ftp域用戶隔離

1、域隔離用戶的FTP潘文樂一招半式 只供交流 如需轉(zhuǎn)載 注明出處 微軟的東西太多了！以至于我們愛好IT的人老是跟在它后面轉(zhuǎn)。我一朋友在研究微軟FTP時，就碰到許多問題，但是他和我們許多人一樣不怕錯誤，堅持付出。終于對微軟FTP有點眉目時，最后讓他發(fā)難的還是域隔離用戶的FTP搭建。作為IT愛好者、他的哥們不能不幫，我查閱微軟幫助文檔、搜集網(wǎng)絡(luò)上的資料后，終于將他的問題順利解決。那么今天我就將我所了解的FTP發(fā)布出來，當然重點還是在域隔離用戶的FTP搭建這一塊，希望能幫助想我哥們一樣的廣大網(wǎng)絡(luò)愛好者！FTP 用戶隔離為 Internet 服務(wù)提供商 (ISP) 和應(yīng)用服務(wù)提供商提供了解決方案，使他們

2、可以為客戶提供上載文件和 Web 內(nèi)容的個人 FTP 目錄。FTP 用戶隔離通過將用戶限制在自己的目錄中，來防止用戶查看或覆蓋其他用戶的 Web 內(nèi)容。因為頂層目錄就是 FTP 服務(wù)的根目錄，用戶無法瀏覽目錄樹的上一層。在特定的站點內(nèi)，用戶能創(chuàng)建、修改或刪除文件和文件夾。FTP 用戶隔離是站點屬性，而不是服務(wù)器屬性。無法為每個 FTP 站點啟動或關(guān)閉該屬性。 FTP 用戶隔離支持三種隔離模式。每一種模式都會啟動不同的隔離和驗證等級。 (1)不隔離用戶： 該模式不啟用 FTP 用戶隔離。該模式的工作方式與以前版本的 IIS 類似。由于在登錄到 FTP 站點的不同用戶間的隔離尚未實施，該模式最適合

3、于只提供共享內(nèi)容下載功能的站點或不需要在用戶間進行數(shù)據(jù)訪問保護的站點。 (2)隔離用戶 ：該模式在用戶訪問與其用戶名匹配的主目錄前，根據(jù)本機或域帳戶驗證用戶。所有用戶的主目錄都在單一 FTP 主目錄下，每個用戶均被安放和限制在自己的主目錄中。不允許用戶瀏覽自己主目錄外的內(nèi)容。如果用戶需要訪問特定的共享文件夾，您可以再建立一個虛擬根目錄。該模式不使用 Active Directory 目錄服務(wù)進行驗證。這里注意為隔離用戶創(chuàng)建的目錄的架構(gòu)為：主文件夾-localuser-用戶名；并在所有文件屬性里去掉USER用戶添加需訪問的用戶名，然后還必須在localuser里創(chuàng)建一個目錄名字為public，并

4、在FTP站點創(chuàng)建時瀏覽到主文件夾。(3)用 Active Directory 隔離用戶 ：該模式根據(jù)相應(yīng)的 Active Directory 容器驗證用戶憑據(jù)，而不是搜索整個 Active Directory，那樣做需要大量的處理時間。將為每個客戶指定特定的 FTP 服務(wù)器實例，以確保數(shù)據(jù)完整性及隔離性。當用戶對象在 Active Directory 容器內(nèi)時，可以將 FTPRoot 和 FTPDir 屬性提取出來，為用戶主目錄提供完整路徑。如果 FTP 服務(wù)能成功地訪問該路徑，則用戶被放在代表 FTP 根位置的該主目錄中。用戶只能看見自己的 FTP 根位置，因此受限制而無法向上瀏覽目錄樹。如

5、果 FTPRoot 或 FTPDir 屬性不存在，或它們無法共同構(gòu)成有效、可訪問的路徑，用戶將無法訪問。其中不隔離用戶、隔離用戶的搭建十分簡單，相信很多網(wǎng)友都會吧，所以我就在這里詳細的把接下來我們就來具體的把用 Active Directory 隔離用戶的搭建方法做一解說。實驗拓撲：操作系統(tǒng)平臺：DC/FTP Server: Windows Server 2003并運行帶有 Internet 信息服務(wù) (IIS) 6.0 的FTP 站點geli?？蛻舳耍篧indows XP域名：實驗步驟：（1） 在C:Inetpubftproot，下面以域用戶名稱為名建立用戶主目錄文件。我在這里就為jishu

6、和xiaoshou創(chuàng)建文件夾，并為相應(yīng)的文件寫入文件。（2） 安裝支持工具：打開Windows2003安裝盤下SUPPORT文件夾下的TOOLS文件夾雙擊安裝支持工具suptools.msi文件。（3） 安裝成功后在運行中輸入adsiedit.msc。（4） 依次展開Domain-CN=User找到用戶，打開屬性,在FTPDir（用來指定前述根目錄內(nèi)的文件夾）輸入用戶名，F(xiàn)TPRoot（用戶指定用戶主目錄所在地的根目錄）輸入C:Inetpubftproott。（在這里我就只截一張jishu用戶的配置，xiaoshou用戶的配置和他相同，不在多說）（5） 在FTP服務(wù)器上新建站點，選擇“用Act

7、ive Directory 隔離用戶”。（6） 指定Active Directory憑據(jù)和默認Active Directory域。（7） 好了，現(xiàn)在就創(chuàng)建了域環(huán)境下FTP用戶隔離站點geli （8） 我們來做驗證，讓用戶jishu登陸FTP服務(wù)器。（在登陸過程中，系統(tǒng)要求用戶輸入用戶名和密碼，而且用戶只能訪問到屬于自己的文件，這樣就達到了為指定特定用戶訪問指定的的 FTP 服務(wù)器實例）實驗總結(jié)：（1） 在實驗過程中會出現(xiàn)創(chuàng)建的FTP站點停止服務(wù)，您可以嘗試將服務(wù)器名改變，然后在重新連接并重啟FTP服務(wù)。 （2） 網(wǎng)絡(luò)上還有一種方法，我們也可以參考，我就不截圖了： 打開C:Inetpubftpr

8、oott，在此下面以本地存在的用戶名稱為名建立用戶主目錄。 運行iisftp.exe 程序 例如要將域用戶xiaoshou 的主目錄指定到 C:Inetpubftproott，則輸入以下兩個命令：Iisftp /setadprop xiaoshou ftproot C:InetpubftproottIisftp /setadprop xiaoshou ftpdir xiaoshou其中第一個命令用來設(shè)置FTPRoot的網(wǎng)絡(luò)路徑，第二個命令用來設(shè)置FTPDir相對文件夾路徑。您也可以利用以下兩個命令：Iisftp /getadprop xiaoshou ftprootIisftp /getadp

9、rop xiaoshou ftpdir 創(chuàng)建一個讓FTP站點可以讀取用戶屬性的域用戶帳戶FTP 站點必須能夠讀取位于Active Directory內(nèi)的域用戶帳戶的FTPRoot與FTPDir兩個屬性，才能夠得知該用戶主目錄的位置，因此我們必須事先為FTP站點創(chuàng)建一個有權(quán)限讀取這兩個屬性的域用戶帳戶備用。給DC上個一個用戶“委派控制”讀取所有用戶信息 創(chuàng)建域隔離用戶。ftp域用戶隔離，匿名訪問設(shè)置：將現(xiàn)有 FTP 站點轉(zhuǎn)換為用 Active Directory 隔離用戶模式 1. 在 IIS 管理器中，單擊“本地計算機”，雙擊“FTP 站點”文件夾，右鍵單擊要轉(zhuǎn)換的 FTP 站點，然后單擊“停

10、止”。2. 將現(xiàn)有用戶內(nèi)容移動到新目錄中。3. 編輯元數(shù)據(jù)庫目錄或使用 adsutil.vbs 以配置以下元數(shù)據(jù)庫屬性：o UserIsolationMode：設(shè)置為 2。o ADConnectionUserName：設(shè)置為對 Active Directory 屬性具有讀權(quán)限的用戶。使用 DomainUserName 格式。o ADConnectionPassword：設(shè)置為 ADConnectionUserName 中的用戶的密碼。o DefaultLogonDomain：設(shè)置為默認的域名。o 對于站點根虛擬目錄：將 Path 屬性設(shè)置為空字符串，并使用 | 運算符將值 AccessNoPh

11、ysicalDir 添加到 AccessFlags 屬性；例如：AccessFlags=AccessRead|AccessNoPhysicalDir。o AllowAnonymous、AnonymousUserName 和 AnonymousPassword：有關(guān)如何設(shè)置這些屬性的信息，請參閱本主題之前的“為使用 Active Directory 隔離用戶的 FTP 站點啟用匿名訪問”。為配置為“用 Active Directory 隔離用戶”模式的 FTP 站點啟用匿名訪問 更新時間: 2005年8月應(yīng)用到: Windows Server 2003, Windows Server 2003 R2, Windows Server 2003 with SP1, Windows Server 2003 with SP2, Windows Server 2008默認情況下，對于在“用 Active Directory 隔離用戶”模式中創(chuàng)建的站點，匿名訪問是禁用的。為配置為用 Active Directory 隔離用戶模式的 FTP 站點啟用匿名訪問 § 按照以下示例所示來配置元數(shù)據(jù)庫屬性?？梢允褂?adsutil.vbs SET 命令行工具來執(zhí)行此任務(wù)。§ adsutil set /msftpsvc/6634/AllowAnonymous TRUE