通過 IIS6 的 FTP 目錄限制
我們正在嘗試在我們的獨立專用 Windows Server 2003(標準、32 位、SP2)IIS6 上設置 FTP。我們不使用廣告。
它不是為使用者隔離而設置的,因為我需要“管理員”帳戶才能訪問 D: 驅動器的任何部分(FTP 已將其設置為根目錄)。
我希望能夠限制單個使用者帳戶(在本地框中創建)只能訪問驅動器上的特定子子目錄結構。我不想讓這個使用者讀/寫/導航到 D: 驅動器的任何其他部分。如有必要,我可以接受目錄列表,但肯定僅此而已。
在 IIS6 中,我使用使用者名(如上面提到的使用者)作為別名創建了一個虛擬目錄 - 使用憑據登錄 FTP 會將它們直接放入目錄中,這是正確的,也是我所追求的。但我找不到任何阻止他們在“他們的”結構之外導航的方法。
我已經嘗試在 D: 驅動器的根目錄拒絕他們的權限,但當然拒絕會覆蓋任何在“他們的”目錄中允許他們權限的嘗試。
我也嘗試過創建一個組,因此如果需要,我可以將其他使用者添加到該組中,並且他們也將被拒絕訪問任何不是其目錄結構的內容。
正如您可能已經收集到的那樣,我不是交易網路管理員,所以請溫柔!
多虧了 Bad Dos,他讓我大致朝著正確的方向前進,我已經找到了一種設置適合我們的權限的方法。正如他所說,我們目前的 FTP 設置並不理想,我們將考慮在不久的將來對其進行更改。
同時,我做了以下事情:
- 創建了一個組(稱為“AllFtpUsers”)並將新使用者(如上所述)分配到其中。
- 從 D: 驅動器的根目錄中刪除了 “Users” 組和 “Authenticated Users” 組
- 將“AllFtpUsers”組添加到 D: 驅動器的根目錄,只允許“列出文件夾內容”。
- D: 驅動器根目錄中的所有目錄都已將“AllFtpUsers”組設置為“列表文件夾內容”被拒絕(這意味著他們可以看到但不能更改根目錄中的文件,並且不能導航到任何子目錄)
- 將“子子目錄”(IIS 將虛擬目錄設置為)的權限設置為“修改”控制項
這意味著我們仍然可以完全控制我們的正常登錄,但是新使用者只能更改他們的子目錄(儘管也能夠看到根目錄下的所有文件)。
從根目錄中刪除“Users”和“Authenticated Users”組的原因是,一旦新使用者登錄,他們就會獲得這些組的所有權限——讓我們可以正常訪問文件/目錄“管理員”組。
您可以通過驅動器上的 NTFS 權限來執行此操作。這需要使用 NTFS 文件系統格式化驅動器,並且您將所有文件夾的安全設置設置為適當的設置。
不過,您應該認真重新考慮這種設計,因為使用管理員帳戶登錄到具有 root 訪問權限的驅動器的 FTP 是不好的安全做法。希望至少您已經安裝了 SSL 證書並使用 ftps 而不是未加密的 ftp。