本文将通过实例来详细介绍上面的设置方法：
　　我们的服务器运行着三个网站
　　http∶//security1.stu.edu.cn
　　http∶//security2.stu.edu.cn
　　http∶//security3.stu.edu.cn
　　现在我们想为这三个网站分配不同的权限，实现各个网站之间的隔离。于是我们做了如下的规划：
　　(1)首先创建三个用户IISWK_001、IISWK_002和IISWK_003，分别作为网站security1.stu.edu.cn、security2.stu.edu.cn和secruity3.stu.edu.cn应用程序池的安全性用户；
　　(2)接着创建三个用户IUSR_001、IUSR_002和IUSR_003，分别作为这三个网站的匿名访问帐户；
　　(3)最后我们对这三个网站的目录权限进行调整，比如security1.stu.edu.cn网站根目录只对IISWK_001和IUSR_001用户开读取权限，而security2.stu.edu.cn网站根目录只对IISWK_002和IUSR_002用户开读取权限，从而实现了各网站之间权限的隔离。

表1 权限规划

　　为达到上述目标，我们进行如下设置：
　　1. 创建若干个系统用户，分别作IIS6的应用程序池安全性用户和网站匿名访问帐户。
　　(1) 创建IIS6的应用程序池安全性用户:
　　首先创建三个用户IISWK_001、IISWK_002和IISWK_003，分别作为网站security1.stu.edu.cn、security2.stu.edu.cn和secruity3.stu.edu.cn应用程序池的安全性用户。
　　右击“我的电脑”→“管理”→“系统工具”→“本地用户和组”→右击“用户”→“新用户”
　　分别添加IISWK_001、IISWK_002和IISWK_003这三个用户，请保存好相关用户的密码，下面将会用到。
　　同时设置“用户不能更改密码”，“密码永不过期”等相关属性，确保帐号的有效性。

　　组图1 创建应用程序池安全性用户并设置相关属性

　　请注意，IISWK_001、IISWK_002和IISWK_003帐号创建完毕后,还必须进行以下的设置：
　　赋予这三个用户写入和修改%SystemRoot%\Temp目录的权限（例如C∶\windows\Temp目录）；
　　将这三个用户从Users组中删除，同时加入IIS_WPG组。
　　以上二步是确保应用程序池以及asp.net 等程序的正常运行，避免访问页面时报错提示”Service Unavailable”。
　　(2) 创建三个网站的匿名访问帐户: IUSR_001、IUSR_002和IUSR_003，同时删除其隶属于Users组的权限。如组图2。

　　组图2 创建网站的匿名访问账户并设置相关属性

　　2.在IIS管理控制台中，创建若干应用程序池，并分别为每个程序池分配不同的安全性用户。
　　下面为security1.stu.edu.cn网站创建新的应用程序池IISWK_001，并对security1.stu.edu.cn进行相关的配置：
　　打开IIS管理控制台，右击“应用程序池”→“新建”→“应用程序池”，在出现的“添加新应用程序池”窗口中输入应用程序池ID ∶　IISWK_001,如组图3所示：

　　组图3 创建应用程序池IISWK_001

　　接着右击所创建的应用程序池IISWK_001，选择“属性”→“标识”，在应用程序池标识处，选择“配置”，并点击其右边的“浏览”按钮，查找到IISWK_001用户，确认并输入IISWK_001用户的密码和确认密码。如组图4所示：

　　组图4 设置应用程序池IISWK_001的安全行账户

　　3.将网站分配到相应的应用程序池。　
　　在IIS管理控件台中，右击打开security1.stu.edu.cn网站属性，切换到“主目录”标签，在应用程序池下拉菜单处，选择IISWK_001应用程序池，如组图5所示：

　　组图5 将网站seucrity1.stu.edu.cn分配到应用程序池IISWK_001

　　4.更改网站的匿名访问用户。 
　　在IIS管理控件台中，右击打开security1.stu.edu.cn网站属性，切换到“目录安全性”标签，点击“编辑”按钮，在身份认证方法窗口中，点击“浏览”按钮，选择步骤2所创建的用户IUSR_001用户，输入密码和确认密码，如组图6所示：

　　组图6 将网站seucrity1.stu.edu.cn网站的匿名访问用户更改为IUSR_001

　　5.设置网站目录及其文件的安全权限。
　　限于篇幅问题，本文将注重网站目录权限的设置，而其他目录的安全权限设置在此处只作简单介绍。
　　(1) 删除各逻辑分区目录下的Everyone 用户和Users用户组。
　　(2)  C∶\Documents and Settings\All Users
　　C∶\WINDOWS\system32\config
　　C∶\Program Files等目录
　　以及C∶\WINDOWS\system32 目录下常用的如cmd.exe、net.exe、reg.exe等管理工具，权限都有必要调整。删除Everyone和Users组的访问权限。
　　回到正题，对secrity1.stu.edu.cn网站的根目录，做如下的安全设置：
　　保留Administrators用户组和System用户组的完全控制权限，删除其他所有用户的权限。
　　然后再对IISWK_001和IUSR_001开放以下三个权限：读取和运行、列出文件夹目录、读取如组图7所示。
　　然后对security1.stu.edu.cn根目录下那些需要开放写入和修改权限的目录进行更改：开放IISWK_001和IUSR_001的写入权限和修改权限。
　　如本例中的数据库目录Database和上传目录Upload，应该开放IISWK_001和IUSR_001的写入和修改权限(如组图8所示)，这样security1.stu.edu.cn网站便可以正常运行asp、asp.net等动态程序了。

组图7

　　组图8

　　按照同样方法对security2.stu.edu.cn网站根目录开放IISWK_002和IUSR_002的读取访问权限，而其下需要修改权限的目录则开放IISWK_002和IUSR_002的写入和修改权限；对security3.stu.edu.cn网站根目录开放IISWK_003和IUSR_003的读取访问权限，其下需要修改权限的目录则开放IISWK_003和IUSR_003的写入和修改权限。至于Windows 2003文件安全权限的更高级用法，请参考有关的资料，本文不再多作介绍。
　　配置到此完成。