本文介紹了正常運行IIS所需要的最小NTFS權限，當IIS不能正常運行或者想嚴格限制權限的時候可以
參照此文，以下是操作的7個步驟。
1、選取整個硬盤：
System：完全控制
Administrator：完全控制
（允許將來自父系的可繼承性權限傳播給對象）
2、Program FilesCommon Files：
Everyone：讀取及運行
列出文件目錄
讀取
（允許將來自父系的可繼承性權限傳播給對象）

3、Inetpubwwwroot：(可根據需要設計)
IUSR_MACHINE：讀取及運行
列出文件目錄
讀取
（允許將來自父系的可繼承性權限傳播給對象）

4、Winntsystem32：
選中 Inetsrv、Certsrv （如果存在）和 Com 之外的其他所有文件夾，去除“允許將來自父系的可繼承性權限傳播給對象”選框，復制。

5、Winnt：
選中以下文件夾之外的其他所有文件夾：Assembly（如果有）、Downloaded Program Files、Help、IIS Temporary Compressed Files、Microsoft.NET（如果有）、Offline Web Pages、System32、Tasks、Temp 和 Web。 ，去除“允許將來自父系的可繼承性權限傳播給對象”選框，復制。

6、Winnt：
Everyone：讀取及運行
列出文件目錄
讀取
（允許將來自父系的可繼承性權限傳播給對象）

7、WinntTemp：（允許訪問數據庫并顯示在ASP頁面上）
Everyone：修改
（允許將來自父系的可繼承性權限傳播給對象）

9.program filesservu 只給system admin 所有權限

10.webeasymail everyone 所有權限,否則不好

11、Winntsystem32intesvr 這個目錄下不要給EVERYONE的寫入權限

12. cmd.exe net.exe

13. php.ini 中 display_errors 設為OFF

這樣，你就擁有了一個權限嚴格而又可以正常運行的IIS系統了。

補充：禁止web anonymous組對cmd.exe等的訪問

更多信息

雖然每個系統管理員可以根據各自的需求設置權限，但最好使用 Everyone 組，而不要只使用 IUSR_MACHINE 帳戶。實際上，如果只為 IUSR_MACHINE 帳戶添加權限，ASP 和 ASP.NET 將無法運行。如果使用 Everyone 組，當 Web 站點對匿名用戶和經過身份驗證的用戶都有高、中或低的保護級別設置時，ASP 能夠正常運行。

另外，如果只需要匿名訪問，管理員可以創建 InternetGuests 本地組，然后將 IUSR_MACHINE、IWAM_MACHINE 和 ASPNET 添加到該組，將 Everyone 組替換為 InternetGuests 組。不過，Everyone 組包括 Users 組（對于經過身份驗證的 Web 用戶）、IUSR_MACHINE 帳戶（對于匿名 HTM 訪問）、IWAM_MACHINE 帳戶（對于匿名 ASP 功能）以及 ASPNET（對于 ASP.NET 功能）。

IIS 5.0 使用兩個單獨的帳戶執行 Web 頁。使用匿名身份驗證時，IIS 使用 IUSR_MACHINE 帳戶查看 Web 頁。不過，IWAM_MACHINE 用于啟動一個單獨的進程，該進程稱為 Dllhost.exe，所有 Active Server Pages (ASP)、組件對象模型 (COM) 組件或其他 ISAPI 擴展（ASP 被視為 ISAPI 擴展）都在該進程內運行。這樣做的目的主要是保持穩定。如果從 ASP 頁調用的自定義 COM 組件崩潰（也即，導致訪問沖突，從而致使進程停止），它不會影響到 Inetinfo.exe，因此 Web 服務將繼續運行。

IIS 5.0 中的三個保護級別如下：
低（IIS 進程）：該設置與 IIS 4.0 下的默認設置類似。所有 Web 頁，不論是 HTM 還是 ASP，都在 Inetinfo.exe 進程內運行。
中等（池）：這是默認設置。與 IIS 4.0 相同，該設置啟動稱為 Dllhost.exe 的單獨進程，所有 ASP 和 COM 組件都在該進程內運行。該進程由 IWAM_MACHINE 帳戶啟動，這也與 IIS 4.0 相同。另外，該設置也稱為池，因為在 IIS 中運行的所有 Web 站點都在執行 ASP 頁時共享這一個 Dllhost.exe 進程。請注意，Windows 2000 用 Dllhost.exe 替換 Mtx.exe。
高（獨立）：該設置為每個 Web 站點或應用程序啟動專用 Dllhost.exe 進程。如果有 5 個 Web 站點，每個站點的保護級別都設為"高"，總共將有六個 Dllhost.exe 進程：五個 Dllhost.exe 進程和一個附加 Dllhost.exe 進程，該附加進程由 COM+ 在系統應用程序下啟動。