Estamos usando Windows Server 2008 con Active Directory controlando el acceso a un recurso compartido de red. Hemos configurado FTP para que las personas puedan acceder a ese recurso compartido desde afuera (solíamos usar la VPN PPTP pero por varias razones necesitamos cambiar a FTP). Hasta ahora esto es lo que hemos logrado implementar en FTP:
-ElEl recurso compartido de red se utiliza como raíz FTP.(definido como UNC) y eso está funcionando bien.
-La autenticación AD funciona bien(contraseña incorrecta y te quedas fuera, contraseña buena estás dentro, administración de contraseñas en AD sincronizada correctamente con el FTP).
-Los permisos de AD están fallando:los permisos AD sobre el contenido de la raíz FTP se ignoran: o un usuario solo tiene acceso de lectura o escritura, pero esto se aplica a toda la raíz FTP, lo que obviamente no es adecuado ya que esa raíz FTP es inicialmente nuestra red compartida y nuestros archivos. Las carpetas/tienen diferentes permisos de AD dependiendo de los grupos de personas...
Ya sea que establezcamos los permisos a través del recurso compartido O la interfaz de administración FTP, los permisos AD nunca se aplican.
P1: ¿Es eso normal?
P2: Si es así, ¿qué soluciones existen para combinar permisos AD con FTP en el servidor MS 2008?
P3: Si no es así, ¿dónde debo buscar para arreglar la configuración?
Primera actualización:
Siguiendo la respuesta de MarkM, hice lo siguiente:
-Establecer los permisos NTFS en el recurso compartido (que también es la raíz FTP) en List folder contentsfor Domain users
-Establecer el FTP Authorization Rulesen Specified roles or user groups= Domain Userscon Permissions= Read(antes writetambién estaba habilitado, por lo que probablemente se sobrescribieron los permisos NTFS).
Luego creé 3 carpetas con los siguientes permisos NTFS:
-carpetaA: heredable, nada más
-carpetaB: no heredable, Full controla Domain users
-carpetaC: no heredable, sin permisos paraDomain users
A través de FTP, los permisos de lectura NTFS se aplican correctamente, sin embargo, los permisos de escritura no:
-carpetaA: puede ver la carpeta, puede abrirla y descargar su contenido, no puede cargarlo
-carpetaB: puede ver la carpeta, puede abrirla y descargar su contenido, no puede cargarla ( writeel permiso NTFS NO se aplica) -carpetaC: ni siquiera puedo ver la carpeta ( readel permiso NTFS se aplica correctamente)
P4: ¿Qué otras configuraciones debería considerar?
Respuesta1
Q1
No, eso no es normal, a menos que tenga activado el acceso FTP anónimo en IIS. Si desactiva esto, el acceso se evalúa según las ACL de NTFS y las ACL de SMB Share. Las mejores prácticas son otorgar Everyonecontrol total sobre las ACL compartidas y controlar el acceso a través de los permisos NTFS. Creo que esto podría ser lo que te está haciendo tropezar. Lo más probable es que sus permisos NTFS proporcionen Users(o algún otro grupo ampliamente poblado) R/W en la raíz del recurso compartido. Considere simplemente dárselos Traverse Directoryy List Folder Contentsen su lugar. FTP (y cualquier otra cosa que no sea SMB) ignora las ACL compartidas. Verifique tres veces sus ACL de NTFS y asegúrese de que estén en orden.
Q2
Esto es compatible de forma nativa
Q3
Vea las respuestas anteriores.