Ich habe eine FTP-Site in IIS 7.5 mit SSL unter Verwendung eines selbstsignierten Zertifikats eingerichtet. Ich kann mich anmelden und meine virtuellen Verzeichnisse anzeigen, die alle als UNC-Pfade eingerichtet sind. Das Problem ist, dass ich über FTP nicht an einen beliebigen Ort schreiben kann.
Ich habe 3 Active Directory-Gruppen eingerichtet. Jede Gruppe hat die Berechtigungen auf Ordnerebene richtig eingestellt. Diese Berechtigungen werden über die Registerkarte „Effektive Berechtigungen“ überprüft, wo die Berechtigungen für einen bestimmten Benutzer angezeigt werden. Wenn ich mich jedoch als Benutzer (Designer1) anmelde, der zu einer Gruppe (Design) gehört, die Zugriff auf die Ordner hat, auf die meine virtuellen Verzeichnisse verweisen, erhalte ich die Meldung „Zugriff verweigert“.
Ich habe fast jede Konfiguration dafür ausprobiert und bekomme es nicht zum Laufen. Der App-Pool für meine FTP-Site ist ein eigener Pool „FTP“ ohne verwalteten Code im klassischen Pipeline-Modus. Wie sollte die Identität des Anwendungspools aussehen?
In den FTP-Site-Eigenschaften habe ich „Verbinden als“ auf „Anwendungsbenutzer (Passthrough-Authentifizierung)“ eingestellt, sodass die Dateiberechtigungen bestimmen, ob der Benutzer Schreibzugriff hat oder nicht.
Außerdem habe ich unter den FTP-Site-Eigenschaften die anonyme Authentifizierung deaktiviert und die Basisauthentifizierung aktiviert. Beim Festlegen der FTP-Autorisierungsregeln hatte ich kein Glück, da ich alles in die Felder „Spezifische Rollen“ und „Spezifische Benutzer“ eingeben kann und nicht überprüft wird, ob es sich um echte Benutzer oder Gruppen handelt.
Gibt es einen Cache-Mechanismus, mit dem ich die Einstellungen nicht ändern und dann sofort testen kann? Ich starte immer den IIS-Dienst neu und starte die Site neu und verwende den App-Pool erneut.
Antwort1
Ok, ich habe mein eigenes Problem herausgefunden. Ich wollte meine Erkenntnisse kurz mitteilen.
Anwendungspool: .NET = Kein verwalteter Code: Pipeline-Modus = Integriert: Identität = Netzwerkdienst
Der Trick dabei ist, dass die neuen FTP-Autorisierungsregeln Active Directory-Benutzernamen oder -Gruppen (oder lokale Benutzernamen) nicht überprüfen. Daher können Sie hier alles eingeben und glauben, Sie haben den richtigen Gruppennamen, aber Sie wissen es nicht, außer dass die Berechtigungen nicht funktioniert haben, um die von Ihnen festgelegte Regel zuzulassen.
Ich habe es zum Laufen gebracht, indem ich
- Sicherstellen der richtigen Berechtigungen auf Ordner-/Dateiebene pro Gruppe oder Benutzer
- Einstellen der FTP-Authentifizierung, um Basic zu aktivieren und Anonymous zu deaktivieren
- Festlegen der Site-Eigenschaften auf „Verbinden als ...“ = „Anwendungsbenutzer (Pass-Through-Authentifizierung)“
- Festlegen der FTP-Autorisierungsregeln nach Wunsch für jedes virtuelle Verzeichnis
Ich hoffe, das hilft jemandem!