FTP隔离用户方法.docx

FTP隔离用户方法.docx

《FTP隔离用户方法.docx》由会员分享，可在线阅读，更多相关《FTP隔离用户方法.docx（10页珍藏版）》请在冰豆网上搜索。

FTP隔离用户方法

FTP隔离用户方法

在Windows平台下设计FTP服务器的方法有很多，目前使用最广泛当属Serv-U，该软件功能强大，基本可以满足大多数FTP用户的需求。

实际上Windows中所带的IIS组件中的FTP也具有相当强大的功能，而且其可以集成Windows中的身份验证。

在本文中主要介绍利用IIS实现FTP隔离用户功能。

所谓隔离用户指的是当用户登录到FTP时会被导入其所属文件夹，而且不可以切换到其它用户的文件夹。

　　在IIS6中有三种隔离方式，下面我们分别讨论这三种方式：

　　不隔离用户

　　该方式在默认情况下当用户来连接此类FTP时，用户将被直接导向同一个文件夹，也就是被导向整个FTP的主目录。

不过此处我们可以通过设置NTFS权限来实现和隔离用户类似的功能（此方法也可以用于IIS5中）。

　　假设系统中已建立好一个FTP站点（该建站主文件夹位于e:

\demoftp），系统中有User1及User2二个用户。

在FTP主文件夹下为每个用户建立一个文件夹，名称应与用户登录名一致。

如下图：

　　按以下步骤设置User1的NTFS权限：

　　²删除Users的权限。

　　Ø取消文件夹User1的继承权限。

²赋于User1读取权限（如该FTP站点提供上传功能，还需写入权限）。

对User2设置与User1相同。

　　完成上述操作后通过NTFS权限实现隔离用户功能配置完成。

但对于很多情况下使用FTP的用户比较多，如果都管理员通过手动方式进行设置可能工作量太大。

下面提供一个VBS脚本，该脚本会读取本地用户，为每个用户建立文件夹并设置NTFS权限。

　　在上述脚本中所使用的Cacls命令是一个在Windows2000/XP/Server2003操作系统下都可以使用的命令，作用是显示或者修改文件的访问控制表，在命令中可以使用通配符指定多个文件，也可以在命令中指定多个用户。

要使用该命令需要到微软网站下载。

注意，在安装时最好安装到Windows文件。

隔离用户

　　该方式在默认情况下当用户来连接此类FTP时，用户将被导向其所属文件夹。

　　假设系统中已建立好一个FTP站点（该建站主文件夹位于e:

\demoftp），系统中有User1及User2二个用户。

　　²如果环境为域模式，希望使用域中用户名及密码登录，则要在FTP主文件夹下建立一个以域NetBIOS名命名的文件夹。

　　²如果环境为工作组模式或域中成员服务器（希望用户连接到FTP站点上时使用成员服务器上的用户名及密码），则要在FTP主文件夹（本例中为e:

\demoftp）下建立一个名为LocalUser的文件夹（本文中讲述此种方式）。

　　建立好上述文件夹后，在其下建立以每个用户登录名命名的文件夹。

如果希望该站点允许匿名用户访问，还需要建立一个名为Public的文件夹。

建立好后如下图：

完成上述操作后隔离用户功能配置完成。

但对于很多情况下使用FTP的用户比较多，如果都管理员通过手动方式进行设置可能工作量太大。

下面提供一个VBS脚本，该脚本会读取用户信息，为每个用户建立文件夹。

用ActiveDirectory隔离用户

　　使用该种隔离方式必须在活动目录管理中应用。

在配置前需要活动目录用户的密码以可逆方式保存到活动目录数据库。

如果用户已使用不可逆方式保存密码（这是Windows的默认方式），在修改保存方式后需要重新设置用户密码。

修改密码保存方式可通过管理工具”ActiveDirectory用户和计算机”进行或通过修改域安全策略。

下面先别介绍这二种方式：

　　²通过”ActiveDirectory用户和计算机”。

　　打开工具后选择用户属性按下方式修改即可。

　　²修改域安全策略。

　　Ø打开”域安全策略”。

Ø依次选择”安全设置”，”帐户策略”，”密码策略”，将”用可还原的密码来储存密码”改为启用。

　　在IIS中建立”用ActiveDirectory隔离用户”的FTP站点。

　　²打开IIS管理工具选择”新建”，”FTP站点”，依次输入”描述”及IP、端口配置。

　²隔离模式应选择为用ActiveDirectory隔离用户。

²输入有读取用户信息的域帐户及密码。

　　建立FTP所使用的文件夹。

　　²建立FTP主文件夹（本例中为E:

\demoftp）。

　　²在FTP主文件夹下为以帐户登录为每个用户建立一个文件夹。

　　选择FTP站点权限。

为域用户配置FTP主文件夹。

该步骤需要为域中每个用户配置一个FTPRoot（FTP站点的主文件夹）及FTPDir（用户的主文件夹），修改这二个只能通过修改活动目录数据库实现。

本文将分二种方法再讲解如何修改。

²通过命令行。

　　²通过ADSIEdit工具。

　　Ø在”运行”输入”adsiedit.msc”。

　　Ø打开”Doman”，找到用户所以容器（本例中User1、User2位于一个名为DemoFTPOU的组织单位中）。

Ø选择用户属性。

　　Ø分别设置”msIIS-FTPRoot”（该值为FTP主文件夹，本例中为e:

\demoftp）、”msIIS-FTPDir”（该值为用户主文件夹，当然在设置的用户User1所以应该设置为User1）。

　　Ø活动目录每个用户作上述设置即可。

完成上述操作后用ActiveDirectory隔离用户功能配置完成。

但对于很多情况下使用FTP的用户比较多，如果都管理员通过手动方式进行设置可能工作量太大。

下面提供一个VBS脚本，该脚本会根据example.zqin下组织单位DemoFTPOU的用户创建各自的文件夹，并自动设置用户的隔离属性（FTPRoot及FTPDir）。