我们使用 Windows Server 2008,其中 Active Directory 控制对网络共享的访问。我们已设置 FTP,以便人们可以从外部访问该共享(我们以前使用 PPTP VPN,但由于各种原因,我们需要切换到 FTP)。到目前为止,我们在 FTP 上已成功实现以下功能:
-这网络共享用作 FTP 根(定义为 UNC)并且运行正常
。-AD 身份验证工作正常(密码错误,您将无法使用;密码正确,AD 中的密码管理与 FTP 正确同步)
。-AD 权限失败:FTP 根目录内容的 AD 权限被忽略:要么用户只有读取或写入权限,但这适用于整个 FTP 根目录,这显然不合适,因为该 FTP 根目录最初是我们的网络共享,并且文件/文件夹根据人员组具有不同的 AD 权限...
无论我们通过共享还是 FTP 管理界面设置权限,AD 权限都不会被强制执行。
Q1:这是正常的吗?
问题 2:如果是,那么有哪些解决方案可以将 AD 权限与 MS Server 2008 上的 FTP 结合起来?
Q3:如果没有,我应该去哪里修复配置?
第一次更新:
按照 MarkM 的回答,我做了以下事情:
- 将共享(也是 FTP 根)上的 NTFS 权限设置为 -List folder contents
将Domain users
其设置FTP Authorization Rules
为Specified roles or user groups
=Domain Users
与Permissions
= Read
(之前write
也已启用,因此 NTFS 权限可能被覆盖)。
然后我创建了 3 个具有以下 NTFS 权限的文件夹:
-文件夹A:可继承,没有其他
-文件夹B:不可继承,Full control
至Domain users
-文件夹C:不可继承,无权限Domain users
通过 FTP,NTFS 读取权限得到正确执行,但写入权限却没有:
-文件夹A:可以看到该文件夹,可以打开它并下载其内容,但无法上传到该文件夹
-文件夹B:可以看到该文件夹,可以打开它并下载它的内容,但无法上传到该文件夹(write
不强制执行 NTFS 权限) -文件夹C:甚至看不到该文件夹(NTFSread
权限已正确执行)
Q4:我还应该查看哪些其他设置?
答案1
问题 1
不,这不正常,除非您在 IIS 中启用了匿名 FTP 访问。如果禁用此功能,则将根据 NTFS ACL 和 SMB 共享 ACL 评估访问权限。最佳做法是授予Everyone
共享 ACL 的完全控制权,并通过 NTFS 权限控制访问。我认为这可能是让您绊倒的原因。很有可能,您的 NTFS 权限授予Users
(或其他一些广泛使用的组)共享根目录的 R/W 权限。考虑只给他们Traverse Directory
。FTP List Folder Contents
(以及任何其他非 SMB 的权限)会忽略共享 ACL。请仔细检查您的 NTFS ACL,并确保它们井然有序。
第二季度
这是原生支持的
第三季度
参见以上答案。