Windows Server 2003 的 FTP 功能其實還不錯,由其隔離模式的應用真的是很棒呢 ^^
只是國內的網站一般都介紹比較少,且市面上的書籍也鮮少提到「使用AD帳戶隔離模式的FTP」實在是一大遺憾
這篇教學文章花了一段時間至微軟的KB與國外網站收集資訊並實際架設環境進行實驗,請各位多多捧場 ^^b
P.S 版權無限制,文章只要註明出處歡迎隨意使用
Windows 2003 FTP 各模式說明 |
不隔離使用者 隔離使用者 AD隔離使用者 |
標準設置法–非隔離模式 |
使用非隔離模式的時機
新增非隔離模式的 FTP 十分容易,基本上只要填寫資訊正確之後,指定 FTP 主目錄就完成了。下面的會擷取重要設定的部份說明,照著步驟一起來您也可以馬上建置好一個 FTP 站台。 |
說明是讓管理者辨識的一個資訊,當你擁有多個 FTP 站台的時候說明是一個重要的辨識指標。
|
IP 與連接埠是當你有多個站台時需小心設定的項目,一般系統預設都為 21,也可以指定自己的連接埠與 IP 。 |
選擇的模式是一個決定認證方式的關鍵,這裡先就第一項說明其餘項目後面會說明之。 |
指定 FTP Server 的主目錄 (ftproot) |
如果 FTP 是想讓用戶上傳檔案的話,請記得溝選「寫入」的權限,上傳才不會有錯誤訊息。 |
進階設置法–使用者隔離模式 |
使用隔離模式的時機
隔離模式 FTP 的設置其實與前一章節所提到的非隔離模式設定法可以說是一模一樣,最主要的差別在於「使用者目錄」的設置與規劃。目錄規劃得宜,相信此模式會帶給你很大的助益。 |
這裡選擇的是「隔離使用者」,接下來下一步之後,一樣是選擇站台的跟目錄以及是否提供寫入的權限,由於設定法與非隔離模式一樣,這裡就先省略。 |
假設這裡設定的 ftproot 為 D:\@ftproot ,在此目錄下面必須在新增一個名稱為 “LocalUser” 的資料夾,資料夾下則需要建立各使用者的資料夾,當使用者登入時將會動的被導向至該資料夾(請參閱下圖的結構) |
進階設置法–AD使用者隔離模式 |
使用 AD 隔離模式的時機: 針對各帳戶的權限控管 |
這裡選擇的是「用Active Directory來隔離使用者」,選擇好之後請按下一步。 |
輸入要存取 AD 的帳戶資訊,建議建立一個低權限的新帳號以讓帳號單純的擁有讀取 AD 的權限即可(Guest權限) |
如果 FTP 是想讓用戶上傳檔案的話,請記得溝選「寫入」的權限,上傳才不會有錯誤訊息。
|
接下來是很重要的設置了,AD隔離模式的主要目錄與使用者目錄設定都必須依靠 Script 或是 ADSI 進行處理,其中要設定的是 FTPRoot 與 FTPDir 的設定。假設現在要設定 tigerlin 這個帳戶的登入目錄,語法為: 設定 ftproot 所在路徑: 建議可以寫成一個批次檔,當要加入使用者的時候直接執行即可設定好此登入資訊。以上設置好了之後,後面就要針對每個使用者的目錄設定權限,這一部份就不包含於此說明了,有興趣可以到微軟的 KB 找找看。 下圖為 AD 隔離模式設定後的資料夾結構,跟目錄必須開分享才能被指定,下面則放置 AD 帳戶的資料夾,這樣即可成功的登入了。剩下的上傳與建立目錄的設定就交由各位自行設定,祝各位順利 ^^
|
附錄 A – 如何測試 FTP 站台 |
快速測試 FTP 站台是否有架設完成其實不用安裝特定的 FTP 軟體,Windows 內建的工具其實就綽綽有餘了。 請依照 [開始]=>[執行]=> [ftp ServerAddress] 連線成功後會出現輸入 UserID 與 PW 的訊息,輸入之後可成功登入及代表架設的ftp已經可以運作了!下圖為登入成功的範例。
|
附錄 B – ADSI的使用法 |
請依照順序 [開始]=>[執行]並輸入 [adsiedit.msc] 展開之後,對欲修改的項目按下滑鼠右鍵 => 內容,並選取如圖中的
|
附錄 C – 密技!隔離模式下的虛擬目錄設定 |
非隔離模式可以快速設定虛擬目錄,但是在隔離模式下設定虛擬目錄其實也不難。 先在站台下設定一個虛擬目錄,名稱自取並且將路徑設定到指定的目錄。 這一個技巧是利用了 IIS 的路徑解析原理來達成的,且虛擬目錄可針對每一用戶來作開放。這裡還是要提醒一下,注意權限的設置才能達到最完整的安全 |