如果我们希望对下游服务器的人选进行限制，只允许指定的计算机成为下游服务器，那么上下游服务器必须在同一域内或在有信任关系的两个域内，而且我们还需要在上游服务器上进行下列操作：

　　1） 修改web.config

　　2） 修改虚拟目录ServerSyncWebService的身份验证方法

　　一 修改web.config

　　如果上游服务器只允许Firenze成为下游服务器，那么上游服务器应该修改C:\Program Files\Update Services\WebServices\serversyncwebservice\web.config，如下图所示，我们可以在此文件中使用< authorization>元素来定义一个认证列表，只有此认证列表中的WSUS服务器才能和上游服务器进行同步。注意，我们必须把< authorization>元素添加在<system.web>元素下！allow users＝"shanghai\firenze$"意思是允许shanghai.wsustest.com域中的firenze与上游服务器同步，域内的计算机账号都是以$结尾的。Deny users="*"意思是拒绝其他所有的计算机同步上游服务器。这两行语句的顺序决定了执行的优先级，如果我们一不小心弄错了顺序，把deny users＝"*"放到了前面，那所有的计算机都会被上游服务器所拒绝，这点和ISA的防火墙策略执行顺序完全一样，切记！（图10）

　　二 修改虚拟目录ServerSyncWebService的身份验证方法

　　我们既然已经修改了web.config，只允许shanghai子域内的Firenze成为下游服务器，那么访问ServerSyncWebService虚拟目录的计算机必须证明自己是firenze才能成为下游服务器。匿名访问无法证明访问者的身份，因此我们需要更改虚拟目录的身份验证方式。由于下游服务器的同步选项中没有办法输入用户名和口令来向上游服务器证明自己的身份，因此下游服务器只能利用集成验证来验明正身了，这也是为什么要求上下游服务器在用一域内或在有信任关系的两个域内。在上游服务器依次点击 开始－程序－管理工具－Internet信息服务（IIS）管理器，右键点击虚拟目录ServerSyncWebService，如下图所示，选择"属性"。（图11）

　　在虚拟目录属性中切换到"目录安全性"标签，如下图所示，选择"编辑"。（图12）

　　如下图所示，我们取消"启用匿名访问"，勾选"集成Windows身份验证"（图13）

　　这样我们就完成了上游服务器对下游服务器的身份验证需求，以后Firenze可以同步上游服务器，其他WSUS服务器试图同步上游服务器时则会出现 401号错误（未经授权）。