Tingkat keamanan pada Windows 2008 R2 berbeda dengan versi Windows sebelumnya. Oleh karena itu untuk membuat sebuah website pada Windows 2008 R2 dengan IIS perlu menseting keamanan folder maupun IIS-nya itu sendiri.
Hal utama yang perlu diperhatikan adalah hak akses baca ke sistem file (file & filder) oleh user identity yang menjalankan application pool. Jika application pool menggunakan domain account, maka domain account tersebut harus diberi hak untuk baca folder wwwroot (atau folder lain yang digunakan). Berikutnya, pastikan user anonymous di-impersonate ke user application pool supaya engine ASP.NET bisa membaca file yang dibutuhkan. Untuk memberikan hak tersebut, buka IIS Manager dan buka bagian Authentication di website atau application. Selanjutnya set credentialnya ke application pool seperti terlihat pada gambar berikut.


Jika aplikasi memungkinkan untuk impersonate user, maka user tersebut harus memiliki akses read ke wwwroot juga. Hal termudah adalah memberikan hak baca ke "Domain Users" ke folder wwwroot.