我们使用Windows Server 2008和Active Directory来控制对networking共享的访问。 我们设置了FTP,以便人们可以从外部访问这个共享(我们曾经使用过PPTP VPN,但由于种种原因我们需要切换到FTP)。 到目前为止,这是我们已经设法在FTP上实现的:
– networking共享被用作FTP根 (定义为UNC),并且工作正常。
– AD身份validation工作正常 (错误的密码,你呆在外面,你在密码,密码pipe理在AD正确与FTP同步)。
– AD权限失败:对FTP根目录的AD权限被忽略:或者用户只具有读或写权限,但是这适用于整个FTP根目录,显然不适用,因为FTP根目录是最初,我们的networking共享和文件/文件夹具有不同的AD权限,具体取决于人员组…
无论我们通过共享还是通过FTPpipe理界面来设置权限,都不会执行AD权限。
Q1:这是正常的吗?
Q2:如果是这样,在MS服务器2008上有什么解决scheme将AD权限与FTP结合?
问题3:如果不是,我应该在哪里寻找修理configuration?
第一次更新:
根据MarkM的回答,我做了以下工作:
– 将共享(也是FTP根目录)上的NTFS权限设置为List folder contents Domain users List folder contents
– 将FTP Authorization Rules设置为Specified roles or user groups =具有Permissions = Read Domain Users (在write之前也被启用,为什么NTFS权限可能被覆盖)。
然后我创build了具有以下NTFS权限的3个文件夹:
– folderA :可inheritance的,没有别的
– folderB :不可inheritance, Full control Domain users
– folderC :不可inheritance,对于Domain users没有权限
通过FTP,NTFS读取权限被正确执行,但写入权限不是:
– folderA :可以看到文件夹,可以打开并下载它的内容,不能上传到它
– folderB :可以看到文件夹,可以打开它并下载它的内容,不能上传到它(NTFS write权限不强制执行) – folderC :甚至不能看到文件夹(正确执行NTFS read权限)
问题4:我应该看什么其他设置?
Q1
不,这是不正常的,除非你有在IIS中打开匿名FTP访问。 如果禁用此function,则根据NTFS ACL和SMB共享ACL评估访问权限。 最佳做法是为Everyone完全控制共享ACL并通过NTFS权限控制访问。 我想这可能是什么让你跳动。 很有可能,你的NTFS权限给Users (或其他广泛使用的组)R / W在共享的根部。 考虑只给他们Traverse Directory和List Folder Contents 。 FTP(以及其他不是SMB的)忽略共享ACL。 三重检查你的NTFS ACL,并确保它们是有序的。
Q2
这是本机支持的
Q3
见上面的回答。