访问控制包括两个重要过程：


通过“鉴别（authentication）”来验证主体的合法身份；


通过“授权（authorization）”来限制用户可以对某一类型的资源进行何种类型的访问。

      例如，当用户试图访问您的 Web 服务器时，服务器执行几个访问控制进程来识别用户并确定允许的访问级别。

其访问控制过程：

（1）客户请求服务器上的资源。

（2）将依据 IIS 中 IP 地址限制检查客户机的 IP 地址。如果 IP 地址是禁止访问的，则请求就会失败并且给用户返回“403 禁止访问”消息。

（3）如果服务器要求身份验证，则服务器从客户端请求身份验证信息。浏览器既提示用户输入用户名和密码，也可以自动提供这些信息。（在用户访问服务器上任何信息之前，可以要求用户提供有效的 Microsoft Windows用户帐户、用户名和密码。该标识过程就称为“身份验证”。可以在网站或 FTP 站点、目录或文件级别设置身份验证。可以使用 Internet 信息服务（IIS 提供的）身份验证方法来控制对网站和 FTP 站点的访问。）

（4) IIS 检查用户是否拥有有效的 Windows 用户帐户。如果用户没有提供，则请求就会失败并且给用户返回“401 拒绝访问”消息。

5)IIS 检查用户是否具有请求资源的 Web 权限。如果用户没有提供，则请求就会失败并且给用户返回“403 禁止访问”消息。

（6)添加任何安全模块，如 Microsoft ASP.NET 模拟。

（7)IIS 检查有关静态文件、Active Server Pages (ASP) 和通用网关接口 (CGI) 文件上资源的 NTFS 权限。如果用户不具备资源的 NTFS 权限，则请求就会失败并且给用户返回“401 拒绝访问”消息。

（8)如果用户具有 NTFS 权限，则可完成该请求。