本文介紹了正常運(yùn)行IIS所需要的最小NTFS權(quán)限，當(dāng)IIS不能正常運(yùn)行或者想嚴(yán)格限制權(quán)限的時(shí)候可以
參照此文，以下是操作的7個(gè)步驟。
1、選取整個(gè)硬盤(pán)：
System：完全控制
Administrator：完全控制
（允許將來(lái)自父系的可繼承性權(quán)限傳播給對(duì)象）
2、Program FilesCommon Files：
Everyone：讀取及運(yùn)行
列出文件目錄
讀取
（允許將來(lái)自父系的可繼承性權(quán)限傳播給對(duì)象）

3、Inetpubwwwroot：(可根據(jù)需要設(shè)計(jì))
IUSR_MACHINE：讀取及運(yùn)行
列出文件目錄
讀取
（允許將來(lái)自父系的可繼承性權(quán)限傳播給對(duì)象）

4、Winntsystem32：
選中 Inetsrv、Certsrv （如果存在）和 Com 之外的其他所有文件夾，去除“允許將來(lái)自父系的可繼承性權(quán)限傳播給對(duì)象”選框，復(fù)制。

5、Winnt：
選中以下文件夾之外的其他所有文件夾：Assembly（如果有）、Downloaded Program Files、Help、IIS Temporary Compressed Files、Microsoft.NET（如果有）、Offline Web Pages、System32、Tasks、Temp 和 Web。 ，去除“允許將來(lái)自父系的可繼承性權(quán)限傳播給對(duì)象”選框，復(fù)制。

6、Winnt：
Everyone：讀取及運(yùn)行
列出文件目錄
讀取
（允許將來(lái)自父系的可繼承性權(quán)限傳播給對(duì)象）

7、WinntTemp：（允許訪問(wèn)數(shù)據(jù)庫(kù)并顯示在ASP頁(yè)面上）
Everyone：修改
（允許將來(lái)自父系的可繼承性權(quán)限傳播給對(duì)象）

9.program filesservu 只給system admin 所有權(quán)限

10.webeasymail everyone 所有權(quán)限,否則不好

11、Winntsystem32intesvr 這個(gè)目錄下不要給EVERYONE的寫(xiě)入權(quán)限

12. cmd.exe net.exe

13. php.ini 中 display_errors 設(shè)為OFF

這樣，你就擁有了一個(gè)權(quán)限嚴(yán)格而又可以正常運(yùn)行的IIS系統(tǒng)了。

補(bǔ)充：禁止web anonymous組對(duì)cmd.exe等的訪問(wèn)

更多信息

雖然每個(gè)系統(tǒng)管理員可以根據(jù)各自的需求設(shè)置權(quán)限，但最好使用 Everyone 組，而不要只使用 IUSR_MACHINE 帳戶。實(shí)際上，如果只為 IUSR_MACHINE 帳戶添加權(quán)限，ASP 和 ASP.NET 將無(wú)法運(yùn)行。如果使用 Everyone 組，當(dāng) Web 站點(diǎn)對(duì)匿名用戶和經(jīng)過(guò)身份驗(yàn)證的用戶都有高、中或低的保護(hù)級(jí)別設(shè)置時(shí)，ASP 能夠正常運(yùn)行。

另外，如果只需要匿名訪問(wèn)，管理員可以創(chuàng)建 InternetGuests 本地組，然后將 IUSR_MACHINE、IWAM_MACHINE 和 ASPNET 添加到該組，將 Everyone 組替換為 InternetGuests 組。不過(guò)，Everyone 組包括 Users 組（對(duì)于經(jīng)過(guò)身份驗(yàn)證的 Web 用戶）、IUSR_MACHINE 帳戶（對(duì)于匿名 HTM 訪問(wèn)）、IWAM_MACHINE 帳戶（對(duì)于匿名 ASP 功能）以及 ASPNET（對(duì)于 ASP.NET 功能）。

IIS 5.0 使用兩個(gè)單獨(dú)的帳戶執(zhí)行 Web 頁(yè)。使用匿名身份驗(yàn)證時(shí)，IIS 使用 IUSR_MACHINE 帳戶查看 Web 頁(yè)。不過(guò)，IWAM_MACHINE 用于啟動(dòng)一個(gè)單獨(dú)的進(jìn)程，該進(jìn)程稱(chēng)為 Dllhost.exe，所有 Active Server Pages (ASP)、組件對(duì)象模型 (COM) 組件或其他 ISAPI 擴(kuò)展（ASP 被視為 ISAPI 擴(kuò)展）都在該進(jìn)程內(nèi)運(yùn)行。這樣做的目的主要是保持穩(wěn)定。如果從 ASP 頁(yè)調(diào)用的自定義 COM 組件崩潰（也即，導(dǎo)致訪問(wèn)沖突，從而致使進(jìn)程停止），它不會(huì)影響到 Inetinfo.exe，因此 Web 服務(wù)將繼續(xù)運(yùn)行。

IIS 5.0 中的三個(gè)保護(hù)級(jí)別如下：
低（IIS 進(jìn)程）：該設(shè)置與 IIS 4.0 下的默認(rèn)設(shè)置類(lèi)似。所有 Web 頁(yè)，不論是 HTM 還是 ASP，都在 Inetinfo.exe 進(jìn)程內(nèi)運(yùn)行。
中等（池）：這是默認(rèn)設(shè)置。與 IIS 4.0 相同，該設(shè)置啟動(dòng)稱(chēng)為 Dllhost.exe 的單獨(dú)進(jìn)程，所有 ASP 和 COM 組件都在該進(jìn)程內(nèi)運(yùn)行。該進(jìn)程由 IWAM_MACHINE 帳戶啟動(dòng)，這也與 IIS 4.0 相同。另外，該設(shè)置也稱(chēng)為池，因?yàn)樵?IIS 中運(yùn)行的所有 Web 站點(diǎn)都在執(zhí)行 ASP 頁(yè)時(shí)共享這一個(gè) Dllhost.exe 進(jìn)程。請(qǐng)注意，Windows 2000 用 Dllhost.exe 替換 Mtx.exe。
高（獨(dú)立）：該設(shè)置為每個(gè) Web 站點(diǎn)或應(yīng)用程序啟動(dòng)專(zhuān)用 Dllhost.exe 進(jìn)程。如果有 5 個(gè) Web 站點(diǎn)，每個(gè)站點(diǎn)的保護(hù)級(jí)別都設(shè)為"高"，總共將有六個(gè) Dllhost.exe 進(jìn)程：五個(gè) Dllhost.exe 進(jìn)程和一個(gè)附加 Dllhost.exe 進(jìn)程，該附加進(jìn)程由 COM+ 在系統(tǒng)應(yīng)用程序下啟動(dòng)。