|
創(chuàng)建FTP隔離用戶(hù)�����,有效保護(hù)公司內(nèi)的共享資源的安全性�,是刻不容緩的事情,可以有效防止公司需要被共享的重要的安全隱私資料的泄密對(duì)公司造成的損失���。
FTP隔離用戶(hù)設(shè)置���,可以通過(guò)三種途徑實(shí)現(xiàn)��,工作組狀態(tài)下的隔離與不隔離�,AD狀態(tài)下的隔離。
工作組狀態(tài)下的隔離與不隔離用戶(hù)設(shè)置(結(jié)合NTFS權(quán)限)安全要求不高時(shí)可采用此方法
首先設(shè)置FTP文件夾�����,創(chuàng)建FTP文件的存放地如C://FTP�,在其目錄下創(chuàng)建與用戶(hù)名相同的文件夾,并修改NTFS權(quán)限�,如圖:?jiǎn)螕舾呒?jí),
取消繼承的權(quán)限,單擊復(fù)制�����,然后刪除user組�,點(diǎn)擊添加,將當(dāng)前文件夾doris(以用戶(hù)名命名)添加進(jìn)來(lái)��,并給與適當(dāng)?shù)臋?quán)限(只讀���、讀寫(xiě)�、刪除�、創(chuàng)建、完全控制……)
隨后�����,進(jìn)行對(duì)FTP服務(wù)器的配置:
打開(kāi)IIS���,右擊FTP站點(diǎn)���,選擇新站點(diǎn)(停止默認(rèn)的FTP站點(diǎn)服務(wù))在彈出的歡迎使用FTP服務(wù)中選擇下一步,輸入對(duì)FTP站點(diǎn)的描述��,下一步,選擇此FTP站點(diǎn)使用的IP地址和端口號(hào)���,如圖�����;
選擇是否隔離用戶(hù)�。
不隔離是指用戶(hù)可以看到其他用戶(hù)上傳的FTP資料�,適用于互聯(lián)網(wǎng)的網(wǎng)絡(luò)資源共享,
隔離用戶(hù)是指每個(gè)用戶(hù)只能看到自己上傳的文件��,不能訪問(wèn)其他用戶(hù)上傳的文件�����。
用AD隔離用戶(hù)是指將隔離的賬號(hào)放到活動(dòng)目錄中��,如果IIS處于域環(huán)境下勾選此項(xiàng)�����。
點(diǎn)選不隔離用戶(hù)��;
設(shè)置完畢后�,點(diǎn)擊新建的FTP站點(diǎn)屬性,安全帳戶(hù)選項(xiàng)卡�����,取消勾選允許匿名連接�,如圖:
用戶(hù)只能通過(guò)密碼訪問(wèn)FTP站點(diǎn),不支持匿名訪問(wèn)��,且只能訪問(wèn)每個(gè)用戶(hù)所在的文件夾的東西���,看不到FTP站點(diǎn)的文件夾結(jié)構(gòu)�,較安全�。而且依據(jù)不同權(quán)限的設(shè)置�����,可以對(duì)FTP文件夾有只讀或者修改的權(quán)限�。實(shí)現(xiàn)了不隔離用戶(hù)不允許匿名訪問(wèn)的隔離用戶(hù)的創(chuàng)建。
如上圖所示�����,如果不取消勾選允許匿名連接的勾��,則用戶(hù)可以看到FTP站點(diǎn)的全部文件和結(jié)構(gòu),實(shí)現(xiàn)了不隔離訪問(wèn)資源共享��。
在客戶(hù)端IE輸入FTP://服務(wù)器名/或FTP://IP地址或FTP://用戶(hù)名:密碼@IP/FTP地址/
注:創(chuàng)建少量FTP用戶(hù)的隔離用戶(hù)時(shí)此方法比較合適�����,如勾選隔離用戶(hù)��,有諸多限制(尚未實(shí)驗(yàn)成功)若在域環(huán)境下��,有大量的用戶(hù)需要使用FTP站點(diǎn)��,一一創(chuàng)建用戶(hù)文件夾顯然不合適�����。
AD隔離用戶(hù)的FTP的創(chuàng)建:安全要求較高時(shí)采取此方法
打開(kāi)DNS服務(wù)器���,建立服務(wù)器主機(jī)名的別名記錄如圖所示:
為了在客戶(hù)端訪問(wèn)FTP服務(wù)器時(shí)方便解析FTP服務(wù)器的地址;
打開(kāi)AD用戶(hù)和計(jì)算機(jī),新建一個(gè)OU ftp�����,將想要AD FTP隔離的用戶(hù)添加進(jìn)來(lái)���,指定一個(gè)用戶(hù)委派控制�����,如圖所示:
在彈出的歡迎使用委派控制的向?qū)е校x擇此OU中的一個(gè)用戶(hù)(admin)并給與讀取用戶(hù)信息的權(quán)限���;如圖���;
單擊完成,打開(kāi)adsiedit.msc修改如下選項(xiàng):
在彈出的對(duì)話框中選擇如下圖所示:
相對(duì)來(lái)說(shuō)��,命令行簡(jiǎn)單些��。
然后點(diǎn)擊IIS�����,選擇FTP站點(diǎn)�,選擇新建FTP站點(diǎn)�,在彈出的對(duì)話框中輸入對(duì)FTP站點(diǎn)的描述���,下一步,指定FTP的IP地址和端口�,選擇“用AD隔離用戶(hù)”如下圖所示;輸入用戶(hù)名和密碼�����,防止出錯(cuò)�,可選擇瀏覽進(jìn)行用戶(hù)選擇;用戶(hù)名格式為:domain\用戶(hù)名
確認(rèn)密碼�,F(xiàn)TP的AD下用戶(hù)隔離創(chuàng)建完畢,
切換到客戶(hù)端�����,輸入FTP服務(wù)器地址或IP地址�,右鍵選擇登錄如圖:
即可選擇不同的用戶(hù)登錄不同的文件夾!實(shí)現(xiàn)了FTP的AD隔離用戶(hù)的創(chuàng)建��。
同時(shí)可以對(duì)此ftp OU設(shè)置實(shí)施組策略�����,詳細(xì)設(shè)置其安全性���。
|
