创建FTP隔离用户,有效保护公司内的共享资源的安全性,是刻不容缓的事情,可以有效防止公司需要被共享的重要的安全隐私资料的泄密对公司造成的损失。
FTP隔离用户设置,可以通过三种途径实现,工作组状态下的隔离与不隔离,AD状态下的隔离。
工作组状态下的隔离与不隔离用户设置(结合NTFS权限)安全要求不高时可采用此方法
首先设置FTP文件夹,创建FTP文件的存放地如C://FTP,在其目录下创建与用户名相同的文件夹,并修改NTFS权限,如图:单击高级,
取消继承的权限,单击复制,然后删除user组,点击添加,将当前文件夹doris(以用户名命名)添加进来,并给与适当的权限(只读、读写、删除、创建、完全控制……)
随后,进行对FTP服务器的配置:
打开IIS,右击FTP站点,选择新站点(停止默认的FTP站点服务)在弹出的欢迎使用FTP服务中选择下一步,输入对FTP站点的描述,下一步,选择此FTP站点使用的IP地址和端口号,如图;
选择是否隔离用户。
不隔离是指用户可以看到其他用户上传的FTP资料,适用于互联网的网络资源共享,
隔离用户是指每个用户只能看到自己上传的文件,不能访问其他用户上传的文件。
用AD隔离用户是指将隔离的帐号放到活动目录中,如果IIS处于域环境下勾选此项。
点选不隔离用户;
设置完毕后,点击新建的FTP站点属性,安全帐户选项卡,取消勾选允许匿名连接,如图:
用户只能通过密码访问FTP站点,不支持匿名访问,且只能访问每个用户所在的文件夹的东西,看不到FTP站点的文件夹结构,较安全。而且依据不同权限的设置,可以对FTP文件夹有只读或者修改的权限。实现了不隔离用户不允许匿名访问的隔离用户的创建。
如上图所示,如果不取消勾选允许匿名连接的勾,则用户可以看到FTP站点的全部文件和结构,实现了不隔离访问资源共享。
在客户端IE输入FTP://服务器名/或FTP://IP地址或FTP://用户名:密码@IP/FTP地址/
注:创建少量FTP用户的隔离用户时此方法比较合适,如勾选隔离用户,有诸多限制(尚未实验成功)若在域环境下,有大量的用户需要使用FTP站点,一一创建用户文件夹显然不合适。
AD隔离用户的FTP的创建:安全要求较高时采取此方法
打开DNS服务器,建立服务器主机名的别名记录如图所示:
为了在客户端访问FTP服务器时方便解析FTP服务器的地址;
打开AD用户和计算机,新建一个OU ftp,将想要AD FTP隔离的用户添加进来,指定一个用户委派控制,如图所示:
在弹出的欢迎使用委派控制的向导中,选择此OU中的一个用户(admin)并给与读取用户信息的权限;如图;
单击完成,打开adsiedit.msc修改如下选项:
在弹出的对话框中选择如下图所示:
相对来说,命令行简单些。
然后点击IIS,选择FTP站点,选择新建FTP站点,在弹出的对话框中输入对FTP站点的描述,下一步,指定FTP的IP地址和端口,选择“用AD隔离用户”如下图所示;输入用户名和密码,防止出错,可选择浏览进行用户选择;用户名格式为:domain\用户名
确认密码,FTP的AD下用户隔离创建完毕,
切换到客户端,输入FTP服务器地址或IP地址,右键选择登录如图:
即可选择不同的用户登录不同的文件夹!实现了FTP的AD隔离用户的创建。
同时可以对此ftp OU设置实施组策略,详细设置其安全性。
