A maioria dos métodos internos de autenticação do IIS usa as contas do Windows de alguma forma ou de outra, portanto, se você não quiser fazer nenhum trabalho importante para isso, você terá que usá-las - você vai querer crie contas que sejam razoavelmente bloqueadas.
Geralmente é suficiente para:
- crie um grupo (por exemplo, usuários da web)
- adicione as contas individuais a esse grupo
- remover as contas dos usuários (que efetivamente eliminam muitas das permissões padrão)
- conceda ao grupo Usuários da Web permissões de leitura para a pasta do site (e seletivamente quaisquer permissões de modificação necessárias - por exemplo, diretórios de upload)
- adicione o grupo às entradas "Negar ..." relevantes na Diretiva de segurança local / Atribuição de direitos do usuário
Opcionalmente, talvez você queira adicionar recursivas negar ACEs de controle total para esse grupo aos discos, seções do Registro e quaisquer outros recursos controlados por DACL - o SetACL deve conseguir fazer a maioria deles (consulte link ).
Se você realmente deve usar uma lista personalizada de usuários, então (como @BrentPabst disse) Autenticação de formulários é a única maneira real (consulte link ), mas você precisará criar a página de login do ASP.NET.
Eu não tentei a autenticação do Gerenciador do IIS, mas, pelo que eu vejo, ela se aplica somente a sites FTP, não a sites da Web.
J.