IIS 6 FTP服務(wù)多用戶配置

江蘇警官學(xué)院 郭亞鋒

IIS 6管理控制臺中并沒有顯式的FTP用戶管理界面，這導(dǎo)致網(wǎng)管們更愿意使用諸如Serv-U一類具有強大圖形管理界面的FTP服務(wù)器軟件。然而，在很多情況下安裝Serv-U軟件需要更多的安全性維護，在需求能夠滿足的情況下，使用IIS自帶的FTP服務(wù)器是更好的選擇方案。

IIS6將FTP服務(wù)器分為“不分隔用戶”（Do Not Isolate Users Mode）、“隔離用戶”（Isolate Users Mode）和“用Active Directory隔離用戶”（Isolate Users Using Active Directory Mode）。

“不分隔用戶”模式主要是為了兼容IIS原有的工作機制，雖然使用簡單，但是可能存在安全問題，并且多用戶的管理比較麻煩。“隔離用戶”模式和“用Active Directory隔離用戶”是在IIS6以后提出的新型FTP用戶管理機制，分別可以使用本地用戶和Active Directory域用戶分配FTP服務(wù)。

“隔離用戶”模式中的FTP用戶可以使用本地用戶賬戶，因此在不使用域管理的環(huán)境中使用，而“用Active Directory隔離用戶”是將FTP用戶管理和域用戶管理集成在一起，通過域?qū)ο蠊芾砜梢苑奖愕匦薷挠脩羲鶕碛械腇TP資源，便于建設(shè)一個“可控可伸縮”的資源共享網(wǎng)絡(luò)。

隔離用戶模式配置

隔離用戶模式由于不需要維護域環(huán)境，因此在大多數(shù)的簡單網(wǎng)絡(luò)應(yīng)用中非常有用。配置用戶模式FTP服務(wù)器可以使用以下步驟：

（1）在運行窗口中輸入inetmgr打開IIS管理控制臺，新建FTP服務(wù)器站點。

（2）在新建站點向?qū)е刑顚懻军c名稱和IP地址及端口。

（3）在新建站點向?qū)е羞x擇配置模式為隔離用戶模式（如圖1所示）。

（4）在新建站點向?qū)е信渲肍TP根目錄。

（5）在新建站點向?qū)е信渲肍TP站點的權(quán)限，如圖2所示，F(xiàn)TP站點允許用戶進行文件讀寫操作。

（6）在運行窗口輸入lusrmgr.msc打開本地用戶管理界面，增加FTP用戶。

（7）在第4步配置的FTP根目錄中新建LocalUser文件夾。

（8）在LocalUser文件夾中新建對應(yīng)賬號FTP的主文件夾（Home Directory），例如Administrator賬號對應(yīng)LocalUser\Administrator文 件 夾，匿 名 訪 問 對 應(yīng)LocalUser\Public文件夾（如圖3所示）。

（9）按照實際的應(yīng)用情況設(shè)置NTFS文件系統(tǒng)的訪問控制列表（ACLs）。

注意

用戶名需要和用戶的主文件夾名稱一致，否則用戶將不能連接。由于使用了用戶隔離模式，因此用戶經(jīng)過登錄后僅能訪問用戶的主文件夾。在NTFS文件系統(tǒng)下需要執(zhí)行步驟9 進行訪問控制的設(shè)置，如果還需要訪問除用戶主文件夾外的空間，可以通過添加虛目錄的方式，但這時必須通過NTFS文件系統(tǒng)的訪問控制列表進行限制。

實際上，“不隔離”用戶模式也能實現(xiàn)FTP服務(wù)器多用戶的添加和管理，不過由于不進行用戶目錄隔離，就必須進行更加復(fù)雜的NTFS文件系統(tǒng)配置，確保用戶僅能訪問自己的主文件目錄，并且每個用戶均需要新建一個和用戶名同名的虛目錄作為用戶主目錄。

Active Directory隔離用戶模式配置

Active Directory隔離用戶模式是三種模式中最具有彈性的一種FTP應(yīng)用模式，主要是由于決定用戶資源位置的兩個參數(shù)是FTP服務(wù)動態(tài)從Active Directory User對象的兩個擴展屬性中獲得的，即msIIS-FTPRoot和msIIS-FTPDir。FTP服務(wù)默認每隔10 分鐘緩存一次從Active Directory域獲得的相關(guān)用戶信息，因此可以方便調(diào)整實際用戶FTP的主目錄的位置，特別是在ISP環(huán)境中可以更靈活地和網(wǎng)絡(luò)負載均衡服務(wù)器進行集成應(yīng)用。

Active Directory隔離用戶模式的配置主要涉及以下三個主要部分：

（1）配置文件服務(wù)器；

（2）配置Active Directory域；

（3）新建并配置隔離模式的FTP站點。

Active Directory隔離模式雖然具有強大的可控性，但是由于需要和文件服務(wù)器及Active Directory域進行協(xié)同配置，所以配置比較復(fù)雜，本文在此不再詳述。

在以上三種模式的FTP服務(wù)器的配置中，使用“用戶隔離”模式的FTP基本上能滿足一般IIS Web網(wǎng)站的FTP管理功能，因此在簡單Web管理中使用IIS自帶的FTP完全能夠滿足一般的管理需要。此外，由于IIS FTP服務(wù)器的各項配置均可以通過編寫WHS腳本進行配置，網(wǎng)管就可以定制出適合自己應(yīng)用的FTP服務(wù)器，這是Serv-U等Windows下的FTP服務(wù)器軟件所不具有的強大功能。