IIS为每个站点建立独立用户、程序池访问网站基本教程1

前言：在Windows server 2003系统下，用IIS架设Web服务器，合理的为每个站点配置独立的Internet来宾账号，这样可以限制Internet 来宾账号的访问权限，只允许其可以读取和执行运行网站所的需要的程序。如果为网站内的网站程序、图片、附件或数据库等的文件分配合理、严格的读取、写入、修改、执行等权限，可以禁止访问该网站的用户访问其它目录和执行危险的命令，以防范通过上传恶意程序到网站并入侵网站、服务器的目的。下面方法通过建立独立用户并分配基本访问权访问不同的网站以防止跨站入侵。

一、创建用于访问网站的独立用户

1. 选中“我的电脑”右键，选择“管理”，打开“计算机管理”，选择“本地用户和组”，然后点击“用户”，接着“右键”，新建一个用户，如下图：

最后点击“创建”，完成用户创建。

2. 取消新建立的用户属的用户组“USERS”,选择用户xiazw.com，然后“右键”，选择“属性”，让用户不属于任何组，如下图：

二、 应用新建立的用户到网站根目录

1. 选中网站根目录，“右健”，选择“属性”，然后选中“安全”如下图：

2. 默认情况我们已经删除别的用户了，接下就添加新建立的用户，赋予这个文件夹相应的权限，选择“添加”，查找到对应的用户，如下图：

3.对于ASP或PHP网站程序，一般情况网站根目录要分配有administrator、system、访问网站的独立用户的等用户的默认权限。网站根目录一定不能分配“Everyone”和“Users”这两个用户。

4. 如果网站根目录下面有要写入文件的文件夹，如“上传图片或有Access数据库”需要写入数据的，可以在根目录分配“写入”权并继承下到子目录；为更安全可以单独选中需要写入数据的文件夹，然后按上面的操作，赋予这个文件夹 “写入”权。

5. 对于ASP.NET的程序，在服务器安装有Microsoft .NET Framework 组件的前提下，除了分配上面的用户访问权外，有些网站程序还需要在网站目录添加“IIS_WPG”用户。

6.对于网站权限的分配 ，您可以结合对自身对服务器安全防范与管理的能力在文件夹的“安全”选项卡中的“高级”选项中进行更细微的权限调整。

7. 对于部分文件夹，如上传图片、附件或不需要执行权限的目录，可选中该目录，在文件夹属性在的“执行权限”设置其为“无”，这样设置后就算被上传木马程序到网站也无法运行木马程序。