win2008／2012中iis7.5／iis8 网站权限设置错误导致不能访问（401未授权）

　　在使用Windows Server 2008或2012系统部署IIS 7.5或8的过程中，经常会遇到因网站权限设置不当而导致网站无法正常访问的情况。本文将详细探讨这一问题，并提供相应的解决方法。

　　首先，我们需要明确一点：无论是在何种操作系统上运行的应用服务，安全总是放在第一位的考量因素。对于基于Windows系统的服务器来说，更是如此。因此，在安装并配置好Web服务器（如IIS）之后，我们往往需要对相关文件夹及应用程序池等进行细致入微的安全设置以确保数据安全性与访问效率之间的平衡。

常见原因分析

文件夹权限不足

　　当您尝试从Web浏览器访问某个站点时如果遇到403 Forbidden 错误，则很可能是由于存放该站点内容所在物理路径上的NTFS文件系统权限存在问题所引起。具体表现形式为“IIS AppPool\用户名”账户没有足够权限读取相应目录及其子文件夹、文件资源。

　　要检查这个问题，请打开计算机管理器，导航至共享文件夹 > 安全性选项卡查看默认情况下各个用户组对于目标文件夹的操作权限；接着根据实际情况调整“IIS AppPool\用户名”的访问级别即可解决问题。（注：一般推荐赋予其修改权限）

应用程序池身份验证方式不正确

　　除了基本的文件系统层面之外，还需要关注下 IIS 中对应于该网站的应用程序池设置是否恰当——即它当前采用哪种类型的身份验证机制来执行请求处理任务。常见有两种模式可供选择：

• ApplicationPoolIdentity (仅适用于 Win2008 R2 及以上版本)；
• LocalSystem / Network Service / Specific User....

　　若选择了后者，则意味着任何通过 HTTP 请求到达此应用池实例下的内容都将由指定账户代替当前连接用户来进行后续操作。这样一来就可能出现如下状况: 账户本身并无权限去读取实际存储网页文档的位置！针对这类情况建议切换到 ApplicationPoolIdentity 方式或者手动添加必要的 NTFS 权限给那个被指派的账号。

解决步骤详解

　　下面我们将详细介绍如何排查及修正上述两类典型故障点：

步骤一 - 检查文件夹权限

　　进入控制面板 -> 管理工具 -> 计算机管理，在左侧树形菜单找到本地用户和组 -> 用户节点展开列表后找到“IIS AppPool\用户名”。右键单击它选择属性，在弹出窗口切换至成员资格标签页确认这个新创建出来的用户已经被添加进了正确的角色组内(例如:IIS_IUSRS)。

　　然后转至共享文件夹节点下的共享文件夹 -> 安全性选项卡查看是否有“IIS AppPool\用户名”，如果没有则点击编辑按钮为其分配适当的访问权限，通常情况下只需要授予修改权限即可满足需求。

步骤二 - 校验应用程序池配置信息

　　接下来需要做的是核查一下该网站所属的应用程序池正在使用的身份认证方式是否合理有效。依次打开IIS管理控制台 -> 站点 -> [目标网站名称] -> 处理程序映射 -> 默认文档 -> 应用程序设置 -> 应用程序池 -> 进阶设置 -> 在进程模型部分可以见到标识字段。

　　如果发现当前选中的值不是ApplicationPoolIdentity的话就需要考虑更改过来。当然，如果你更倾向于使用其他类型的用户凭证那么也别忘了同步更新文件系统层面上的授权策略哦！

　　综上所述，只要按照上述流程逐一排查并调整就能很好地规避因权限设置失误造成的访问障碍啦～希望这篇教程能够帮助大家顺利完成日常运维工作！