path="code">配置无法生效 #

这类问题大多和配置格式、路径匹配或IIS加载逻辑有关，你可以按以下步骤排查：

• 核对路径准确性：确保path的值是相对站点根目录的路径，注意Windows系统虽然路径不区分大小写，但配置里最好和实际文件夹/虚拟路径的大小写保持一致，避免匹配失败。
• 检查节点层级：location节点必须直接嵌套在<configuration>根节点下，不能放在<system.web>或其他子节点里，正确的结构应该是：

<configuration>
  <!-- 其他全局配置 -->
  <location path="code">
    <system.web>
      <!-- 这里放该路径的权限或其他配置 -->
    </system.web>
  </location>
</configuration>

• 验证IIS是否加载配置：打开IIS管理器，进入你的站点→功能视图→配置编辑器，在“节”下拉框里选择system.web/authorization（或你配置的对应节），然后点击“位置”下拉框，看看是否能看到你配置的code路径，如果看不到，说明配置没被IIS识别，可能是格式错误或文件权限问题（确保IIS应用池身份有读取web.config的权限）。
• 适配管道模式：如果你的站点用的是经典管道模式，部分配置需要放在<system.webServer>节点下，而不是<system.web>，可以尝试调整配置位置再测试。

二、权限与身份验证相关问题（用户权限不均、AD角色不识别、弹出凭据框） #

1. IIS无法识别AD角色的解决要点 #

首先，你需要确认已安装必要组件：

• 确保Windows身份验证组件已安装（你说已启用，但要确认组件本身存在：服务器管理器→添加角色和功能→Web服务器（IIS）→Web服务器→安全→勾选Windows身份验证）。
• 如果是ASP.NET应用，还要确保安装了ASP.NET模块；若为.NET Core应用，需安装ASP.NET Core托管模块，这些是IIS和代码交互的基础。

然后是代码和配置的优化：

• 代码中判断AD角色时，一定要用完全限定的角色名，比如User.IsInRole("YourDomain\\YourADRoleName")，避免只写角色名导致IIS无法定位到AD组。
• 更换应用程序池身份：默认的ApplicationPoolIdentity权限有限，可能无法查询AD信息，建议设置为一个有AD读取权限的域账户，然后在AD服务器为该账户注册SPN（后面会提到）。
• 同步IIS授权规则：不要只在web.config里写授权配置，建议通过IIS管理器→站点→授权规则，手动添加允许目标AD角色访问的规则，这样能确保配置被IIS正确加载。

2. 首个用户可访问、其他用户无权限的排查 #

• 首个用户大概率是站点管理员或应用程序池身份对应的用户，拥有更高的NTFS权限，你需要检查站点物理路径的NTFS权限：右键文件夹→属性→安全→编辑，添加你的AD角色组，授予「读取和执行」「列出文件夹内容」「读取」权限，确保普通AD用户有文件系统层面的访问权限。
• 验证AD用户的组归属：打开AD用户和计算机，确认其他用户确实属于你要授权的AD角色组，有时候用户被添加到组后需要等待AD同步（或强制同步）才能生效。

3. 访问时弹出「AnotherD...」凭据框的解决 #

这个问题基本是Kerberos身份验证配置缺失导致的，IIS无法自动传递当前用户的凭据，所以弹出登录框：

• 确保站点绑定使用域名（而非IP或localhost），Kerberos需要正确的服务主体名称（SPN）才能工作。
• 在AD服务器上，用管理员权限运行命令提示符，为应用程序池的域账户注册SPN：

setspn -S HTTP/yourdomain.com YourDomain\AppPoolAccount

（把yourdomain.com换成你的站点域名，YourDomain\AppPoolAccount换成应用程序池的域账户）

• 在web.config里配置优先使用Kerberos身份验证：

<system.webServer>
  <security>
    <authentication>
      <windowsAuthentication enabled="true">
        <providers>
          <clear />
          <add value="Negotiate" /> <!-- Negotiate会优先尝试Kerberos -->
        </providers>
      </windowsAuthentication>
    </authentication>
  </security>
</system.webServer>

• 客户端设置：把站点添加到浏览器的「本地Intranet」区域，启用「自动登录到Intranet区域」选项，避免浏览器阻止凭据自动传递。

内容的提问来源于stack exchange，提问作者alex