私たちは、ネットワーク共有へのアクセスを制御する Active Directory を備えた Windows Server 2008 を使用しています。外部からその共有にアクセスできるように FTP を設定しました (以前は PPTP VPN を使用していましたが、さまざまな理由で FTP に切り替える必要がありました)。これまでに FTP で実装できた内容は次のとおりです。
-のネットワーク共有はFTPルートとして使用されます(UNC として定義) 正常に動作しています。
-AD認証は正常に動作しています(パスワードが間違っているとログインできませんが、正しいパスワードを入力するとログインできます。AD のパスワード管理は FTP と正しく同期されています)。
-AD 権限が失敗しています:FTP ルートのコンテンツに対する AD 権限は無視されます。つまり、ユーザーには読み取りまたは書き込みアクセス権のみがありますが、これは FTP ルート全体に適用されます。FTP ルートは当初ネットワーク共有であり、ファイル/フォルダーにはユーザーのグループに応じて異なる AD 権限があるため、これは明らかに適切ではありません...
共有または FTP 管理インターフェイスを通じて権限を設定する場合でも、AD 権限は適用されません。
Q1: それは正常ですか?
Q2: そうであれば、MS Server 2008 で AD 権限と FTP を組み合わせるにはどのようなソリューションがありますか?
Q3: そうでない場合、構成を修正するにはどこを確認すればよいですか?
1回目の更新:
MarkM の回答に従って、次の操作を実行しました。
- 共有 (FTP ルートでもある) の NTFS アクセス許可をList folder contentsに設定します。 -を=にDomain users
設定し、 = を使用します(以前も有効になっていたため、NTFS アクセス許可が上書きされた可能性があります)。FTP Authorization RulesSpecified roles or user groupsDomain UsersPermissionsReadwrite
次に、次の NTFS アクセス許可を持つ 3 つのフォルダーを作成しました
。フォルダA: 継承可能、他にはない
-フォルダB: 継承できない 、Full control~Domain users
フォルダC: 継承不可、権限なしDomain users
FTP 経由では、NTFS の読み取り権限は適切に適用されますが、書き込み権限は適用されません
。フォルダA: フォルダは表示され、開いてその内容をダウンロードできますが、アップロードすることはできません
-フォルダB: フォルダを表示し、開いてその内容をダウンロードすることはできますが、アップロードすることはできません (NTFSwriteアクセス許可は適用されません) -フォルダC: フォルダを見ることすらできません (NTFSread権限は適切に適用されています)
Q4: 他にどのような設定に注意する必要がありますか?
答え1
Q1
いいえ、IIS で匿名 FTP アクセスが有効になっていない限り、これは正常ではありません。これを無効にすると、アクセスは NTFS ACL と SMB 共有 ACL に基づいて評価されます。ベスト プラクティスは、Everyone共有 ACL にフル コントロールを与え、NTFS アクセス許可を介してアクセスを制御することです。これが問題の原因である可能性があります。おそらく、NTFS アクセス許可によって、Users共有のルートで R/W が (または広く使用されている他のグループに) 与えられています。代わりにTraverse Directory、それらを与えることを検討してくださいList Folder Contents。FTP (および SMB 以外のもの) は共有 ACL を無視します。NTFS ACL を 3 回チェックして、それらが適切であることを確認してください。
Q2
これはネイティブでサポートされています
Q3
上記の回答を参照してください。