创建“用Active Directory隔离用户”的FTP站点

创建“用 Active Directory 隔离用户”的 FTP 站点

理论知识就不在过多介绍了，拓扑图和上次实验一致，如图所示：

一、创建用户主目录

必须为每一个需要链接到“用Active Directory隔离用户”的FTP站点的域用户，分别创建一个专用的用户主目录，这个主目录也可以被创建在其他计算机中的共享文件夹内。此实验我们把用户主目录创建在Florence上如图所示：

将用户的主目录共享出来，允许“domain users”组内的用户修改

二、在 Active Directory 数据库中设置用户的主目录

Windows Server 2003 域的Active Directory数据库，其用户账户内有两个来支持“用Active Directory隔离用户”的FTP站点的属性：分别是FTPRoot与FTPDir。

可以利用一下两种方法，来设置用户的FTPRoot与FTPDir属性：

1、运行“iisftp.exe”程序，如图所示：

Iisftp /setadprop user1 ftproot \\florence\ftproot\isa------ 设置FTPRoot的网络路径

Iisftp /setadprop user1 ftpdir user1------设置FTPDir相对文件夹路径

2、利用“ADSI编辑器”请先安装“windows support tools”，载入windows Server 2003安装光盘，安装SUPPORT\TOOLS\SUPTOOLS.MSI程序。

安装完成后，打开运行-----输入“adsiedit.msc”运行“ADSI编辑器”

依次展开Domain------DC=isa，DC=com------CN=user右键用户属性

编辑msiis-ftpdir与msiis-ftproot这两个属性

三、创建一个让FTP站点可以读取用户属性的域用户账户

FTP站点必须能够读区位于Active Directory内的域用户账户的FTPRoot与FTPDir两个属性，才能够得知该用户主目录的位置，因此必须事先为FTP站点创建一个有权限读取这两个属性的域用户账户备用。可以将这个用户账户创建到Active Directory内的任何一个区内，如图所示：

假设要让“user”内的用户都可以链接到此“用Active Directory隔离用户”的FTP站点，因此我们必须让yangxuejun有权限读取“user”内所有用户的FTPRoot与FTPDir两个属性，其设置的步骤如下：（当然实际工作并非这样，这里我们只是做实验）

点击“下一步”

点击“添加”选择用户yangxuejun

勾选“读取所有用户信息”

点击完成

四、创建“用Active Directory隔离用户”的FTP站点

打开IIS管理器，新建FTP站点

点击“下一步”

描述FTP站点

选择FTP站点使用的IP及端口

勾选“用Active Directory隔离用户”

选择用来读取Active Directory的用户账户ISA\yangxuejun，并输入密码，FTP站点会利用此账户来读取登录者的FTPRoot与FTPDir属性。用户登录到FTP站点时，若未输入域名称，则将其送到图中默认域的域控制器上来检查用户身份。

设置FTP站点的访问权限，若要开放用户来修改其专用主目录内的文件，则勾选“写入”复选框

点击“完成”，FTP站点创建成功。

五、测试

打开浏览器输入：ftp://user1@denver

输入user1的用户名和密码

如图所示：登录成功