1.先以C盤為例，右擊C盤，點擊“安全”，將Everyone、Users組刪除，設置administrators、system完全控制；iis_wpg只有該文件夾(列出文件夾/讀數據/讀屬性/讀擴展屬性/讀取權限) 2. c:/inetpub/mailroot;administrators;完全；system;完全；service;完全 c:/inetpub/ftproot;everyone;只讀和運行 如果裝了軟件： c:/Program;Files/soft;Everyone;讀取和運行，列出文件夾目錄，讀取;administrators;完全;具體要看軟件的性質 3.讓asp順利運行 C:/Program;Files/Common;Files;everyone默認權限 C:/WINNT/Temp;everyone;讀寫 C:/WINDOWS/system32;everyone默認權限 其他盤，也只留administrators、system;兩個用戶即可，如果安裝有軟件，具體設置見附錄硬盤權限設置 4.防止asp安全 首先，設置system32下程序：net.exe,cmd.exe,ftp.exe,tftp.exe,telnet.exe，只允許administrator訪問 然后，給每個虛擬站點單獨設一個用戶，分給每個用戶文件夾相應用戶名完全控制的權限（防止FSO），具體設置見附錄;或參看;http://www.im286.com/viewthread.php?tid=974099&extra=page%3D1;落伍論壇有相關貼 如果服務器不需要;Wscript.Shell,stream對象;支持的話可以將其卸載 regsvr32;WSHom.Ocx;/u regsvr32;/s;/u;'C:/Program;Files/Common;Files/System/ado/msado15.dll';注：此項不能輕易去掉，否則數據庫連接是可能出現;錯誤’ASP;0177;:;800401f3’;server.createobject 上文主要是簡單的走一下過程，如有什么不明白的地方可以參考附錄 附錄（參考文獻）： 注：全來自網上，版權歸原撰寫人 Win;2003;硬盤安全設置（針對ASP類網站） C:分區部分： c:/ administrators;全部 iis_wpg;只有該文件夾 列出文件夾/讀數據 讀屬性 讀擴展屬性 讀取權限 c:/inetpub/mailroot administrators;全部 system;全部 service;全部 c:/inetpub/ftproot everyone;只讀和運行 c:/windows administrators;全部 Creator;owner 不是繼承的 只有子文件夾及文件 完全 Power;Users 修改，讀取和運行，列出文件夾目錄，讀取，寫入 system;全部 Users;讀取和運行，列出文件夾目錄，讀取 c:/Program;Files Everyone;只有該文件夾 不是繼承的 列出文件夾/讀數據 administrators;全部 iis_wpg;只有該文件夾 列出文件/讀數據 讀屬性 讀擴展屬性 讀取權限 c:/Program;Files/Common;Files administrators;全部 Creator;owner 不是繼承的 只有子文件夾及文件 完全 Power;Users 修改，讀取和運行，列出文件夾目錄，讀取，寫入 system;全部 TERMINAL;SERVER;Users(如果有這個用戶) 修改，讀取和運行，列出文件夾目錄，讀取，寫入 Users;讀取和運行，列出文件夾目錄，讀取 如果安裝了我們的軟件： c:/Program;Files/LIWEIWENSOFT Everyone;讀取和運行，列出文件夾目錄，讀取 administrators;全部 IIS_WPG;讀取和運行，列出文件夾目錄，讀取 c:/Program;Files/Dimac(如果有這個目錄) Everyone;讀取和運行，列出文件夾目錄，讀取 administrators;全部 c:/Program;Files/ComPlus;Applications;(如果有) administrators;全部 c:/Program;Files/GflSDK;(如果有) administrators;全部 Creator;owner 不是繼承的 只有子文件夾及文件 完全 Power;Users 修改，讀取和運行，列出文件夾目錄，讀取，寫入 system;全部 TERMINAL;SERVER;Users 修改，讀取和運行，列出文件夾目錄，讀取，寫入 Users;讀取和運行，列出文件夾目錄，讀取 Everyone;讀取和運行，列出文件夾目錄，讀取 c:/Program;Files/InstallShield;Installation;Information;(如果有) c:/Program;Files/Internet;Explorer;(如果有) c:/Program;Files/NetMeeting;(如果有) administrators;全部 c:/Program;Files/WindowsUpdate Creator;owner 不是繼承的 只有子文件夾及文件 完全 administrators;全部 Power;Users 修改，讀取和運行，列出文件夾目錄，讀取，寫入 system;全部 D:分區部分： d:/;(如果用戶網站內容放置在這個分區中) administrators;全部權限 d:/FreeHost;(如果此目錄用來放置用戶網站內容) administrators;全部權限 SERVICE;全部權限 E:分區部分： 從安全角度，我們建議WebEasyMail(WinWebMail)安裝在獨立的盤中，例如E: E:/(如果webeasymail安裝在這個盤中) administrators;全部權限 system;全部權限 IUSR_*，默認的Internet來賓帳戶(如果這個網站用這個用戶來運行) 不是繼承的 只有子文件夾 讀取權限 E:/WebEasyMail;(如果webeasymail安裝在這個目錄中) administrators;全部 system;全部權限 SERVICE;全部 IUSR_*，默認的Internet來賓帳戶;全部權限(如果這個網站用這個用戶來運行) 關于IUSR_*，我們不建議用這個用戶來運行Webeasymail，應該用平臺開一個虛擬主機來運行Webeasymail。 ----------------不知道2000是不是一樣設置. Win;2003中提高FSO的安全性 ASP提供了強大的文件系統訪問能力，可以對服務器硬盤上的任何文件進行讀、寫、復制、刪除、改名等操作，這給學校網站的安全帶來巨大的威脅。現在很多校園主機都遭受過FSO安全的侵擾。但是禁用FSO組件后，引起的后果就是所有利用這個組件的ASP程序將無法運行，無法滿足客戶的需求。如何既允許FileSystemObject組件，又不影響服務器的安全性呢（即：不同虛擬主機用戶之間不能使用該組件讀寫別人的文件）？以下是筆者多年來摸索出來的經驗：; 第一步是有別于Windows;2000設置的關鍵：右擊C盤，點擊“共享與安全”，在出現在對話框中選擇“安全”選項卡，將Everyone、Users組刪除，刪除后如果你的網站連ASP程序都不能運行，請添加IIS_WPG組（圖1），并重啟計算機。 經過這樣設計后，FSO安全就已經不能運行了。如果你要進行更安全級別的設置，請分別對各個磁盤分區進行如上設置，并為各個站點設置不同匿名訪問用戶。下面以實例來介紹（假設你的主機上E盤Abc文件夾下設Abc.com站點）：; 1.;打開“計算機管理→本地用戶和組→用戶”，創建Abc用戶，并設置密碼，并將“用戶下次登錄時須更改密碼”前的對號去掉，選中“用戶不能更改密碼”和“密碼永不過期”，并把用戶設置為隸屬于Guests組。; 2.;右擊E:/Abc，選擇“屬性→安全”選項卡，此時可以看到該文件夾的默認安全設置是“Everyone”完全控制（視不同情況顯示的內容不完全一樣），刪除Everyone的完全控制（如果不能刪除，請點擊[高級]按鈕，將“允許父項的繼承權限傳播”前面的對號去掉，并刪除所有），添加Administrators及Abc用戶對本網站目錄的所有安全權限。; 3.;打開IIS管理器，右擊Abc.com主機名，在彈出的菜單中選擇“屬性→目錄安全性”選項卡，點擊身份驗證和訪問控制的[編輯]，彈出圖2所示對話框，匿名訪問用戶默認的就是“IUSR_機器名”，點擊[瀏覽]，在“選擇用戶”對話框中找到前面創建的Abc賬戶，確定后重復輸入密碼。; 經過這樣設置，訪問網站的用戶就以Abc賬戶匿名身份訪問E:/Abc文件夾的站點，因為Abc賬戶只對此文件夾有安全權限，所以他只能在本文件夾下使用FSO。 常見問題：; 如何解除FSO上傳程序小于200k限制？; 先在服務里關閉IIS;admin;service服務，找到Windows＼System32＼Inesrv目錄下的Metabase．xml并打開，找到ASPMaxRequestEntityAllowed，將其修改為需要的值。默認為204800，即200K，把它修改為51200000（50M），然后重啟IIS;admin;service服務。