Hallo Jackson,

Du mußt auf 2 Ebenen Berechtigungen vergeben.
Auf der Ebene des IIS mußt Du entscheiden wer wie auf das "virtuelle" Verzeichnis zugreifen darf. Das hat mich am Anfang auch verwirrt, aber das "virtuelle" Verzeichnis ist das was der User draussen sieht (z.B. intranet.firma.tld/news). Dieses "virtuelle" Verzeichnis wird vom IIS auf ein reales Verzeichnis gemappt. Und für dieses reale Verzeichnis mußt Du wieder Berechtigungen vergeben.

Ich habe jeweils folgende Einstellungen:
Im IIS: Read, Log Access und wenn es sich um ein ASP Verzeichnis handelt auch Script.
In der Dateiverwaltung (sprich Explorer): Read. Hier mußt Du auch die Benutzergruppe definieren, die Zugriff bekommt. Bei anonymem Zugriff ist dies der Benutzer IUSR_servername, bei autorisiertem Zugriff muß hier der Domänenbenutzer (Windows) eingetragen werden.

Ruf im IIS mal das Help auf oder der IIS Resource Kit CD gibt's ein Handbuch das auch das Thema Security behandelt. Oder versuch folgenden MS technet Artikel http://support.microsoft.com/support/kb/articles/Q187/5/06.asp

Schöne Grüße vom Bodensee
Thomas