一、先搞定开发模式不生效的问题 #

你用setx ASPNETCORE_ENVIRONMENT "development"设置的是系统级永久环境变量，但这个变更不会立即生效到已经运行的进程（包括IIS、当前打开的终端窗口）。可以试试这几种更靠谱的方式：

• 临时生效（仅当前终端）：在启动应用的终端里执行set ASPNETCORE_ENVIRONMENT=Development，然后重启应用或IIS。
• IIS中直接设置应用池环境变量：打开IIS管理器 → 找到你的应用池 → 右键「高级设置」 → 找到「环境变量」 → 添加键值对ASPNETCORE_ENVIRONMENT=Development，保存后重启应用池。
• 本地调试用launchSettings.json：如果是本地开发调试，直接在项目的Properties/launchSettings.json里修改ASPNETCORE_ENVIRONMENT的值为Development，启动时会自动加载该配置。

注意：生产环境绝对不要启用开发模式，避免泄露敏感异常信息，这点你已经留意到了，非常好。

二、解决文件访问权限被拒的核心问题 #

从异常日志System.UnauthorizedAccessException: Access to the path 'I:\Repository\Filename.doc' is denied来看，核心问题是应用运行的身份没有访问I盘文件的权限。你添加的IUSR、IIS_IUSRS等通用用户，并不是.NET Core在IIS部署下默认使用的身份，所以没起作用。

步骤1：找到你的应用池身份 #

打开IIS管理器：

1. 左侧导航找到「应用池」，点击项目对应的应用池。
2. 右键选择「高级设置」。
3. 查看「标识」字段：
   • 如果显示ApplicationPoolIdentity，这是默认的虚拟身份，对应的账户名是NT SERVICE\你的应用池名称（比如应用池叫AbAWebPool，就是NT SERVICE\AbAWebPool）。
   • 如果是自定义账户，直接使用该账户名称即可。

步骤2：给I盘目录添加应用池身份的权限 #

1. 右键I:\Repository文件夹 → 「属性」 → 「安全」标签 → 「编辑」 → 「添加」。
2. 在「选择用户或组」窗口中，点击「高级」 → 「立即查找」。
3. 如果是ApplicationPoolIdentity，在搜索结果里找对应名称；如果找不到，直接手动输入NT SERVICE\你的应用池名称，点击「检查名称」确认有效后选中。
4. 给该用户勾选「读取」和「列出文件夹内容」权限（下载仅需读权限，无需写入），点击确定保存配置。

额外排查点 #

• 检查I盘是否为NTFS格式：FAT32不支持精细权限控制，若为FAT32需转换为NTFS。
• 确认文件未被其他进程锁定：比如有没有打开该文档的Office进程、或其他服务在占用文件，导致无法读取。
• 优化FileStream代码：你当前代码未指定FileAccess参数，默认会请求读写权限，改成只读权限可降低权限要求：

return File(new FileStream(location, FileMode.Open, FileAccess.Read), "application/x-msdownload", filename.doc);

内容的提问来源于stack exchange，提问作者Ricker Silva