ftp域隔離

微軟的東西太多了！以致於咱們愛好IT的人總是跟在它後面轉。我一朋友在研究微軟FTP時，就碰到許多問題，可是他和咱們許多人同樣不怕錯誤，堅持付出。終於對微軟FTP有點眉目時，讓他發難的仍是域隔離用戶的FTP搭建。做爲IT愛好者、他的哥們不能不幫，我查閱微軟幫助文檔、蒐集網絡上的資料後，終於將他的問題順利解決。那麼今天我就將我所瞭解的FTP發佈出來，固然重點仍是在域隔離用戶的FTP搭建這一塊，但願能幫助想我哥們同樣的廣大網絡愛好者！！

         FTP 用戶隔離爲 Internet 服務提供商 (ISP) 和應用服務提供商提供瞭解決方案，使他們能夠爲客戶提供上載文件和 Web 內容的我的 FTP 目錄。FTP 用戶隔離經過將用戶限制在本身的目錄中，來防止用戶查看或覆蓋其餘用戶的 Web 內容。由於頂層目錄就是 FTP 服務的根目錄，用戶沒法瀏覽目錄樹的上一層。在特定的站點內，用戶能建立、修改或刪除文件和文件夾。FTP 用戶隔離是站點屬性，而不是服務器屬性。沒法爲每一個 FTP 站點啓動或關閉該屬性。

       FTP 用戶隔離支持三種隔離模式。每一種模式都會啓動不一樣的隔離和驗證等級。

       (1)不隔離用戶：

       該模式不啓用 FTP 用戶隔離。該模式的工做方式與之前版本的 IIS 相似。因爲在登陸到 FTP 站點的不一樣用戶間的隔離還沒有實施，該模式最適合於只提供共享內容下載功能的站點或不須要在用戶間進行數據訪問保護的站點。

       (2)隔離用戶 ：

       該模式在用戶訪問與其用戶名匹配的主目錄前，根據本機或域賬戶驗證用戶。全部用戶的主目錄都在單一 FTP 主目錄下，每一個用戶均被安放和限制在本身的主目錄中。不容許用戶瀏覽本身主目錄外的內容。若是用戶須要訪問特定的共享文件夾，您能夠再創建一個虛擬根目錄。該模式不使用 Active Directory 目錄服務進行驗證。這裏注意爲隔離用戶建立的目錄的架構爲：主文件夾----localuser----用戶名；並在全部文件屬性裏去掉USER用戶添加需訪問的用戶名，而後還必須在localuser裏建立一個目錄名字爲public，並在FTP站點建立時瀏覽到主文件夾。

      (3)用 Active Directory 隔離用戶 ：

      該模式根據相應的 Active Directory 容器驗證用戶憑據，而不是搜索整個 Active Directory，那樣作須要大量的處理時間。將爲每一個客戶指定特定的 FTP 服務器實例，以確保數據完整性及隔離性。當用戶對象在 Active Directory 容器內時，能夠將 FTPRoot 和 FTPDir 屬性提取出來，爲用戶主目錄提供完整路徑。若是 FTP 服務能成功地訪問該路徑，則用戶被放在表明 FTP 根位置的該主目錄中。用戶只能看見本身的 FTP 根位置，所以受限制而沒法向上瀏覽目錄樹。若是 FTPRoot 或 FTPDir 屬性不存在，或它們沒法共同構成有效、可訪問的路徑，用戶將沒法訪問。

其中不隔離用戶、隔離用戶的搭建十分簡單，相信不少網友都會吧，因此我就在這裏詳細的把接下來咱們就來具體的把用 Active Directory 隔離用戶的搭建方法作一解說。

實驗拓撲：

操做系統平臺：

DC/FTP Server: Windows Server 2003並運行帶有 Internet 信息服務 (IIS) 6.0 的FTP 站點geli。

客戶端：Windows XP

域名：benet.cn

實驗步驟：

（1） 在C:\Inetpub\ftproot，下面以域用戶名稱爲名創建用戶主目錄文件。我在這裏就爲jishu和xiaoshou建立文件夾，併爲相應的文件寫入文件。

（2） 安裝支持工具：打開Windows2003安裝盤下SUPPORT文件夾—下的TOOLS文件夾雙擊安裝支持工具suptools.msi文件。

（3） 安裝成功後在運行中輸入adsiedit.msc。

（4） 依次展開Domain----CN=User找到用戶，打開屬性,在FTPDir（用來指定前述根目錄內的文件夾）輸入用戶名，FTPRoot（用戶指定用戶主目錄所在地的根目錄）輸入C:\Inetpub\ftproott。（在這裏我就只截一張jishu用戶的配置，xiaoshou用戶的配置和他相同，不在多說）

 

（5） 在FTP服務器上新建站點，選擇「用Active Directory 隔離用戶」。

（6） 指定Active Directory憑據和默認Active Directory域。

（7） 好了，如今就建立了域環境下FTP用戶隔離站點geli

 

8） 咱們來作驗證，讓用戶jishu登錄FTP服務器。（在登錄過程當中，系統要求用戶輸入用戶名和密碼，並且用戶只能訪問到屬於本身的文件，這樣就達到了爲指定特定用戶訪問指定的的 FTP 服務器實例）

實驗總結：（1） 在實驗過程當中會出現建立的FTP站點中止服務，您能夠嘗試將服務器名改變，而後在從新鏈接並重啓FTP服務。

（2） 網絡上還有一種方法，咱們也能夠參考，我就不截圖了：

①打開C:\Inetpub\ftproott，在此下面以本地存在的用戶名稱爲名創建用戶主目錄。

②運行iisftp.exe 程序

例如要將域用戶xiaoshou 的主目錄指定到 C:\Inetpub\ftproott，則輸入如下兩個命令：

Iisftp /setadprop xiaoshou ftproot C:\Inetpub\ftproott

Iisftp /setadprop xiaoshou ftpdir xiaoshou

其中第一個命令用來設置FTPRoot的網絡路徑，第二個命令用來設置FTPDir相對文件夾路徑。您也能夠利用如下兩個命令：

Iisftp /getadprop xiaoshou ftproot

Iisftp /getadprop xiaoshou ftpdir

③建立一個讓FTP站點能夠讀取用戶屬性的域用戶賬戶FTP 站點必須可以讀取位於Active Directory內的域用戶賬戶的FTPRoot與FTPDir兩個屬性，纔可以得知該用戶主目錄的位置，所以咱們必須事先爲FTP站點建立一個有權限讀取這兩個屬性的域用戶賬戶備用。給DC上個一個用戶「委派控制」讀取全部用戶信息

④建立域隔離用戶。