我們使用帶有 Active Directory 的 Windows Server 2008 來控制對網路共用的存取。我們已經設定了 FTP,以便人們可以從外部存取該共用(我們曾經使用 PPTP VPN,但由於各種原因我們需要切換到 FTP)。到目前為止,我們已經在 FTP 上實現了以下內容:
-這網路共享用作 FTP 根(定義為 UNC)且運作正常。
-AD認證工作正常(密碼錯誤,您將無法進入,密碼正確,AD 中的密碼管理與 FTP 正確同步)。
-AD 權限失敗:FTP 根目錄內容的 AD 權限被忽略:使用者要麼只有讀取或寫入存取權限,但這適用於整個 FTP 根目錄,這顯然不合適,因為 FTP 根目錄最初是我們的網路共用和檔案/folders 根據不同的群組有不同的AD 權限...
無論我們透過共享或FTP管理介面設定權限,AD權限都不會被強制執行。
Q1:這樣正常嗎?
Q2:如果是的話,有哪些解決方案可以將 AD 權限與 MS Server 2008 上的 FTP 結合?
Q3:如果沒有,我該去哪裡修復配置?
第一次更新:
根據 MarkM 的回答,我執行了以下操作:
-將共享(也是 FTP 根目錄)上的 NTFS 權限設為List folder contentsfor -將 toDomain users
設為= with = (之前也已啟用,因此 NTFS 權限可能被覆蓋)。FTP Authorization RulesSpecified roles or user groupsDomain UsersPermissionsReadwrite
然後我建立了 3 個具有以下 NTFS 權限的資料夾:
-資料夾A: 可以繼承,沒有別的
-資料夾B:不可繼承,Full control至Domain users
-資料夾C:不可繼承,沒有權限Domain users
透過 FTP,NTFS 讀取權限正確執行,但寫入權限卻沒有:
-資料夾A:可以看到該資料夾,可以打開它並下載其內容,但無法上傳
-資料夾B:可以看到該資料夾,可以打開它並下載其內容,但無法上傳到該資料夾(write不強制執行 NTFS 權限)-資料夾C: 甚至看不到資料夾(NTFSread權限已正確執行)
問題 4:我還應該注意哪些其他設定?
答案1
Q1
不,這不正常,除非您在 IIS 中開啟了匿名 FTP 存取。如果停用此功能,則會根據 NTFS ACL 和 SMB 共用 ACL 評估存取權限。最佳實務是Everyone對共用 ACL 進行完全控制並透過 NTFS 權限控制存取。我想這可能就是讓你絆倒的原因。您的 NTFS 權限很可能會Users在共用的根目錄(或其他一些廣泛使用的群組)提供 R/W 權限。考慮只給他們Traverse Directory而List Folder Contents不是。 FTP(以及 SMB 以外的任何其他內容)都會忽略共用 ACL。三次檢查您的 NTFS ACL 並確保它們符合順序。
Q2
這是原生支援的
第三季
請參閱上面的答案。