本文介绍了正常运行iis所需要的最小ntfs权限，当iis不能正常运行或者想严格限制权限的时候可以
参照此文，以下是操作的7个步骤。
1、选取整个硬盘：
system：完全控制

3、\inetpub\wwwroot：(可根据需要设计)
iusr_machine：读取及运行
列出文件目录
读取
（允许将来自父系的可继承性权限传播给对象）

4、\winnt\system32：
选中 inetsrv、certsrv （如果存在）和 com 之外的其他所有文件夹，去除“允许将来自父系的可继承性权限传播给对象”选框，复制。

5、\winnt：
选中以下文件夹之外的其他所有文件夹：assembly（如果有）、downloaded program files、help、iis temporary compressed files、microsoft.net（如果有）、offline web pages、system32、tasks、temp 和 web。 ，去除“允许将来自父系的可继承性权限传播给对象”选框，复制。

6、\winnt：
everyone：读取及运行
列出文件目录

7、\winnt\temp：（允许访问数据库并显示在asp页面上）
everyone：修改
（允许将来自父系的可继承性权限传播给对象）

9.\program files\servu\ 只给system admin 所有权限

10.webeasymail everyone 所有权限,否则不好

11、\winnt\system32\intesvr\ 这个目录下不要给everyone的写入权限

12. cmd.exe net.exe

13. php.ini 中 display_errors 设为off

这样，你就拥有了一个权限严格而又可以正常运行的iis系统了。

补充：禁止web anonymous组对cmd.exe等的访问

更多信息

虽然每个系统管理员可以根据各自的需求设置权限，但最好使用 everyone 组，而不要只使用 iusr_machine 帐户。实际上，如果只为 iusr_machine 帐户添加权限，asp 和 asp.net 将无法运行。如果使用 everyone 组，当 web 站点对匿名用户和经过身份验证的用户都有高、中或低的保护级别设置时，asp 能够正常运行。

另外，如果只需要匿名访问，管理员可以创建 internetguests 本地组，然后将 iusr_machine、iwam_machine 和 aspnet 添加到该组，将 everyone 组替换为 internetguests 组。不过，everyone 组包括 users 组（对于经过身份验证的 web 用户）、iusr_machine 帐户（对于匿名 htm 访问）、iwam_machine 帐户（对于匿名 asp 功能）以及 aspnet（对于 asp.net 功能）。

iis 5.0 使用两个单独的帐户执行 web 页。使用匿名身份验证时，iis 使用 iusr_machine 帐户查看 web 页。不过，iwam_machine 用于启动一个单独的进程，该进程称为 dllhost.exe，所有 active server pages (asp)、组件对象模型 (com) 组件或其他 isapi 扩展（asp 被视为 isapi 扩展）都在该进程内运行。这样做的目的主要是保持稳定。如果从 asp 页调用的自定义 com 组件崩溃（也即，导致访问冲突，从而致使进程停止），它不会影响到 inetinfo.exe，因此 web 服务将继续运行。

iis 5.0 中的三个保护级别如下：
低（iis 进程）：该设置与 iis 4.0 下的默认设置类似。所有 web 页，不论是 htm 还是 asp，都在 inetinfo.exe 进程内运行。
中等（池）：这是默认设置。与 iis 4.0 相同，该设置启动称为 dllhost.exe 的单独进程，所有 asp 和 com 组件都在该进程内运行。该进程由 iwam_machine 帐户启动，这也与 iis 4.0 相同。另外，该设置也称为池，因为在 iis 中运行的所有 web 站点都在执行 asp 页时共享这一个 dllhost.exe 进程。请注意，windows 2000 用 dllhost.exe 替换 mtx.exe。
高（独立）：该设置为每个 web 站点或应用程序启动专用 dllhost.exe 进程。如果有 5 个 web 站点，每个站点的保护级别都设为"高"，总共将有六个 dllhost.exe 进程：五个 dllhost.exe 进程和一个附加 dllhost.exe 进程，该附加进程由 com+ 在系统应用程序下启动。