来想攒一个服务器，安装好2003后，网站调试正常后，当设置安全的时候总是出问题，上网找了N个资料，不是太旧，就是不完全。于是我自己重新安装了新的2003及网站，然后GHOST，开始测试目录的最小权限。如果用2003作服务器，本人建议一定要用IIS，无论从性能、安全方面都要好于APACHE。
我首先将A，B，C，D......全部设置成只允许ADMINISTRATOR完全控制，再一点一点增加其它权限，每次设置后重新启动并查看日志及网站运行状态。好了废话少说，下面转入正题：

C：                       administrator,system       完全控制

D：E：。                   administrator             完全控制

windows                   administrator,system       完全控制
                          iis启动帐户                 读取,运行

system32                   administrator,system       完全控制
                          iis启动帐户                 读取,运行

system                     administrator,system       完全控制
                          iis启动帐户                 读取,运行
                          

c:\下除了windows目录外所有目录               administrator,system       完全控制

windows下除system32,system目录外所有目录   administrator,system       完全控制

web根目录（千万别放C：）                     administrator             完全控制
                                            来宾帐户                 读取,运行,写入(如果你的网站没有会员上传,只要读取，但如果你有UPLOAD目录一定不要继承，只要读取和写入即使上传了木马也无法运行)


假如c:\有PHP目录           administrator,system       完全控制
                          iis启动帐户                 读取,运行

c:\windows\temp           administrator,system       完全控制
                              user                   读取,写入

../windows/system32/的net.exe,cmd.exe,tftp.exe,netstat.exe,regedit.exe,at.exe,attrib.exe,cacls.exe这些文件删除继承的权限，改为只允许administrator访问。

一个原则：能写入的地方不能运行，能运行的地方不能上传。
最后假如你设置FTP等服务自定义启动帐户，web根目录所在的盘根要加这个帐户的读取权限。相应目录服务所在目录只给启动帐户和ADMINISTRATOR完全权限。启动服务的帐户不给组权限，这样虽然会报USERENV错误是因为没有配置策略不影响系统。