Мы используем Windows Server 2008 с Active Directory, контролирующим доступ к общему сетевому ресурсу. Мы настроили FTP, чтобы люди могли получить доступ к этому общему ресурсу извне (мы использовали PPTP VPN, но по разным причинам нам нужно переключиться на FTP). Вот что нам удалось реализовать на FTP:
-The сетевой ресурс используется как корень FTP (определяется как UNC), и он работает нормально.
-Аутентификация AD работает нормально (неправильный пароль, и вы остаетесь вне, хороший пароль вы ввели, управление паролями в AD правильно синхронизировано с FTP).
-Разрешения AD не работают: разрешения AD на содержимое корня FTP игнорируются: либо пользователь имеет доступ только для чтения или записи, но это относится ко всему корню FTP, что, очевидно, не подходит, поскольку этот корень FTP изначально является нашим сетевым ресурсом и файлами Папки / имеют разные разрешения AD в зависимости от групп людей ...
Независимо от того, устанавливаем ли мы разрешения через общий ресурс ИЛИ через интерфейс управления FTP, разрешения AD никогда не применяются.
Q1: Это нормально?
Q2: Если да, то какие существуют решения для объединения разрешений AD с FTP на сервере MS 2008?
Q3: Если нет, где мне искать, чтобы исправить конфигурацию?
1-е обновление:
После ответа MarkM я сделал следующее:
-Установите разрешения NTFS для общего ресурса (который также является корнем FTP) на List folder contents для Domain users
-Установить FTP Authorization Rules к Specified roles or user groupsзнак равноDomain Users с участием Permissionsзнак равноRead (перед write был также включен, поэтому разрешения NTFS, вероятно, были перезаписаны).
Затем я создал 3 папки со следующими разрешениями NTFS:
-folderA: наследуемое, больше ничего
-папкаB: не наследуется, Full control к Domain users
-папкаC: не наследуется, нет разрешений для Domain users
Через FTP разрешения на чтение NTFS применяются правильно, однако разрешения на запись нет:
-folderA: может видеть папку, может открыть ее и загрузить содержимое, не может загрузить в нее
-папкаB: может видеть папку, может открыть ее и загрузить ее содержимое, не может загрузить в нее (NTFS write разрешение НЕ применяется) -папкаC: даже папку не видно (NTFS read разрешение принудительно принудительно)
Q4: Какие еще настройки мне следует посмотреть?
Q1
Нет, это ненормально, если в IIS не включен анонимный FTP-доступ. Если вы отключите это, доступ будет оцениваться на основе списков ACL NTFS и ACL общего доступа SMB. Лучшие практики должны дать Everyone Полный доступ к спискам ACL общего доступа и контроль доступа через разрешения NTFS. Я думаю, это может быть то, что тебя сбивает с толку. Скорее всего, ваши разрешения NTFS дают Users (или какая-то другая широко населенная группа) R / W в корне общего ресурса. Рассмотрите возможность просто дать им Traverse Directory и List Folder Contents вместо. FTP (и все остальное, кроме SMB) игнорирует общие ACL. Трижды проверьте списки ACL NTFS и убедитесь, что они в порядке.
2 квартал
Это изначально поддерживается
3 квартал
См. Ответы выше.