Estamos usando o Windows Server 2008 com Active Directory controlando o acesso a um compartilhamento de rede. Configuramos o FTP para que as pessoas possam acessar esse compartilhamento de fora (costumávamos usar a VPN PPTP, mas por vários motivos precisamos mudar para o FTP). Até agora aqui está o que conseguimos implementar no FTP:
-Oo compartilhamento de rede é usado como raiz do FTP(definido como UNC) e está funcionando bem.
-A autenticação AD está funcionando bem(senha errada e você fica de fora, senha boa você está, gerenciamento de senhas no AD sincronizado corretamente com o FTP).
-As permissões do AD estão falhando:as permissões AD no conteúdo da raiz do FTP são ignoradas: ou um usuário tem apenas acesso de leitura ou gravação, mas isso se aplica a toda a raiz do FTP, o que obviamente não é adequado, já que a raiz do FTP é inicialmente nosso compartilhamento de rede e arquivos /pastas têm permissões AD diferentes dependendo dos grupos de pessoas...
Quer definamos as permissões por meio do compartilhamento OU da interface de gerenciamento FTP, as permissões do AD nunca são aplicadas.
Q1: Isso é normal?
Q2: Em caso afirmativo, quais soluções existem para combinar permissões AD com FTP no servidor MS 2008?
Q3: Caso contrário, onde devo procurar para corrigir a configuração?
1ª atualização:
Seguindo a resposta do MarkM, fiz o seguinte:
-Definir as permissões NTFS no compartilhamento (que também é a raiz do FTP) para List folder contents-Definir Domain users
como FTP Authorization Rules= com = (antes também estava ativado Specified roles or user groups, por isso as permissões NTFS provavelmente foram substituídas).Domain UsersPermissionsReadwrite
Em seguida, criei 3 pastas com as seguintes permissões NTFS:
-pastaA: herdável, nada mais
-pastaB: não herdável, Full controlpara Domain users
-pastaC: não herdável, sem permissões paraDomain users
Via FTP, as permissões de leitura NTFS são aplicadas corretamente, mas as permissões de gravação não são:
-pastaA: pode ver a pasta, pode abri-la e baixar seu conteúdo, não pode fazer upload para ela
-pastaB: pode ver a pasta, pode abri-la e baixar seu conteúdo, não pode fazer upload para ela ( writea permissão NTFS NÃO é aplicada) -pastaC: não consigo nem ver a pasta ( reada permissão NTFS é aplicada corretamente)
P4: Que outras configurações devo observar?
Responder1
1º trimestre
Não, isso não é normal, a menos que você tenha acesso FTP anônimo ativado no IIS. Se você desabilitar isso, o acesso será avaliado com base em ACLs NTFS e ACLs de compartilhamento SMB. As práticas recomendadas são fornecer Everyonecontrole total sobre as ACLs de compartilhamento e controlar o acesso por meio das permissões NTFS. Acho que pode ser isso que está atrapalhando você. Provavelmente, suas permissões NTFS fornecem Users(ou algum outro grupo amplamente povoado) R/W na raiz do compartilhamento. Considere apenas dá-los Traverse Directorye List Folder Contentsem vez disso. FTP (e qualquer outra coisa que não seja SMB) ignora Share ACLs. Verifique três vezes suas ACLs NTFS e certifique-se de que estejam em ordem.
2º trimestre
Isto é suportado nativamente
3º trimestre
Veja as respostas acima.