解决 Visual Studio Web Deploy 远程发布报 401 未授权 (ERROR\_USER\_UNAUTHORIZED)

在使用 Visual Studio 通过 Web 部署（Web Deploy）向远程 IIS 服务器发布网站时，一个常见又让人头疼的问题就是：

已使用 Web 管理服务连接到远程计算机，但未能授权。远程服务器返回错误: (401) 未经授权。

我已经确认连接端口 8172 畅通，管理服务也已启动，用户名密码也反复核对过，为什么还是 401？今天这篇博客就一步步记录下排查和解决的过程。

WMSvc 的默认安全策略要求：只有本地 Administrators 组的成员才有权通过管理服务进行远程连接 。

也就是说，哪怕你的账户是域用户，只要它没有被显式加到该服务器的本地 Administrators 组中，就会直接返回 401。

在我的案例中，使用的域账户 DOMAIN\username 恰恰不在目标服务器的本地 Administrators 组里，所以导致了一直认证失败。

适用场景：开发/测试环境，可以接受发布账户拥有服务器管理员权限。

步骤：

登录目标服务器，打开 计算机管理 （compmgmt.msc）。
展开 本地用户和组 → 组 ，双击 Administrators。
点击添加，输入要用于发布的账户名。
- 如果是域账户，格式为 DOMAIN\username。
- 如果是本机账户，格式为 .\username 或 计算机名\username。
- 点击 检查名称 确认用户被识别。
确定关闭窗口，确保该账户出现在成员列表中。
必须重启 Web Management Service ：
- 在服务（services.msc）中找到 Web Management Service，右键重启；
- 或者在 IIS 管理器根节点，双击 管理服务，先停止再启动。

重启后，权限变更才会生效。

优缺点：

适用场景：生产环境，希望给发布账户限制权限，不让它成为管理员。

步骤：

在目标服务器上打开 IIS 管理器。
在左侧连接树中选中服务器根节点 ，双击 IIS 管理器用户。
点击右侧 添加用户 ，设定一个专用部署用户名和密码，例如 DeployUser。这个账户独立于 Windows 账户。
在左侧连接树中选中你要发布的具体网站 ，双击 IIS 管理器权限。
点击右侧 允许用户 ，选择 IIS 管理器用户 ，选中刚创建的 DeployUser，确定。
（可选但建议）再次回到服务器根节点的 管理服务 ，停止服务，确认身份验证中已勾选 IIS 管理器凭据（也可以同时勾选 Windows 凭据以兼容其他方式），然后重新启动服务。
发布时，在 Visual Studio 连接设置中：
- 服务器地址：https://服务器IP:8172/msdeploy.axd
- 用户名：直接填 DeployUser（无需加任何前缀）
- 密码：步骤2中设置的密码

优缺点：

很多时候只完成上面步骤还不够，下面这些也最好检查一遍：

即使你已经把发布账户设为管理员，或者创建了 IIS 管理器用户，也一定要在目标网站的功能视图中，双击"IIS 管理器权限"并添加相应账户。否则还会 401。

根节点 → 管理服务 → 停止 → 查看"身份验证"：
- 如果使用方案一，至少要勾选 Windows 凭据。
- 如果使用方案二，至少要勾选 IIS 管理器凭据。
修改后记得重新启动服务。

虽然 401 是身份验证问题，但如果后续遇到授权或文件操作错误，记得检查网站根文件夹的安全权限，确保 IIS AppPool\应用程序池名 或 IIS_IUSRS 有修改权限。

在任意一台能访问服务器的电脑上，用浏览器打开：

复制代码

https://服务器IP:8172/msdeploy.axd

如果弹框要求凭据，输入你配置的用户名密码：

如果以上全部正确但问题依旧，登录服务器，打开 事件查看器，导航到：

复制代码

应用程序和服务日志 → Microsoft → Web Management Service

里面的条目会明确告诉你，究竟是用户不存在、密码错误还是未授权访问站点，便于精准定位。

Web Deploy 连接时的 401 错误，绝大多数情况都是因为：

推荐生产环境使用方案二（IIS 管理器用户），既解决了 401，又符合最小权限的安全要求。整个过程简单，但一步疏忽就可能导致部署失败。

希望这篇记录能帮助同样被这个问题困扰的朋友，快速找到症结并解决。