隨著商業(yè)交易擴(kuò)大了客戶數(shù)量和供應(yīng)商范圍，更新用戶訪問控制來確保企業(yè)文件夾、文件和web文檔中機(jī)密數(shù)據(jù)依然遵照‘鎖和鑰匙’是很明智的做法。好在可以很容易的在Internet信息服務(wù)器（IIS）里創(chuàng)建規(guī)則，來指明或限制哪些信息可以訪問。讓我們來看看如何配置IIS Web服務(wù)器權(quán)限，以提供適當(dāng)和安全的訪問控制，使它不僅滿足終端用戶，而且還確保更好的數(shù)據(jù)安全性。

IIS Web服務(wù)器權(quán)限控制對Web上虛擬目錄的訪問，適用于所有用戶。要實現(xiàn)具體數(shù)據(jù)的訪問控制，得從配置IIS目錄安全功能開始。開始配置，打開Internet信息服務(wù)管理控制臺，然后輸入網(wǎng)站的屬性對話框或你想控制的子文件夾。進(jìn)入以后，找到目錄選項卡。在目錄選項卡這里，您可以設(shè)定用戶是否可以瀏覽目錄，是否可以查看/修改文件和訪問文件的源代碼。在這個對話框中，你應(yīng)該也找到一個目錄安全性選項卡。在這個標(biāo)簽這里，你可以配置你的Web服務(wù)器如何驗證用戶身份。重要的是需要注意，因為你處理的是IIS Web服務(wù)器的權(quán)限，新設(shè)置將適用于所有用戶，而不管他們擁有什么特定的NT文件系統(tǒng)（NTFS）訪問權(quán)限。

所以我們下一步就是為Web文件配置NTFS權(quán)限。NTFS權(quán)限控制對服務(wù)器上的物理目錄訪問，只適用于特定的用戶組。通過為單個文件或目錄創(chuàng)建一個自由訪問控制列表（DACL），您可以定義哪些用戶可以訪問哪些內(nèi)容，對這些內(nèi)容進(jìn)行哪些操作。要創(chuàng)建一個DACL，選擇一個特定的Windows用戶帳戶或組，并指定其訪問權(quán)限。要更改目錄或者文件的NTFS權(quán)限，打開我的電腦，選擇你需要保護(hù)的目錄或文件，并打開其屬性表。

然后在安全屬性頁，選擇你想改變的賬戶、用戶或組的訪問類型。要授予訪問權(quán)限，選擇“允許”，要拒絕訪問選擇“拒絕”。這將幫助您更好的控制對您的web內(nèi)容的訪問，因為對于同時設(shè)置了NTFS權(quán)限的內(nèi)容，在驗證用戶的NTFS權(quán)限前，IIS會首先檢查用戶是否有必要的web權(quán)限來訪問他們請求的資源。如果用戶沒有web權(quán)限，他們將收到一個“403禁止訪問”的消息。如果用戶沒有正確的NTFS權(quán)限，他們將收到一個“401拒絕訪問”消息。

如果您的客戶和供應(yīng)商將訪問的內(nèi)容特別的敏感，考慮安裝一個Web服務(wù)器證書以保證您的Web服務(wù)器的安全套接字層（SSL）功能。這迫使用戶建立一個加密的連接，以便連接到特定的目錄或文件。還有一個最后的辦法，也可以將客戶證書映射到Web服務(wù)器上的Windows用戶帳戶。這種做法，在提供強(qiáng)大的驗證和訪問控制的同時，管理也更復(fù)雜，但是如果您的網(wǎng)站需要在對受限制內(nèi)容授權(quán)訪問前進(jìn)行用戶身份認(rèn)證的話，這也是值得的。