web服务器权限设置

1. web服务器怎么设置

1 打开控制面板，使用它的添加/删除程序功能，选择“添加/删除WINDOWS组件”

2选取INTERNET信息服务（IIS）并单击详细信息按钮，选择需要安装诉IIS子组件，然后单击确定按钮开始安装。安装成功之后，只要启动WINDWOS，IIS就会自动启动。

3打开控制面板中的管理工具，双击INTERNET服务管理器图标，屏幕显示INTERNET信息服务窗口，按一下计算机名称旁的加号，选择默认WEB站点，单南鼠标右键选取属性。

4设置IP地址。在默认WEB站点属性窗口中，单南WEB站点选项卡，按一下“IP地址”下拉列表框，选择WEB服务器要连接的IP地址。如果设置为“全部未分配”，则表示WEB服务器会连接本地计算机的所有IP地址

5设置主目录。单击主目录标签，可以更改本地路径，也可以更改此目录开放的权限。本地路径指的是当输入地址为本计算机IP地址时，此地址的实际路径“C：＼INTEPUB＼WWWROOT”。只要将网页放在这个目录中，别人就可以输入本机IP地址来浏览了

6设置默认文档。单击文档选项卡，可以看到站点默认的主页名称为DEFAULT.htm，default.asp等。默认文档的用途是当输放的网址为计算机的IP地址时，浏览器会自动读取与默认当档相同名称的文件。默认文档可以更改。

2. Windows Server 2008 Web服务器IIS权限设置问题

如果是给网站创建一个独立用户，不是程序池里设置，你这边出现这个应该是用户名不对，高级去选就好了，要么就要用户名输入对。

网站设置独立网站用户步骤

1. 计算机管理里为网站创建一个独立网站用户

2. 点击网站，右边点击基本设置---链接为--特殊用户这里输入创建的用户名和密码

3. 给网站目录添加这个用户的权限。
   

3. Web服务器配置方法教程

服务器是一种高性能计算机，作为网络的节点，存储、处理网络上80%的数据、信息，因此也被称为网络的灵魂。那么该如何配置Web服务器呢?如果你不知道，请看我整理的Web服务器配置方法详解吧!

2、单击窗口中的“添加/删除Windows组件”图标，弹出“Windows组件向导”对话框。

3、选中“向导”中的“应用程序服务器”复选框。单击“详细信息”按钮，弹出“应用程序服务器”对话框。

4、选择需要的组件，其中“Internet信息服务(IIS)”和“应用程序服务器控制台”是必须选中的。选中“Internet信息服务(IIS)”后，再单击“详细信息”按钮，弹出“Internet信息服务(IIS)”对话框。

5、选中“Internet信息服务管理器”和“万维网服务”。并且选中“万维网服务”后，再单击“详细信息”按钮，弹出“万维网服务”对话框。

6、其中的“万维网服务”必须选中。如果想要服务器支持ASP，还应该选中“Active Server Pages”。逐个单击“确定”按钮，关闭各对话框，直到返回图1的“Windows组件向导”对话框。

7、单击“下一步”按钮，系统开始IIS的安装，这期间可能要求插入Windows Server 2003安装盘，系统会自动进行安装工作。

8、安装完成后，弹出提示安装成功的对话框，单击“确定”按钮就完成了IIS的安装。

友情提示：如果想要同时装入FTP服务器，在“Internet信息服务(IIS)”对话框中应该把“文件传输协议(FTP)服务”的复选框也选中。

在IIS中创建Web网站

打开“Internet 信息服务管理器”，在目录树的“网站”上单击右键，在右键菜单中选择“新建→网站”，弹出“网站创建向导”：

网站描述就是网站的名字，它会显示在IIS窗口的目录树中，方便管理员识别各个站点。本例中起名为“枝叶的网站”。

网站IP地址：如果选择“全部未分配”，则服务器会将本机所有IP地址绑定在该网站上，这个选项适合于服务器中只有这一个网站的情况。也可以从 下拉式列表框中选择一个IP地址(下拉式列表框中列出的是本机已配置的IP地址，如果没有，应该先为本机配置IP地址，再选择。)

TCP端口：一般使用默认的端口号80，如果改为其它值，则用户在访问该站点时必须在地址中加入端口号。

主机头：如果该站点已经有域名，可以在主机头中输入域名。

主目录路径是网站根目录的位置，可以用“浏览”按钮选择一个文件夹作为网站的主目录。

网站访问权限是限定用户访问网站时的权限，“读取”是必需的，“运行脚本”可以让站点支持ASP，其它权限可根据需要设置。

单击“下一步”，弹出“完成向导”对话框，就完成了新网站的创建过程，在IIS中可以看到新建的网站。把做好的网页和相关文件复制到主目录中，通常就可以访问这个网站了。

访问网站的方法是：如果在本机上访问，可以在浏览器的地址栏中输入“http://localhost/”;如果在网络中其它计算机上访问，可以在浏览器的地址栏中输入“http://网站IP地址”。

说明：如果网站的TCP端口不是80，在地址中还需加上端口号。假设TCP端口设置为8080，则访问地址应写为“http://localhost:8080/”或“http://网站IP地址：8080”。

网站的基本配置

如果需要修改网站的参数，可以在“网站名字”上单击右键，在右键菜单中选择“属性”，可以打开“网站属性”对话框。

1、“网站”标签

“网站标识”：可以设置网站名字、IP地址、端口号。单击“高级”按钮可以设置主机头名。

2、“主目录”标签

在本地路径中可以设置主目录的路径名和访问权限。

3、“文档”标签

默认文档是指访问一个网站时想要打开的默认网页，这个网页通常是该网站的主页。如果没有启用默认文档或网站的主页文件名不在默认文档列表中，则访问这个网站时需要在地址中指明文件名。

默认文档列表中最初只有4个文件名：Default.htm、Default.asp、index.htm和Default.aspx。我用 “添加”按钮加入了一个index.asp，并用“上移”按钮把它移到了顶部。这主要是因为我的网站的主页名为“index.asp”，所以应该把它加入 列表，至于是否位于列表顶部倒是无关紧要的。

经过以上配置，一个Web网站就可以使用了。把制作好的网页复制到网站的主目录中，网站主页的文件名应该包含在默认文档中。打开浏览器，在地址栏中输入“http://本机IP地址”，就可以打开网站的主页。其它页面可以用网页中的超链接打开。

虚拟目录

虚拟目录可以使一个网站不必把所有内容都放置在主目录内。虚拟目录从用户的角度来看仍在主目录之内，但实际位置可以在计算机的其它位置，而且虚拟目录的名字也可以与真实目录不同。如：

图中用户看到的一个位于主目录下的文件夹“pic”，它的真实位置在服务器的“D:myimage”处，而主目录位于“C:mywww” 处。假设该网站的域名是“www.abc.com”，则用户访问“http://www.abc.com/pic/文件1”时，访问的实际位置是服务器的 “D:myimage文件1”，所以虚拟目录的真实名字和位置对用户是不可知的。

创建虚拟目录的方法 ：

打开 Internet 信息服务窗口，在想要创建虚拟目录的 Web 站点上 单击右键，选择“新建”→“虚拟目录”。弹出虚拟目录创建向导：

别名是映射后的名字，即客户访问时的名字;

路径：服务器上的真实路径名，即虚拟目录的实际位置;

访问权限：指客户对该目录的访问权限。

单击“下一步”按钮，弹出完成对话框，虚拟目录就建立成功了。把相关文件复制到虚拟目录中，用户就可以按照虚拟的树形结构访问到指定文件了。

通常虚拟目录的访问权限、默认文档等都继承自主目录，如果需要修改，可在“Internet 信息服务管理器”中的虚拟目录上单击右键，选择“属性”，就可以修改虚拟目录的参数设置了。

补充：服务器介绍

服务器，也称服务器，是提供计算服务的设备。由于服务器需要响应服务请求，并进行处理，因此一般来说服务器应具备承担服务并且保障服务的能力。

服务器的构成包括处理器、硬盘、内存、系统总线等，和通用的计算机架构类似，但是由于需要提供高可靠的服务，因此在处理能力、稳定性、可靠性、安全性、可扩展性、可管理性等方面要求较高。

在网络环境下，根据服务器提供的服务类型不同，分为文件服务器，数据库服务器，应用程序服务器，WEB服务器等。

相关阅读：服务器常见问题有哪些

1.系统蓝屏、频繁死机、重启、反映速度迟钝

服务器的与我们平常电脑不论是硬件结构还是运行系统，都是极其类似的。因此，就如同我们的电脑一样，一样可能会感染病毒，同样会因为系统漏洞、软件冲突、硬件故障导致死机、蓝屏、重启等故障，同样会因为垃圾缓存信息过多而导致反应迟钝。

2.远程桌面连接超出最大连接数

由于服务器默认为允许连接数为2个，如果登陆后忘记注销，而是直接关闭远程桌面的话，服务器识别此次登陆还是留在服务器端的。出现这种情况，最常见的就是重启服务器，但是，如果是高峰期，重启服务器带来的损失是显而易见的。那么此时，就可以利用mstsc/console指令进行强行登陆了。打开“运行”框，键入“mstsc/v:xxx.xxx.xxx.xxx(服务器IP)/console”，即可强行登陆到远程桌面了。

3.无法删除的文件该怎么清理

遇到这种情况，可能是该文件还在运行中，可以重启删之，或者运行CMD，输入arrtib-a-s-h-r想要删除的文件夹名，最后输入del想要删除的文件夹名即可删除，运行该命令后无法恢复，请慎用。

4.系统端口隐患

对于服务器来说，首要保障稳定性和安全性。因此，我们仅需保证服务器最基本的功能即可，就像声卡都是默认禁止的。我们并不需要太多的功能，也不需要太多的端口支持。像一些不必要，而且风险较高的端口大可封掉。而一些必要的，又有风险的端口，比如:3389、80等端口，我们可以通过修改注册表的方法将其设置不特殊的秘密端口，这样服务器端口的安全隐患就不复存在了。

4. 如何使用IIS授予对Web服务器权限

不过，您可以更改网站中任何文件夹或文件的权限。例如，您可以使用 Web 服务器权限来控制是否允许网站访问者查看某一特定网页、加载信息或运行脚本。
当同时配置 Web 服务器权限和 Windows NTFS 权限时，您可以在多个级别(从整个网站到单个文件)控制用户访问 Web 内容的方式。
1. 启动 Internet 服务管理器。或者启动 IIS 管理单元。
2. 单击以展开* server name，其中 server name 是服务器的名称。
3. 右键单击要为用户授予访问权限的网站、虚拟目录、文件夹或文件，然后单击属性。
4. 根据您的具体情况单击下列选项卡之一:
主目录、 虚拟目录、目录、文件
5. 单击以选中或清除下列任何一个对应要授予的 Web 权限级别的复选框(如果存在): 脚本资源访问:授予此权限将允许用户访问源代码。脚本资源访问包含脚本的源代码，如 Active Server Pages (ASP) 程序中的脚本。注意，此权限只有在授予读取或写入权限时才可用。
注意:如果单击脚本资源访问，用户将可以从 ASP 程序的脚本中查看到敏感信息，例如用户名和密码。他们还将能够更改您的服务器上运行的源代码，这会严重影响服务器的安全和性能。建议您使用单个的 Windows 帐户和更高级别的身份验证(如集成的 Windows 身份验证)来处理对此类信息和这些功能的访问。
读取:授予此权限将允许用户查看或下载文件或文件夹及其相关属性。读取权限默认情况下是选中的。
写入:授予此权限将允许用户把文件及其相关属性上载到服务器中启用的文件夹，或允许用户更改启用了写入权限的文件的内容或属性。
目录浏览:授予此权限将允许用户查看虚拟目录中的文件和子文件夹的超文本列表。请注意，文件夹列表中并不显示虚拟目录;用户必须知道虚拟目录的别名。
注意:如果下列两个条件都满足，则当用户试图访问服务器上的文件或文件夹时，Web 服务器将在用户的 Web 浏览器中显示一条Access Forbidden(禁止访问)错误信息: 目录浏览被禁用。
用户未在地址框中指定文件名，如 Filename.htm。
记录访问:授予此权限可在日志文件中记录对此文件夹的访问。只有在为网站启用了日志记录时才会记录日志条目。
索引资源:授予此权限将允许 Microsoft 索引服务在网站的全文索引中包含该文件夹。授予此项权限后，用户将可以对此资源执行查询。
6. 在执行权限框中，选择一个设置以确定想让脚本在此网站上以何种方式运行。可以使用以下设置:? 无:如果不希望用户在服务器上运行脚本或可执行的程序，则请单击此设置。当使用此设置时，用户只能访问静态文件，如超文本标记语言 (HTML) 文件和图像文件。
仅脚本:单击此设置可在服务器上运行诸如 ASP 程序之类的脚本。
脚本和可执行文件:单击此设置可在服务器上同时运行 ASP 程序之类的脚本和可执行程序。
7. 单击确定，然后退出Internet 服务管理器或退出 IIS 管理单元。
注意: 在您尝试更改网站或虚拟目录的安全属性时，IIS 会检查该网站或虚拟目录中包含的子节点(虚拟目录和文件)上的现有设置。如果在较低级别上设置的权限不同，则 IIS 会显示一个继承覆盖对话框。要指定哪些子节点应该继承您在较高级别上设置的权限，请单击子节点列表中的一个或多个节点，然后单击确定。子节点将继承新的权限设置。
如果文件夹或文件的 Web 权限和 NTFS 权限不同，则将使用这两种设置中限制条件较严格的设置。

5. 如何设置windows服务以及web Service服务的访问权限

Windows 7 的 IIS 上发布 webservice操作如下：1、在控制面板->程序和功能->打开或关闭Windows功能.找到 "Internet 信息服务",并将其子集全部打上勾，开启了 IIS 功能。

2、在开启 IIS 后,到 控制面板->管理工具->Internet信息服务(IIS)管理器,双击打开一个新的控制面板。

3、找到网站->Default Web Site->添加应用程序；

4、填写应用程序的别名,应用程序池默认就可以,物理路径选择上篇文章中建立Webservice时所保存的路径，然后点击 "连接为" 按钮：

5、选择特定用户, 点击右边的 "设置" 按钮 , 填写电脑的用户名跟密码,用户名一般默认都是 administrator：

6、填写好证据后,点击 "测试设置" 按钮. 在测试连接里面,如果 "身份验证"跟"授权"前面都打了绿色的勾,那么说明配置成功，这一步是对于 IIS 访问权限的配置。也就是获得系统管理员权限。

7、找到 IIS 选项里面的 "目录浏览" , 双击打开新面板。

8、点击选择最右边侧面的 "启用" 按钮。

9、这里的启用可以让我们有浏览应用程序内部文件目录的权限；

10、点击右侧的浏览应用程序，在后面加上我们上一篇文章里新添加的 "一般处理程序" Handler1.ashx就可以访问到刚发布到 IIS 的网站。

6. Windows操作系统账户权限设置步骤详解

难道我们真的无能为力了吗?其实，只要你弄明白了NTFS系统下的权限设置问题，我们可以对crackers们说:NO!

要打造一台安全的WEB服务器，那么这台服务器就一定要使用NTFS和Windows NT/2000/2003。众所周知，Windows是一个支持多用户、多任务的操作系统，这是权限设置的基础，一切权限设置都是基于用户和进程而言的，不同的用户在访问这台计算机时，将会有不同的权限。

DOS跟WinNT的权限的分别

DOS是个单任务、单用户的操作系统。但是我们能说DOS没有权限吗?不能!当我们打开一台装有DOS操作系统的计算机的时候，我们就拥有了这个操作系统的管理员权限，而且，这个权限无处不在。所以，我们只能说DOS不支持权限的设置，不能说它没有权限。随着人们安全意识的提高，权限设置随着NTFS的发布诞生了。

Windows NT里，用户被分成许多组，组和组之间都有不同的权限，当然，一个组的用户和用户之间也可以有不同的权限。下面我们来谈谈NT中常见的用户组。

Administrators,管理员组，默认情况下，Administrators中的用户对计算机/域有不受限制的完全访问权。分配给该组的默认权限允许对整个系统进行完全控制。所以，只有受信任的人员才可成为该组的成员。

Power Users，高级用户组，Power Users 可以执行除了为 Administrators 组保留的任务外的其他任何操作系统任务。分配给 Power Users 组的默认权限允许 Power Users 组的成员修改整个计算机的设置。但Power Users 不具有将自己添加到 Administrators 组的权限。在权限设置中，这个组的权限是仅次于Administrators的。

Users:普通用户组，这个组的用户无法进行有意或无意的改动。因此，用户可以运行经过验证的应用程序，但不可以运行大多数旧版应用程序。Users 组是最安全的组，因为分配给该组的默认权限不允许成员修改操作系统的设置或用户资料。Users 组提供了一个最安全的程序运行环境。在经过 NTFS 格式化的卷上，默认安全设置旨在禁止该组的成员危及操作系统和已安装程序的完整性。用户不能修改系统注册表设置、操作系统文件或程序文件。Users 可以关闭工作站，但不能关闭服务器。Users 可以创建本地组，但只能修改自己创建的.本地组。

Guests:来宾组，按默认值，来宾跟普通Users的成员有同等访问权，但来宾帐户的限制更多。

Everyone:顾名思义，所有的用户，这个计算机上的所有用户都属于这个组。

其实还有一个组也很常见，它拥有和Administrators一样、甚至比其还高的权限，但是这个组不允许任何用户的加入，在察看用户组的时候，它也不会被显示出来，它就是SYSTEM组。系统和系统级的服务正常运行所需要的权限都是靠它赋予的。由于该组只有这一个用户SYSTEM，也许把该组归为用户的行列更为贴切。

权限实例攻击

权限将是你的最后一道防线!那我们现在就来对这台没有经过任何权限设置，全部采用Windows默认权限的服务器进行一次模拟攻击，看看其是否真的固若金汤。

假设服务器外网域名为x，用扫描软件对其进行扫描后发现开放WWW和FTP服务，并发现其服务软件使用的是IIS5.0和Serv-u 5.1，用一些针对他们的溢出工具后发现无效，遂放弃直接远程溢出的想法。

打开网站页面，发现使用的是动网的论坛系统，于是在其域名后面加个/upfile.asp，发现有文件上传漏洞，便抓包，把修改过的ASP木马用NC提交，提示上传成功，成功得到WEBSHELL，打开刚刚上传的ASP木马，发现有MS-SQL、Norton Antivirus和BlackICE在运行，判断是防火墙上做了限制，把SQL服务端口屏蔽了。

通过ASP木马查看到了Norton Antivirus和BlackICE的PID，又通过ASP木马上传了一个能杀掉进程的文件，运行后杀掉了Norton Antivirus和BlackICE。再扫描，发现1433端口开放了，到此，便有很多种途径获得管理员权限了，可以查看网站目录下的conn.asp得到SQL的用户名密码，再登陆进SQL执行添加用户，提管理员权限。也可以抓SERV-U下的ServUDaemon.ini修改后上传，得到系统管理员权限。

还可以传本地溢出SERV-U的工具直接添加用户到Administrators等等。大家可以看到，一旦黑客找到了切入点，在没有权限限制的情况下，黑客将一帆风顺的取得管理员权限。

那我们现在就来看看Windows 2000的默认权限设置到底是怎样的。对于各个卷的根目录，默认给了Everyone组完全控制权。这意味着任何进入电脑的用户将不受限制的在这些根目录中为所欲为。

系统卷下有三个目录比较特殊，系统默认给了他们有限制的权限，这三个目录是Documents and settings、Program files和Winnt。对于Documents and settings，默认的权限是这样分配的:Administrators拥有完全控制权;Everyone拥有读&运，列和读权限;Power users拥有读&运，列和读权限;SYSTEM同Administrators;Users拥有读&运，列和读权限。对于Program files，Administrators拥有完全控制权;Creator owner拥有特殊权限;Power users有完全控制权;SYSTEM同Administrators;Terminal server users拥有完全控制权，Users有读&运，列和读权限。

对于Winnt，Administrators拥有完全控制权;Creator owner拥有特殊权限;Power users有完全控制权;SYSTEM同Administrators;Users有读&运，列和读权限。而非系统卷下的所有目录都将继承其父目录的权限，也就是Everyone组完全控制权!

现在大家知道为什么我们刚刚在测试的时候能一帆风顺的取得管理员权限了吧?权限设置的太低了!一个人在访问网站的时候，将被自动赋予IUSR用户，它是隶属于Guest组的。本来权限不高，但是系统默认给的Everyone组完全控制权却让它“身价倍增”，到最后能得到Administrators了。

那么，怎样设置权限给这台WEB服务器才算是安全的呢?大家要牢记一句话:“最少的服务+最小的权限=最大的安全”对于服务，不必要的话一定不要装，要知道服务的运行是SYSTEM级的哦，对于权限，本着够用就好的原则分配就是了。

对于WEB服务器，就拿刚刚那台服务器来说，我是这样设置权限的，大家可以参考一下:各个卷的根目录、Documents and settings以及Program files，只给Administrator完全控制权，或者干脆直接把Program files给删除掉;给系统卷的根目录多加一个Everyone的读、写权;给e:www目录，也就是网站目录读、写权。

最后，还要把cmd.exe这个文件给挖出来，只给Administrator完全控制权。经过这样的设置后，再想通过我刚刚的方法入侵这台服务器就是不可能完成的任务了。可能这时候又有读者会问:“为什么要给系统卷的根目录一个Everyone的读、写权?网站中的ASP文件运行不需要运行权限吗?”问的好，有深度。是这样的，系统卷如果不给Everyone的读、写权的话，启动计算机的时候，计算机会报错，而且会提示虚拟内存不足。

当然这也有个前提----虚拟内存是分配在系统盘的，如果把虚拟内存分配在其他卷上，那你就要给那个卷Everyone的读、写权。ASP文件的运行方式是在服务器上执行，只把执行的结果传回最终用户的浏览器，这没错，但ASP文件不是系统意义上的可执行文件，它是由WEB服务的提供者----IIS来解释执行的，所以它的执行并不需要运行的权限。

7. 如何设置 Web 服务器的权限

如果Web服务器的权限没有设置好，那么网站就会出现漏洞并且很可能会出现被不怀好意的人黑掉的情况。我们不应该把这归咎于 IIS 的不安全。如果对站点的每个目录都配以正确的权限，出现漏洞被人黑掉的机会还是很小的（Web 应用程序本身有问题和通过其它方式入侵黑掉服务器的除外）。下面是我在配置过程中总结的一些经验，希望对大家有所帮助。
IIS 下网站->站点->属性->主目录（或站点下目录->属性->目录）面板上有：
脚本资源访问读取写入浏览记录访问索引资源6 个选项。这 6 个选项中，“记录访问”和“索引资源”跟安全性关系不大，一般都设置。但是如果前面四个权限都没有设置的话，这两个权限也没有必要设置。在设置权限时，记住这个规则即可，后面的例子中不再特别说明这两个权限的设置。
另外在这 6 个选项下面的执行权限下拉列表中还有：无纯脚本纯脚本和可执行程序3 个选项。
而网站目录如果在 NTFS 分区（推荐用这种）的话，还需要对 NTFS 分区上的这个目录设置相应权限，许多地方都介绍设置 everyone 的权限，实际上这是不好的，其实只要设置好 Internet 来宾帐号（IUSR_xxxxxxx）或 IIS_WPG 组的帐号权限就可以了。如果是设置 ASP、PHP 程序的目录权限，那么设置 Internet 来宾帐号的权限，而对于 ASP.NET 程序，则需要设置 IIS_WPG 组的帐号权限。在后面提到 NTFS 权限设置时会明确指出，没有明确指出的都是指设置 IIS 属性面板上的权限。
例1 —— ASP、PHP、ASP.NET 程序所在目录的权限设置： 如果这些程序是要执行的，那么需要设置“读取”权限，并且设置执行权限为“纯脚本”。不要设置“写入”和“脚本资源访问”，更不要设置执行权限为“纯脚本和可执行程序”。NTFS 权限中不要给 IIS_WPG 用户组和 Internet 来宾帐号设置写和修改权限。如果有一些特殊的配置文件（而且配置文件本身也是 ASP、PHP 程序），则需要给这些特定的文件配置 NTFS 权限中的 Internet 来宾帐号（ASP.NET 程序是 IIS_WPG 组）的写权限，而不要配置 IIS 属性面板中的“写入”权限。
IIS 面板中的“写入”权限实际上是对 HTTP PUT 指令的处理，对于普通网站，一般情况下这个权限是不打开的。
IIS 面板中的“脚本资源访问”不是指可以执行脚本的权限，而是指可以访问源代码的权限，如果同时又打开“写入”权限的话，那么就非常危险了。
执行权限中“纯脚本和可执行程序”权限可以执行任意程序，包括 exe 可执行程序，如果目录同时有“写入”权限的话，那么就很容易被人上传并执行木马程序了。
对于ASP.NET 程序的目录，许多人喜欢在文件系统中设置成 Web 共享，实际上这是没有必要的。只需要在 IIS 中保证该目录为一个应用程序即可。如果所在目录在 IIS 中不是一个应用程序目录，只需要在其属性->目录面板中应用程序设置部分点创建就可以了。Web 共享会给其更多权限，可能会造成不安全因素。
总结: 也就是说一般不要打开-主目录-(写入),(脚本资源访问) 这两项以及不要选上(纯脚本和可执行程序),选(纯脚本)就可以了.需要asp.net的应用程序的如果应用程序目录不止应用程序一个程序的可以在应用程序文件夹上(属性)-目录-点创建就可以了.不要在文件夹上选web共享.
例2 —— 上传目录的权限设置： 用户的网站上可能会设置一个或几个目录允许上传文件，上传的方式一般是通过 ASP、PHP、ASP.NET 等程序来完成。这时需要注意，一定要将上传目录的执行权限设为“无”，这样即使上传了 ASP、PHP 等脚本程序或者 exe 程序，也不会在用户浏览器里就触发执行。
同样，如果不需要用户用 PUT 指令上传，那么不要打开该上传目录的“写入”权限。而应该设置 NTFS 权限中的 Internet 来宾帐号（ASP.NET 程序的上传目录是 IIS_WPG 组）的写权限。
如果下载时，是通过程序读取文件内容然后再转发给用户的话，那么连“读取”权限也不要设置。这样可以保证用户上传的文件只能被程序中已授权的用户所下载。而不是知道文件存放目录的用户所下载。“浏览”权限也不要打开，除非你就是希望用户可以浏览你的上传目录，并可以选择自己想要下载的东西。
总结: 一般的一些asp.php等程序都有一个上传目录.比如论坛.他们继承了上面的属性可以运行脚本的.我们应该将这些目录从新设置一下属性.将(纯脚本)改成(无).
例3 —— Access 数据库所在目录的权限设置： 许多IIS 用户常常采用将 Access 数据库改名（改为 asp 或者 aspx 后缀等）或者放在发布目录之外的方法来避免浏览者下载它们的 Access 数据库。而实际上，这是不必要的。其实只需要将 Access 所在目录（或者该文件）的“读取”、“写入”权限都去掉就可以防止被人下载或篡改了。你不必担心这样你的程序会无法读取和写入你的 Access 数据库。你的程序需要的是 NTFS 上 Internet 来宾帐号或 IIS_WPG 组帐号的权限，你只要将这些用户的权限设置为可读可写就完全可以保证你的程序能够正确运行了。
总结: Internet 来宾帐号或 IIS_WPG 组帐号的权限可读可写.那么Access所在目录（或者该文件）的“读取”、“写入”权限都去掉就可以防止被人下载或篡改了
例4 —— 其它目录的权限设置： 你的网站下可能还有纯图片目录、纯 html 模版目录、纯客户端 js 文件目录或者样式表目录等，这些目录只需要设置“读取”权限即可，执行权限设成“无”即可。其它权限一概不需要设置。
上面的几个例子已经包含了大部分情况下的权限设置，只要掌握了设置的基本原理，也就很容易地完成能其它情况下的权限设置。