Hi!

diesen ganzen ".htaccess"-Kram kenne ich bisher nur vom Apache Webserver, das funktioniert da wie folgt:

Benutzername und Passwort werden in zwei getrennten Dateien gespeichert. Wenn der Surfer jetzt auf ein Verzeichnis mit diesen beiden dateien zugreifen möchte, erkennt dies der Server und fordert Benutzername und Passwort an.

Nicht ganz...
In der .htaccess wird *eine* Datei angegeben, in der Login und Passwort mit ":" getrennt gespeichert werden, wobei das Passwort mit crypt verschlüsselt wird(zumindest unter Unix, bei der letzten NT-Version die ich hatte, waren die Passwörter noch im Klartext).

Genau, man kann wählen, ob man crypten will oder eben nich. CU AZ

Diese muß sich auch nicht im zu schützenden Verzeichnis stehen, sondern sollte irgendwo außerhalb des Web-Verzeichnis stehen.

Um Das Passwort zu generieren stellt der Apache Webserver ein eigenes Tool zur Verfügung!

Jepp, den Namen hab' ich leider auch nicht im Kopf.
Es geht aber auch z.B. mit Perl (print USERFILE $login.":".crypt($pass,"XY")."\n"; - "XY" sind zwei beliebige Zeichen).

Welche Lösungen es jetzt für IIS gibt

AFAIK hat der IIS dazu irgendwo eine entsprechende Option versteckt (so ganz versteckt war sie iirc nicht mal, aber ich hab' keinen hier um Nachzuschauen).
Mit Dateien geht afaik jedenfalls nichts, wenn Du nicht an das IIS-Setup rankommst, mußt du dazu wohl oder übel den entsprechenden Admin nerven...

CU,
Mirko