授权是IIS7.5系统管理员决定哪些资源和内容可以被特定用户使用的一种方法。授权依赖于身份验证以确认用户的身份。一旦身份被验证，授权规则决定用户或计算机可以执行哪些操作。IIS使用基于URL的授权以提供保证各种内容安全性的方法。因为Web内容通常是通过URL来请求的，所以可以很容易地使用IIS管理器配置授权。

为了使用URL授权，我们必须创建URL授权规则，所以首先要启用UrlAuthorizationModule。可以在Web服务器定义级别为特定网站、web应用程序和文件的配置授权规则。URL授权规则使用继承的方式，因此低级别的对象可以从它们的父对象继承授权设置。为了配置授权，在IIS管理器的左侧窗格中选择合适的对象，然后在功能视图中双击“授权规则”，再为一个网站配置多条规则。

可以在“操作”窗格中选择“添加允许规则”和“添加拒绝规则”命令来创建新的觌则。这两种规则具有相同的可用选项。当创建新的规则时，主要的设置是用来确定该规则适用于哪些用户，包括：所有用户、所有匿名用户、指定的角色或用户组、指定的用户。

当指定规则所适用的用户或用户组时，可以在文本框内输入合适的名称，使用.NET角色提供程序可以定义特定的用户和用户组。ASP.NET Web开发人员可以使用这个标准的功能。开发人员可以创建他们自己的角色和用户账户，并且可以在他们的IIS应用程序中定义权限。通常，用户和角色的相关信息保存在关系数据库中，或者依赖于目录服务。除了用户和角色的选项外，可以根据特定的HTTP谓词来进一步配置授权规则。

授权规则会自动地被低级别的对象继承。当网站和Web内容依据预期的用户或用户组分层次地进行组织时，这将会起到帮助作用。“条目类型”栏显示规则是从较高的级别继承还是在本地被定义。IIS管理器将自动阻止创建相同的规则。可以在任何级别删除规则，包括继承的和本地的条目类型。