义乌私立群星学校 梦回平阳QQ:68095911
4.1、需要实现Active Directory隔离用户的功能
我们先来做第一个实验。在做实验之前先看一下我们要实现的FTP功能。
注意:这里是使用用Active Directory隔离用户功能,其实整个过程与隔离用户差不多。 Dns建立别名记录qxdc01. qxdc.ad对应 FTP. qxdc.ad,主要用于客户端的访问。先在
4.2、用DNS创建别名ftp.qxdc.ad访问FTP的方法
DNS的qxdc.ad上右键单击,选择“新建别名”。出现下图所示界面,在“别名”中输入ftp,单击“浏览”,选中qxdc01并确定。再选中“正向查找区域”并确定。然后再选中“qxdc.ad”并确定。最后选中“qxdc01”并确定。就会将FTP. qxdc.ad域名定向到qxdc01. qxdc.ad上。如图4.21所示。
图4.21创建别名,方便客户端访问。
26
义乌私立群星学校 梦回平阳QQ:68095911
图4.22建立了ftp.qxdc.ad的别名。
4.3、在DC01上建立FTP的目录结构
A、在DC01上,以图4.31样式建立目录结构。
注意:FTP根目录(ad_ftp目录做为根目录)中新建对应FTP用户帐号名的主文件夹
(Home Directory),例如user01帐号对应u01文件夹,匿名访问对应Public文件夹,user02帐号对应u02文件夹。(在Active Directory隔离用户中用户名与文件夹不需要同名。)注意一定要在NTFS格式的分区上建立这些目录的。
图4.31 目录结构
B、我们分别在Public、U01、U02目录里建立PUB.txt、USER01.txt、USER02.txt文件。方便以后确认哪个用户访问哪个目录。
4.4、创建user01和user02用户
在DC01上建立需要的用户,可以参照“2.3、建立FTP用户”过程建立ftpadmin、USER01和USER02用户。如图4.41所示。注意这里的ftpadmin是做管理用的,这里可以随便设置的。当然有些教程里面给这个用户加了“委派控制”“读取所有用户信息”,其实在没有改变用户权限的情况下,是不需要给他这个权限的。
图4.41 AD建立需要的用户
27
义乌私立群星学校 梦回平阳QQ:68095911
4.5、按要求设置用户权限
按照实际的应用情况设置NTFS文件系统的访问控制列表(ACLs)。 在本例中没有对控制的要求,所以就不做专本示例。如果有需要,可以参考前面的内容。 4.6、建立AD隔离用户FTP并进行相关设置
接下来我们就去安装IIS的ftp ,创建一个新的FTP,不要说还不会安装IIS的FTP哦。如果真的不会,就看前面的内容吧。安装好后就按下面的过程来操作吧。 在DC01上打开IIS管理控制台。
A、在运行窗口输入inetmgr打开IIS管理控制台,然后新建FTP服务器站点。 B、在新建站点向导中填写站点名称和IP地址以及端口。
C、在新建站点向导中选择配置模式为隔离用户模式,如图4.61所示。
图4.61 配置FTP用户模式
D、在新建站点向导中配置FTP用户隔离。可以看到“用户名,密码,输入默认Active Directory 域”,在“用户名”这里点 浏览 找到ftpadmin ,在输入密码,然后到“输入默认Active Directory 域”也点“浏览”来找,然后下一步就要我们在输入密码。在点击完成。如图4.62所示。
图4.62 配置FTP站点主目录
E、在新建站点向导中配置FTP站点的权限,如图4.63所示。FTP站点允许用户进行文件读写操作。到这里FTP就架设好了。
28
义乌私立群星学校 梦回平阳QQ:68095911
图4.63 站点访问权限设置
F、大家会说怎么没有设置根目录?那么下面就来设置用户对应的目录,在设置之前先要注册IISFTP这个脚本了。在CMD窗口里输入IISFTP,就会出现下图的提示。如图4.64所示。
如图4.64
到这里IISFTP的脚本就注册成功了,下面有两种方法来设置用户帐户对应的目录,一种是用命令方式,另一种是用WINDOWS的工具,下面我们先用命令方式来操作吧。其实在这里我就是喜欢用命令方式,用工具方式操作,很难找到需要的位置。
下面是命令说明:在Active Directory数据库中用二个属性用来支持隔离用户分别是FTPRoot(值为FTP根目录)、FTPDir(值为用户的FTP主目录)。
iisFTP /Setadprop 用户名 FTProot D:\\ad_FTP 用户的根目录
iisFTP /setadprop 用户名 FTPdir 目录名 用户对应的主目录名 参照下图对USER01和USER02用户进行根目录和主目录的设置。如图4.65所示
29
义乌私立群星学校 梦回平阳QQ:68095911
图4.65配置用户的根目录和主目录
补充:
注意:可以在其他PC上使用以下命令对域的FTP站点的用户进行配置。
iisftp /setADProp user02 ftproot d:\\ad_ftp /s 192.168.101.51 /u qxdc01\\Administrator /p abc.123
域上的用户 根目录 域的IP也可以写计算机名 域上的管理员权限用户和密码 iisftp /setADProp user02 ftpdir u02 /s 192.168.101.51 /u qxdc01\\Administrator /p abc.123
域上的用户 主目录 域的IP也可以写计算机名 域上的管理员权限用户和密码 可以使用以下命令查看设置是否成功。
IISFTP /GetAdprop user01 FTPdir IISFTP /GetAdprop user01 FTProot
G、到了这里就设置好了,USER01登陆时,就会锁定在U01目录里;USER02登陆时,就会锁定在U02目录里。如图4.66所示。
30