Windows NT 上的安全性

 ^{第 3 页，共 9 页}     IIS 如何验证 HTTP 请求

当 IIS 从 Web 浏览器或 FrontPage 客户端收到 HTTP 请求后，进行下列操作：

1. 首先将请求当作匿名帐号，IUSR_machinename处理。如果匿名帐号并没有足够的权限完成请求，或是 IIS 没有启用匿名浏览操作，那么 IIS 就返回 401 错误消息（“拒绝访问”）。
2. 然后 IIS 就会使用基本验证或 Windows NT 挑战与反应进行用户验证，以便让远程用户表明自己的身份。如果 Web 浏览器或 FrontPage 客户端使用 Windows NT 挑战与反应，用户还会看到提示，因为 FrontPage 客户端或 Web 浏览器只是将客户端计算机所提供的登录用户的用户名和密码传送出去。
3. IIS 只有在站点服务器模拟的帐号文件被 NTFS ACL 授以适当的权限时，才允许访问此文件。