Что мне нужно сделать в Windows Server 2008, чтобы ограничить доступ к веб-сайту (или каталогу на веб-сайте) только определенным пользователям?
IIS может ограничивать веб-сайты IP-адресом или диапазоном адресов, это полезно для того, чтобы сделать веб-сайт видимым для всего офиса (например, веб-сайт разработки, ограниченный вашим собственным, и диапазон IP-адресов офиса ваших клиентов)
http://technet.microsoft.com/en-us/library/cc730889%28WS.10%29.aspx
На самом деле это не аутентификация как таковая, но часто ее проще и быстрее настроить, но она менее безопасна (IP-адреса могут быть подделаны).
Разрешения NTFS будут иметь приоритет над разрешениями сайта / виртуального каталога, если они более строгие: http://technet.microsoft.com/en-us/library/cc739391(WS.10).aspx
Я включил базовую аутентификацию и отключил анонимную аутентификацию. Я создал пользователя с разрешениями на чтение и запись в папке. Учетные данные созданного пользователя - это то, что я использую для просмотра веб-сайта.