如何设置IIS网站目录的访问权限

打开网站根目录的“属性”窗体，然后切换到“安全”选项框

在“安全”选项框中，有该目录权限的组或用户，以及对应的权限。

点击“编辑”按钮，在打开的“权限”对话框中，再点击“添加”按钮，依次添加匿名用户IUSR和和用户组IIS_IUSRS

对于网站的根目录，通常只需要赋予“读取”，“列出文件夹内容”和“读取和执行”的权限。

如果在网站下某些文件或目录需要写入权限，则单独在这些文件或目录的IUSR和IIS_USRS权限上添加“写入”

通过这种方式完成网站的访问权限设置，之前碰到的问题就迎刃而解。

"有分特别多权限，也不知道你是哪种

拷贝给你看看吧，期望能有用

IIS

Web

服务器的权限设置有2个地方，1个是

NTFS

文件系统（System）本身的权限设置，另1个是

IIS

下网站->站点->属性->主目录（或站点下目录->属性->目录）面板上。这2个地方是密切相关的。下边我会以实例的方式来讲解怎么设置权限。

IIS

下网站->站点->属性->主目录（或站点下目录->属性->目录）面板上有：

脚本资源访问

读取

写入

浏览

记录访问

索引资源

6

个选项。这

6

个选项中，“记录访问”和“索引资源”跟安全性关系不大，一般都设置。可是假如前面四个权限都木有设置的话，这2个权限也木有必要设置。在设置权限时，记住这个规则即可，后面的例子中不再特别说明这2个权限的设置。

另外在这

6

个选项下边的执行权限下拉列表中还有：

无

纯脚本

纯脚本和可执行程序

3

个选项。

而网站目录假如在

NTFS

分区（推选用这种）的话，还要对

NTFS

分区上的这个目录设置相应权限，许多地方都介绍设置

everyone

的权限，实际上这是不好的，其实只需要设置好

Internet

来宾帐号（IUSR_xxxxxxx）或

IIS_WPG

组的帐号权限就可以了。假如是设置

ASP、PHP

程序的目录权限，那么设置

Internet

来宾帐号的权限，而对于

ASP.NET

程序，则要设置

IIS_WPG

组的帐号权限。在后面提到

NTFS

权限设置时会明确指出，木有明确指出的都是指设置

IIS

属性面板上的权限。

例1

——

ASP、PHP、ASP.NET

程序所在目录的权限设置：

假如这类程序是要执行的，那么要设置“读取”权限，并且设置执行权限为“纯脚本”。别设置“写入”和“脚本资源访问”，更别设置执行权限为“纯脚本和可执行程序”。NTFS

权限中别给

IIS_WPG

用户组和

Internet

来宾帐号设置写和修改权限。假如有有些特殊的配置文件（并且配置文件本身也是

ASP、PHP

程序），则要给这类特定的文件配置

NTFS

权限中的

Internet

来宾帐号（ASP.NET

程序是

IIS_WPG

组）的写权限，而别配置

IIS

属性面板中的“写入”权限。

IIS

面板中的“写入”权限实际上是对

HTTP

PUT

指令的处理，对于普通网站，一般情形下这个权限是不打开（OPEN）的。

IIS

面板中的“脚本资源访问”不是指可以执行脚本的权限，而是指可以访问源代码的权限，假如同时又打开（OPEN）“写入”权限的话，那么就非常危险了。

执行权限中“纯脚本和可执行程序”权限可以执行任意程序，包括

exe

可执行程序，假如目录同时有“写入”权限的话，那么就很容易被人上传并执行木马程序了。

对于

ASP.NET

程序的目录，许多人喜欢在文件系统（System）中设置成

Web

共享，实际上这是木有必要的。只需要在

IIS

中保证该目录为1个应用程序即可。假如所在目录在

IIS

中不是1个应用程序目录，只需要在其属性->目录面板中应用程序设置部分点创建就可以了。Web

共享会给其更多权限，可能会造成不安全因素。

剑心总结:也就是说一般别打开（OPEN）-主目录-(写入),(脚本资源访问)

这两项以及别选上(纯脚本和可执行程序),选(纯脚本)就可以了.要asp.net的应用程序的假如应用程序目录不止应用程序1个程序的可以在应用程序文件夹上(属性)-目录-点创建就可以了.别在文件夹上选web共享.

例2

——

上传目录的权限设置：

用户的网站上可能会设置1个或几个目录允许上传文件，上传的方式一般是通过

ASP、PHP、ASP.NET

等程序来完成。这时要注意，一定要将上传目录的执行权限设为“无”，这样即使上传了

ASP、PHP

等脚本程序或

exe

程序，也不会在用户浏览器里就触发执行。

同样，假如不要用户用

PUT

指令上传，那么别打开（OPEN）该上传目录的“写入”权限。而应当设置

NTFS

权限中的

Internet

来宾帐号（ASP.NET

程序的上传目录是

IIS_WPG

组）的写权限。

假如下载(DownLoad)时，是通过程序读取文件内容之后再转发给用户的话，那么连“读取”权限也别设置。这样可以保证用户上传的文件只可以被程序中已授权的用户所下载(DownLoad)。而不是知道文件存放目录的用户所下载(DownLoad)。“浏览”权限也别打开（OPEN），除非你就是期望用户可以浏览你的上传目录，并可以选取自己想要下载(DownLoad)的东东。

剑心总结:一般的有些asp.php等程序都有1个上传目录.例如论坛（BBS）.他们继承了上边的属性可以运行脚本的.我们应当将这类目录从新设置一下属性.将(纯脚本)改成(无).

例3

——

Access

数据库所在目录的权限设置：

许多

IIS

用户常常采用将

Access

数据库改名（改为

asp

或

aspx

后缀等）或放在发布目录之外的方法来避免浏览者下载(DownLoad)它们的

Access

数据库。而实际上，这是不必要的。其实只需要将

Access

所在目录（或该文件）的“读取”、“写入”权限都去掉就可以防止被人下载(DownLoad)或篡改了。你不必担心这样你的程序会没方法读取和写入你的

Access

数据库。你的程序要的是

NTFS

上

Internet

来宾帐号或

IIS_WPG

组帐号的权限，你只需要将这类用户的权限设置为可读可写就完全可以保证你的程序能够正确运行了。

剑心总结:Internet

来宾帐号或

IIS_WPG

组帐号的权限可读可写.那么Access所在目录（或该文件）的“读取”、“写入”权限都去掉就可以防止被人下载(DownLoad)或篡改了

例4

——

其它目录的权限设置：

你的网站下可能还有纯图目录、纯

html

模版目录、纯客户端

js

文件目录或样式表目录等，这类目录只需要设置“读取”权限即可，执行权限设成“无”即可。其它权限一概不要设置。

好了，我想上边的几个例子已经包含了大部分情形下的权限设置，其它情形根据这类例子，我想你一定可以想到该怎么设置了吧。"

---