windows下是否能开相对安全的全能空间

核心提示：请大家仔细看,仔细研究完美的方案我这里说的windows 开的全能空间是指至少同时支持asp,php,.net的安全的虚拟主机空间!大家都知道开设安全的ASP,PHP只需要同时给每个站点设置独立的GUEST组的匿名用户访问权限,然后在给其目录设置相应的权限,即可达到一定程度的安全,也能限制fso的使用权限,这个方案应该

请大家仔细看,仔细研究完美的方案
我这里说的windows 开的全能空间是指至少同时支持asp,php,.net的安全的虚拟主机空间!
大家都知道开设安全的ASP,PHP只需要同时给每个站点设置独立的GUEST组的匿名用户访问权限,然后在给其目录设置相应的权限,即可达到一定程度的安全,也能限制fso的使用权限,这个方案应该是大多数服务器管理员常用的方法!也应该是目前所有虚拟主机常用的方法！但是按照此方法开通支持asp.net的空间，则会出现NET程序无法运行的情况，因为NET使用的访问策略与其他脚本是不一样的，NET的访问需要有aspnet_wp.exe访问某ASP.net文件的权限！  一个目录如果具有 administrators组（完全），system组(完全) ，GUSET组某匿名用户(完全)，这样的访问权限，aspnet_wp.exe当然是访问不到了.因为运行aspnet_wp.exe 的是USER组的成员，前面讲到的那个目录没有user组的访问权限,肯定是不行的！这样很多朋友为了能使空间支持ASP.NET 就把空间的的访问权限又加上了一个USER组(读，运行),这样的权限！　　这样能运行net程序是没问题的，（因为运行aspnet_wp.exe的用户就属于USER组）安全不安全咱们暂且不讨论，大家想一下现在aspnet_wp.exe目前只对这个目录具有（读,运行）的权限，并不包含写入和修改的权限，所以如果是asp.net的数据库网站是无法正常运行的,因为无法对数据库进行添加删除和修改！话又说回来，其实这样也是不安全的，大家可以尝试从另外一个站点拿一个ＡＳＰ木马，直接访问刚才设置的目录，看是不是能读取里面的文件！至于有的朋友给这个目录加USER组(完全)的权限，更是行不通的这样别人可以很轻易的拿个asp的ＦＳO木马或者一个ASP.NET的IO木马跨目录对文件进行操作了！如果大家对自己的客户负责，对服务器的安全负责，我想这个办法是不好用的，也建议不要用的！那么如何使空间运行ASP.NET呢！有的人说禁止net的io访问，其实我觉得这样就不能发挥ＮＥＴ作用了，很多人也不喜欢用这样的net虚拟主机了，如果干脆把服务器的net禁止了我想大多数人也是不愿意的！直接说一下我是怎么设置安全的NET的！
一:给每个需要支持net的站点开设独立的池，每个池上设置单独标识的属于IIS_WPG组的单独用户！
二:按照开asp空间的办法开设站点！1.新建属于GUEST组的用户,设置站点目录的权限，设置IIS匿名用户访问的权限！
三：设置网站的运行池为新建的池，设置网站目录的权限包含新建的IIS_WPG组的这个用户!

只有以上三步才可以在IIS6.0上开设最安全的net空间，　因为iis的池最一开始就是为net设计的！　使用上面的办法就能把net运行的权限独立开来，即使直接访问其他目录也会出现拒绝访问！因为运行net 需要的用户（iis_wpg）也就是iis进程组的用户已经独立开了!设置单独的池是已服务器的资源为代价的，但是这样能最大限度的安全运行asp.net程序！　我想也是值得的！但是这样的站点运行asp没任何问题，运行php的话就会出现　403　拒绝访问！　本人在以上面的办法为前提下设置了N种办法也是无法解决！
也许这个应该是windows的一个bug ,至今也没找到完美的办法！　　
所以我认为，目前网络上所说安全的“全能”空间，是不存在的！我对几大虚拟主机软件做了测试，发现他们的方案也不是完美的，要么不能运行php，要么不能运行asp.net !要么开出来的就不是全能主机！　
我写这篇文章的目的，是希望落伍的朋友一起来讨论，大家一起来讨论一个完美的方案！　　我写的不对的地方也希望朋友指点，大家一起进步！　　
另外我的主机管理软件也因为这个原因没有发布，因为我是一个喜欢追求完美的人！如果那位有好的解决办法，还请告知，我会修改我的算法

谢谢！　
至少6位！