IIS提供了多種對用戶的驗證方式，除了不需要對用戶驗證的匿名方式外，還有四種其他方式可供使用，各種方式及其特點如下。

1．匿名驗證

匿名驗證方式是指訪問Web資源的用戶不需要輸入用戶名和密碼，這種方式適用于公共Web站點，任何人都能訪問站點資源。但是，此種方式不適于有保密要求的網站。

2．Windows NT請求／響應

Windows NT請求／響應方式使用NT的用戶賬戶，在網絡上不直接傳輸用戶名、密碼等原始登錄信息。如果希望保護用戶名和密碼，這種方式比較有效。另外，由于這種方式使用單獨的用戶賬戶，所以可以更靈活地設置用戶的訪問權限。請求／響應驗證的不足之處在于不能應用于代理服務器或防火墻程序。

3．基本驗證

基本驗證通過Base64編碼在網絡中傳輸用戶名和密碼。由于有現成的Base64編碼的解碼程序，所以在Internet上解釋這些數據非常容易。基本驗證簡單易行，在Internet上被廣泛使用，絕大多數瀏覽器都支持基本驗證。基本驗證方法的不足在于，用戶無法確認是否將密碼發往一個正確的服務器。也就是說，使用基本驗證時，沒有服務器身份的驗證。此外，網絡黑客可以編寫程序，通過基本驗證的登錄對話框獲取用戶登錄信息。因此，這種方式不宜用于安全性要求較高的服務器系統。

4．客戶證書映射

證書是一個特殊的文本文件，它通常包含有惟一標識證書所有者的名稱、惟一標識證書發布者的名稱、證書所有者的公共密鑰、證書發布者的數字簽名、證書的有效期和序列號等。證書發布者一般稱為證書管理機構(CA)，是通信各方都信賴的機構。證書能起到標識通信雙方的作用，是目前廣泛采用的技術之一。

客戶證書是訪問Web站點的用戶的證書，是用戶的數字標識。用戶需要向CA請求這個證書，可以配置US忽略、接受或需要客戶證書。

(1)忽略證書：如果用戶在請求中發送了證書，IIS將忽略它。US僅使用其他方法驗證用戶，如Windows NT請求／響應。

(2)接收證書：如果用戶發送了客戶證書，IS將使用證書驗證用戶。如果用戶未發送證書，IIS則使用其他驗證方法。

(3)需要證書：IIS將只滿足發送了證書的用戶請求。IIS客戶證書映射將客戶證書信息與Windows NT用戶賬戶進行映射，這種形式的驗證安全、靈活。絕大多數瀏覽器都支持客戶證書。