Windows2003下隔离用户的FTP服务配置

洪新建 洪新华

（湖南生物机电职业技术学院信息技术系 湖南 410127）

1 FTP含义

FTP即为文件传输协议，同时也是TCP/IP网络中的一个重要的实时的联机服务，Internet用户和局域网内部可以通过FTP实现计算机之间的文件传输，且FTP可以传送多种类型的文件，如图像、声音、压缩文件、Word文件等。

2 问题提出

日常生活中，FTP服务能给用户带来很大的方便，不论是在局域网内部还是在Internet，都能实现主机之间的文件传输，而且适应于大容量文件的传输，FTP服务一般要结合用户及密码实现，但是如果没有对用户的权限进行控制，将会存在很大的安全隐患，如上传的文件被别的用户删除、修改、抄袭等情况。因此，如何为不同的用户指定专属文件夹进行文件上传下载操作，上述问题便能得到解决。

3 问题解决过程

针对上面提出的问题，可以使用FTP服务的特定功能——隔离用户模式的FTP服务。Windows Server 2003系统包含的FTP组件具有隔离用户功能，FTP站点配置成隔离用户模式后可以使用户成功登录到属于自己的目录中，不具备查看或修改其他用户目录的功能。Windows Server 2003系统下，隔离用户模式的FTP站点对目录名称和结构有一定的要求：首先必须在NTFS分区中创建FTP站点的主目录，然后在主目录中创建一个名为LocalUser的子目录，最后在LocalUser文件夹下创建和用户名称相一致的子文件夹和一个名为Public的子文件夹。要实现隔离用户模式的FTP站点，需要在FTP服务器中创建多个用户帐号，这些用户帐号将用于登录FTP站点。创建隔离用户模式FTP站点的具体过程如下：

（1）通过IIS创建FTP站点。

在IIS下，右键单击FTP站点，点击“新建”→“FTP站点”，按照向导完成设置，在设置过程中有一点要强调的是选择“隔离用户”模式。如图1所示。

图1 FTP用户隔离模式选择

（2）创建Windows用户和组。现以三个用户为例，TOM、JACK、SALLY，三个用户均可以在“管理工具”→“计算机管理”→“本地用户和组”下创建。如图2所示。

图2 Windows用户和组创建

（3）设置FTP站点的主目录。隔离用户模式的FTP站点主目录一定要设置在NTFS格式的分区内。如D：myftp。假设现在要对上述三个用户提供服务，需要在主目录下创建LocalUser子目录，然后再在 LocalUser子目录下创建三个子目录，分别为TOM、JACK、SALLY，注意子目录名称要和用户名相同（如果需要提供匿名访问，可以创建public子目录）。如图3所示。

图3 FTP站点目录创建

（4）取消FTP站点“允许匿名访问”的功能。鼠标右键单击第一步中创建的FTP站点，点击“属性”→“安全帐户”，将“允许匿名访问”前面的勾去掉，这样，在登录 FTP服务器时，必须输入用户的帐号和密码。

（5）设置文件夹的访问权限

在登录FTP服务器时，如果用户名与主目录中的LocalUser下的子目录名不同，则登录进去的用户看到的是整个主目录下的内容，也就是说可以浏览所有的子目录。因此，必须对主目录下的子目录设置访问许可，限制非授权用户的访问。在windows2003下，文件夹的访问许可分为读取、写入、修改、读取和运行、列出文件夹目录、完全控制几种类型。可以将每个子目录只针对专属用户设置成“完全控制”。例如将JACK子文件夹针对JACK用户设置“完全控制”权限，方法为：鼠标右键单击JACK子文件夹，在弹出的菜单中选择“属性”，在属性选项中针对JACK用户完成“完全控制”权限设置。设置好以后，其他用户无法访问JACK子文件夹，以保证用户专属文件夹的安全。

至此，所有配置完成。JACK、TOM、SALLY三个用户通过 FTP都只能操作自己的目录，包括文件的上传、下载、修改等。

4 结论

隔离用户模式的FTP服务配置相比普通FTP服务要复杂一些，但是配置过程并不麻烦，且可以广泛应用到日常生活中，如学校要求学生通过网络提交作业或其它材料，要保证学生作业的提交，又要防止相互拷贝。隔离用户模式的 FTP服务是最佳选择，既实现了文件的传输，又解决了很大一部分安全隐患。

[1]罗忠.在Windows Server 2003中配置隔离用户FTP服务器[J].计算机光盘软件与应用2013（15）

[2]陈景亮.网络操作系统——Windows Server 2003配置与管理[M].北京：人民邮电出版社.2011

[3]石志国.计算机网络安全教程[M].北京：清华大学出版社.

[4]龚涛.网络操作系统——基于Windows Server 2003[M].机械工业出版社.2010