我正在寻找一种密码保护IIS中的目录的方法。 我知道标准的答案是为这个目录创build一个Windows用户帐户，然后给这个用户在目录上的读权限…但我担心的是通过创build一个Windows用户，不会给他们权限做类似login到计算机（远程桌面），FTP到服务器，以及其他各种东西？ IE是有办法创build这样一个有限的用户，他们唯一可以做的只是在该密码保护的目录中查看网页？

安全地存储凭据，当我需要检索密码使用

SALT在密码后面或之前是在哪里？

Windows Server 2008 R2的默认密码

如何从python更改Linux用户密码

如何在Windows中validation用户名和密码？

这是一个理由的标准答案…这是做到这一点的最好方法。 用户帐户默认情况下是受限制的，除非您明确地将其设置为“远程”，否则不必担心。 此外，任何FTP服务应该孤立运行，因此不会登录帐户。 如果你想要做的只是保护目录，那么只要确保它是只读的，并且匿名访问被禁用。

此外，创建用户帐户还有其他好处，例如让您监视事件日志中的帐户事件，并让您选择一个强大，安全的密码。

另一种方法是通过一个简单的登录cgi脚本来保证页面的安全（如perl，PHP，asp等），如果你只有一个账户添加，那么这将是微不足道的。

您可以通过设置用户名和密码来启用此目录的基本身份验证 。

不，您可以限制用户能够做其他选择。 在“用户管理”面板中创建用户时，可以设置多个选项。 一个是不允许远程登录。 我有点朦胧的如何在Windows上的FTP服务工作，但我相信它也可以被限制。 关键是要确保它不会被添加到任何您不希望该用户拥有访问权限的组中。

首先，您可以完全控制创建的用户。 您可以轻松拒绝远程登录（它实际上被默认拒绝，但不要相信我并检查文档）。

其次，“密码保护”的东西是不正确的做法，导致系统建立了访问控制的方式 – 使用它，它被测试，它是可靠的。

而对于核心问题：我认为你可以尝试限制用户权限的级别，当他们只能在本地登录，只能看到一个目录。 但是没有办法阻止他们读取Windows文件夹的权限（例如），因为这个文件夹是启动操作系统和登录所必需的。

如果您不想使用Windows帐户，则可以开发或购买ISAPI筛选器，以便在IIS上加载密码保护特定的目录。