Wir verwenden Windows Server 2008 mit Active Directory, das den Zugriff auf eine Netzwerkfreigabe steuert. Wir haben FTP so eingerichtet, dass Benutzer von außen auf diese Freigabe zugreifen können (früher haben wir PPTP VPN verwendet, aber aus verschiedenen Gründen müssen wir auf FTP umsteigen). Bisher haben wir Folgendes auf dem FTP implementiert:
-DerDie Netzwerkfreigabe wird als FTP-Stammverzeichnis verwendet.(definiert als UNC) und das funktioniert gut.
-Die AD-Authentifizierung funktioniert einwandfrei(mit einem falschen Passwort sind Sie draußen, mit einem richtigen Passwort sind Sie drin, die Passwortverwaltung in AD ist korrekt mit dem FTP synchronisiert).
-AD-Berechtigungen schlagen fehl:die AD-Berechtigungen für den Inhalt des FTP-Stammverzeichnisses werden ignoriert: Entweder hat ein Benutzer nur Lese- oder Schreibzugriff, aber das gilt für das gesamte FTP-Stammverzeichnis, was offensichtlich nicht geeignet ist, da dieses FTP-Stammverzeichnis ursprünglich unsere Netzwerkfreigabe ist und Dateien/Ordner je nach Benutzergruppe unterschiedliche AD-Berechtigungen haben …
Unabhängig davon, ob wir die Berechtigungen über die Freigabe ODER die FTP-Verwaltungsschnittstelle festlegen, werden AD-Berechtigungen nie erzwungen.
F1: Ist das normal?
F2: Wenn ja, welche Lösungen gibt es, um AD-Berechtigungen mit FTP auf MS Server 2008 zu kombinieren?
F3: Wenn nicht, wo muss ich nachsehen, um die Konfiguration zu korrigieren?
1. Aktualisierung:
Gemäß der Antwort von MarkM habe ich Folgendes getan:
- Setzen Sie die NTFS-Berechtigungen für die Freigabe (die auch das FTP-Stammverzeichnis ist) auf List folder contentsfür. Domain users
- Setzen Sie FTP Authorization Rulesauf Specified roles or user groups= Domain Usersmit Permissions= Read( writewar auch vorher aktiviert, weshalb die NTFS-Berechtigungen wahrscheinlich überschrieben wurden).
Ich habe dann 3 Ordner mit den folgenden NTFS-Berechtigungen erstellt:
-OrdnerA: vererbbar, sonst nichts
-OrdnerB: nicht vererbbar, Full controlzu Domain users
-OrdnerC: nicht vererbbar, keine Berechtigungen fürDomain users
Über FTP werden die NTFS-Leseberechtigungen ordnungsgemäß erzwungen, die Schreibberechtigungen jedoch nicht:
-OrdnerA: kann den Ordner sehen, kann ihn öffnen und seinen Inhalt herunterladen, kann nicht hinein hochladen
-OrdnerB: kann den Ordner sehen, kann ihn öffnen und seinen Inhalt herunterladen, kann aber nicht dorthin hochladen (NTFS- writeBerechtigung wird NICHT erzwungen) -OrdnerC: kann den Ordner nicht einmal sehen (NTFS- readBerechtigung wird ordnungsgemäß erzwungen)
F4: Auf welche anderen Einstellungen sollte ich achten?
Antwort1
Frage 1
Nein, das ist nicht normal, es sei denn, Sie haben den anonymen FTP-Zugriff in IIS aktiviert. Wenn Sie dies deaktivieren, wird der Zugriff basierend auf NTFS-ACLs und SMB-Freigabe-ACLs ausgewertet. Die beste Vorgehensweise besteht darin, Everyoneden Freigabe-ACLs Vollzugriff zu gewähren und den Zugriff über die NTFS-Berechtigungen zu steuern. Ich denke, das könnte Ihr Problem sein. Wahrscheinlich gewähren Ihre NTFS-Berechtigungen Users(oder eine andere weit verbreitete Gruppe) R/W an der Stammadresse der Freigabe. Erwägen Sie, ihnen stattdessen einfach Traverse Directoryund zu gewähren List Folder Contents. FTP (und alles andere, was nicht SMB ist) ignoriert Freigabe-ACLs. Überprüfen Sie Ihre NTFS-ACLs dreimal und stellen Sie sicher, dass sie in Ordnung sind.
Fragebogen
Dies wird nativ unterstützt
Drittes Quartal
Siehe Antworten oben.