域环境下搭建FTP用户隔离

为了方便大家使用，所建立的FTP站点不仅允许匿名用户访问，而且对主目录启用了“读取”和“写入”的权限。

这样一来任何人都可以没有约束地任意读写，难免出现一团糟的情况。

如果您使用IIS 6.0，只需创建一个…用户隔离‟的FTP站点就可以有效解决此问题。

“隔离用户”是IIS 6．0中包含的FTP组件的一项新增功能。

配置成“用户隔离”模式的FTP站点可以使用户登录后直接进入属于该用户的目录中，且该用户不能查看或修改其他用户的目录。

创建用户账户首先在FTP站点所在的Windows Server 2003服务器中为FTP用户创建了一些用户账户，以便他们使用这些账户登录FTP站点。

操作步骤如下所述：第1步在桌面上用鼠标右键单击“我的电脑”，在弹出的快捷菜单中执行“管理”命令。

第2步打开“计算机管理”窗口，在左窗格中展开“本地用户和组”目录。

然后用鼠标右键单击所展开目录中的“用户”文件夹，在弹出的快捷菜单中执行“新用户”命令，打开“新用户”对话框。

第3步在相关编辑框中键入用户名（如“xiaowei”）和密码，取消“用户下次登录时须更该密码”选项并勾选“用户不能更该密码”和“密码永不过期”两项，最后单击“创建”按钮（如图1）。

图1 创建用户账户第4步这时会弹出下一个“新用户”对话框，根据需要添加若干个用户。

创建完毕后单击“关闭”按钮即可。

规划目录结构创建了一些用户账户后，开始了另一项关键性操作：规划文件夹结构（说白了就是创建一些文件夹）。

为什么说创建文件夹的操作很关键呢，这是因为创建“用户隔离”模式的FTP站点对文件夹的名称和结构有一定的要求。

首先必须在NTFS分区中创建一个文件夹作为FTP站点的主目录（如“CceFTP”），然后在“CceFTP”文件夹下创建一个名为“LocalUser”的子文件夹，最后在“LocalUser”文件夹下创建若干个跟用户账户一一对应的个人文件夹。

另外，如果想允许用户使用匿名方式登录“用户隔离”模式的FTP站点，则必须在“LocalUser”文件夹下面创建一个名为“Public”的文件夹。

首先创建2个用户ftp1,ftp2
再创建主目录FTP，其下创建LocalUser(必须为此名)，再其下窗3个文件夹分别为f的用户名一致)
编辑
进去后删掉允许所有用户，添加指定用户
ftp2同样道理
不隔离用户即同一服务器上的不同用户可以访问或修改其他用户上传的内容，适合单人使用服务器的情况。
隔离用户即同一服务器上的不同用户只能访问或修改自己上传的内容，适合公司多人使用服务器的情况。
为了防止普通用户通过匿名账号访问ftp,所以需要限制匿名账号，只让特定用户访问
特点：文件不能直接放进根目录
创建几个用作测试的用户，创建一个名为FTP的主目录，在主目录中创建一个名为LocalUser的子目录，再在LocalUser下创建和用户账户名称一致的文件夹(如果还需要匿名访问，则需要在LocalUser下创建public文件夹，匿名账号只能访问到public文件夹

第四章实验报告实验任务： (2)一、IIS-ftp搭建匿名访问站点 (2)1．只匿名访问站点 (2)2．虚拟目录的授权访问 (2)二、serv-U匿名站点的搭建，要求设置如下内容： (2)1．用一个IP限制2个进程 (2)2．最大上传为200K，最大下载为100K (2)3．配额为5M (2)三、serv-U 授权访问ftp站点 (2)四、ser-U 远程管理 (2)五、ftp工作组隔离 (2)六、ftp域隔离 (2)实验要求： (2)1．完成以上实验配置 (2)2．要求截图 (2)实验操作过程： (2)一、IIS-ftp搭建匿名访问站点 (2)1．只匿名访问站点 (2)2．虚拟目录的授权访问 (7)二、serv-U匿名站点的搭建 (10)1．安装serv-U软件， (10)2．新建域 (11)3．新建匿名用户 (12)4．Anonymous用户的基本设置 (13)5．DNS设置 (15)6．客户机上验证 (16)三、serv-U 授权访问ftp站点 (17)1．新建用户 (17)2．授权用户登录验证 (17)四、serv-U 远程管理 (18)1．安装serv-U软件 (18)2．设置有权限的帐户 (19)3．验证 (20)五、ftp工作组隔离 (21)实验环境： (21)1．安装ftp服务 (21)2．新建用户账户 (22)3．建立ftp站点主目录 (22)4．新建ftp站点 (24)5．客户端验证 (25)六、ftp域隔离 (27)实验环境： (27)1．安装ftp服务 (27)2．新建域用户 (27)3．建立用户ftp站点主目录 (28)4．安装ADSI EDIT工具 (28)5．设置用户站点主目录 (29)6．新建ftp站点 (31)7．客户端验证 (33)实验任务：一、IIS-ftp搭建匿名访问站点1．只匿名访问站点2．虚拟目录的授权访问二、serv-U匿名站点的搭建，要求设置如下内容：1．用一个IP限制2个进程2．最大上传为200K，最大下载为100K3．配额为5M三、serv-U 授权访问ftp站点四、ser-U 远程管理五、ftp工作组隔离六、ftp域隔离实验要求：1．完成以上实验配置2．要求截图实验操作过程：一、IIS-ftp搭建匿名访问站点操作步骤：1．只匿名访问站点网上邻居属性→高级→可选网络组件→应用程序服务器→internet信息服务（IIS）→文件传输协议（ftp）服务，如图1-1所示：图1-1 新建ftp站点，如图1-2所示地：图1-2IP地址程端口设置，如图1-3所示：图1-3 FTP用户隔离设置，如图1-4所示：图1-4 设置主目录，如图1-5所示：图1-5 目录访问权限设置，如图1-6所示：图1-6 只匿名访问站点的值，如图1-7所示：图1-7 验证匿名访问站点成功，如图1-8所示：图1-8验证用administrator访问站点，不能访问，如图1-9所示：图1-92．虚拟目录的授权访问新建虚拟主目录，别名为“vr”，如图1-10所示：图1-10虚拟目录路径设置，如图1-11所示：图1-11虚拟目录访问权限设置，如图1-12所示：图1-12设置虚拟主目录的NTFS权限为只administrator访问，如图1-13所示：图1-13 验证，使用匿名访问不成功，如图1-14所示：图1-14验证，使用administrator帐户登录虚拟目录，如图1-15所示：图1-15二、serv-U匿名站点的搭建操作步骤：1．安装serv-U软件，安装serv-U软件进入工作界面，如图2-1所示：图2-12．新建域新建域，输入本机IP地址，如图2-2所示：图2-2输入域名，端口号和存储类型均选择，如图2-3所示：图2-3 3．新建匿名用户新建匿名用户anonymous，如图2-4所示：图2-4 设置匿名用户主目录，如图2-5所示：图2-5选择锁定主目录，完成匿名用户设置，如图2-6所示：图2-6 4．Anonymous用户的基本设置设置同一IP地址的连接数，如图2-7所示：图2-7 设置文件和目录的权限，如图2-8所示：图2-8将匿名用户的配额设置为5M，如图2-9所示：图2-95．DNS设置新建区域，同时新建军主机ftp，IP地址为本机192168.0.1，如图2-10所示：图2-106．客户机上验证使用匿名访问站点，如图2-11所示：图2-11 验证同时连接数，如图2-12所示：图2-12 磁盘配额验证，如图2-13所示：图2-13三、serv-U 授权访问ftp站点操作步骤：1．新建用户按照建立匿名用户的方法，在域中新建用户jolin，并相关设置，如图3-1所示：图3-12．授权用户登录验证使用jolin用户在客户机上登录，如图3-2所示：图3-2四、serv-U 远程管理操作步骤：1．安装serv-U软件在一台客户机上安装serv-U软件，如图4-1所示：2．设置有权限的帐户在serv-U服务器上设置jolin帐户的特别权限为系统管理员，如图4-2所示：图4-2新建服务器→输入远程管理的IP地址192.168.0.1，如图4-3所示：端口选择默认→输入站点域名→输入有仅限的用户（jolin），如图4-4所示：图4-43．验证Serv-U远程管理完成安装后，如图4-5所示：图4-5五、ftp工作组隔离实验环境：1．工作组模式操作步骤：1．安装ftp服务安装ftp服务，如图5-1所示：图5-12．新建用户账户在工作组模式下新建两个用户用做测试，如图5-2所示：图5-23．建立ftp站点主目录在C：盘根目录下新建名为“shadow”文件夹，如图5-3所示：图5-3在名为“shadow”的文件夹中新建名为“localuser”文件夹，如图5-4所示：图5-4在“shadow”文件夹下面新建两个以用户帐户命名的文件夹，（candy和jolin），如图5-5所示：图5-54．新建ftp站点新建ftp站点→站点描述（shadow）→IP地址和端口（默认设置）→选择“隔离用户”，如图5-6所示：图5-6设置主目录，如图5-7所示：图5-7 设置目录访问权限，如图5-8所示：图5-8 5．客户端验证Jolin用户验证，如图5-9所示：图5-9 candy用户验证，如图5-10所示图5-10六、ftp域隔离实验环境：1．域模式操作步骤：1．安装ftp服务~~略~~2．新建域用户新建域用户aa、bb、test，如图6-1所示：图6-1设置test用户的委派权限为“读取所有用户记录”，如图6-2所示：图6-23．建立用户ftp站点主目录在C：盘根目录下新建名为“file”文件夹，如图5-3所示：图6-3在file文件夹目录下新建以域用户帐户命名的文件夹（aa、bb），如图6-4所示：图6-44．安装ADSI EDIT工具安装windows 2003安装光盘中\SUPPORT\TOOLS\目录下的SUPTOOLSt.MSI工具，如图6-5所示：图6-55．设置用户站点主目录开始→运行adsiedit.msc打开ADSI EDIT控制台，如图6-6所示：图6-6选中Domain下的CN=user，如图6-7所示：图6-7右击主体框中的CN=aa属性，找到“mslls-FTPDIR”，将其值设置为用户“aa”，如图6-8所示：图6-8在属性框中找到“mslls-FTPROOT”，将其值设置为用户“aa”的FTP根目录（E:\file），如图6-9所示：图6-9将“bb”用户进行同样的设置。

用IIS建立FTP服务器用IIS建立FTP服务器不是非常复杂，操作起来比较简单，类似于用IIS建立网站，其中涉及的虚拟目录等概念和网站中的虚拟目录一致。

第一步：通过任务栏的“开始->所有程序->管理工具”，再其下找到Internet信息服务（IIS）管理器，打开管理器后会发现在最下方有一个“FTP站点”的选项，我们就是通过它来建立FTP服务器。

（如下图）第二步：默认情况下FTP站点有一个默认FTP站点，我们只要把资源放到系统目录下的inetpub目录中的FTPROOT文件夹即可。

例如系统在F盘，只要将分享的资源放到f:\inetpub\ftproot目录中就可以了，用户登录默认FTP站点时将会看到放到该目录中的资源。

第三步：如果我们不想使用默认设置和默认路径的话可以进行修改，方法是在“默认FTP站点”上点鼠标右键选择“新建－>FTP站点”。

（如下图）第四步：在启动的FTP站点创建向导中我们可以自定义FTP服务器的相关设置，点“下一步”后继续。

（如下图）第五步：为FTP站点起一个名，这里设置为soft的FTP。

（如下图）第六步：为此FTP站点设置一个可用的IP地址，选择实际的地址是可以的，如果拿不准的话还可以选择“全部未分配”，这样系统将会使用所有有效的IP地址做为FTP服务器的地址。

同时FTP服务器对外开放服务的端口是多少也是在此进行设置的，默认情况下为21。

（如下图）第七步：接下来是FTP用户隔离设置，这里的中文帮助信息写的非常明白，选择不隔离用户那么用户可以访问其他用户的FTP主目录，选择隔离用户则用户之间是无法互相访问目录资源的，为了安全起见需要隔离用户，应该选择第二项“隔离用户”。

（如下图）第八步：选择FTP站点的主目录，可以进行修改，默认为系统目录下的inetpub目录中的FTPROOT文件夹。

通过右边的“浏览”按钮设置为其他目录，例如“D:\稿件”。

（如下图）第九步：然后是设置用户访问权限，只有两种权限进行设置，依次为“读取”和“写入”，我们根据实际进行设定即可。

基于ＩＩＳ６．０的用户隔离模式ＦＴＰ服务器的配置作者：王洪平来源：《硅谷》2009年第04期中图分类号：TP3文献标识码：A文章编号：1671－7597（2009）0220054－02提到FTP服务器，可能大家都会想到Serv-U、vs-FTP等软件，确实，Serv-U是一种被广泛运用的FTP服务器端软件，支持全Windows系列。

可以设定多个FTP服务器、限定登录用户的权限、登录主目录及空间大小等，功能非常完备。

它具有非常完备的安全特性，支持SSl FTP传输，支持在多个Serv-U和FTP客户端通过SSL加密连接保护您的数据安全等。

微软内置在IIS5中的FTP服务功能有限，但是在IIS6.0里的FTP服务已经够用了，结合NTFS权限以及磁盘限额能很好地实现多用户的多样化管理，获得不亚于Serv-U FTP服务器的功能。

一、FTP服务概述FTP(File Transfer Protocol)是文件传输协议，是TCP/IP模型应用层协议，是Internet上使用得最广泛的文件传送协议。

FTP服务是IIS5.0和IIS6.0中的一个组件，利用FTP服务可以实现最基本的文件传输功能。

如果用户要将一个文件从自己的计算机发送到FTP服务器上，称为FTP的上载(Upload)或上传。

更多的情况是用户从服务器上把文件或资源传送到客户机上，称为FTP的下载(Download)。

FTP提供交互式的访问，FTP的最大特点就在于它可在不同的操作系统间使用。

IIS的FTP Server充当文件传输的服务器端，允许客户从服务器下载或传输文件。

FTP服务器使用21作为默认的TCP端口。

二、安装FTP服务在Windows Server 2003中配置FTP服务器需要安装IIS6.0的FTP服务组件。

在Windows Server 2003中，默认状态下是没有安装IIS6.0的。

在Windows Server 2003中安装IIS6.0的步骤是：第1步：在“控制面板”中双击“添加或删除程序”图标，在打开的“添加或删除程序”对话框中单击“添加/删除Windows组件”按钮，打开“Windows组件向导”对话框。

FTP隔离
1.新建用户，为做出实验效果，设三个用户：
a、b、public。

2.在我的电脑一个盘中建一个文件夹比如叫FTP，在这里建一个子文件夹（规定）叫localuser
3.在在里面建三个文件夹分别命名为a、b、public（文件夹和用户名要统一）
4.把除匿名访问(public)文件夹之外的文件夹中的user都删掉（因为新建的用户默认都属于user组）然后再给每个用户设置相应的权限
5.打开iis管理器
6.新建站点---选ip地址，端口号选为默认的
7.选择隔离用户
8.路径浏览到你在盘中间的主文件夹就行了（这里浏览到“FTP文件夹”）
9.在这把读取写入权限都给它
10.完成后验证就行了。

1. Windows Server Core版本和其他版本相比有什么特点？答：Windows Server Core版本没有资源管理器，仅包含简单Console窗口和一些管理窗口，它的优点是高效、占用内存小，相对安全高效，类似于没有安装X-Windows的Linux，。

该版本具有以下特点：（1）减少维护：Server Core版本中仅安装了必不可少的DHCP、DNS以及活动目录等基本服务器角色，减少了维护系统所需的时间和精力。

（2）减少攻击面：Server Core是最小的安装动作，保证了更少的应用程序运行在服务器上。

（3）减轻管理：更少的应用程序和服务被安装在基于Server Core的服务器上，就使得管理方面的开销也大大降低。

（4）降低硬件需求。

2. Windows Server 2008有哪几个版本？各个版本安装前应注意哪些事项？答：windows server 2008在32位和64位平台中分别提供了一下几个版本：标准版、企业版、数据中心版、web服务器版和安腾版五个版本的网络操作系统；各个版本安装前应注意一下几个方面：（1）、选择合适的安装方式；（2）选择合适的文件系统；（3）、对硬盘进行适当的分区规划；（4）、注意是否使用多系统引导。

3.如何使用远程桌面连接远程计算机？答：具体步骤如下：（1）在单击“初始配置任务”窗口中“自定义自服务器”区域中“启用远程桌面”链接，在弹出的对话框中选中“允许运行任意版本远程桌面的计算机链接（较不安全）”按钮，弹出“远程桌面”对话框，单击确定按钮；（2）打开命令提示符输入“netstat-a查看是否打开3389端口。

（3）然后可以在客户端通过远程桌面访问服务器。

（4）在远程桌面连接窗口中，单击“选项”按钮，还可以进一步配置远程桌面连接。

（5）要结束与终端服务器的连接时，有两种不同的选择：断开和注销。

4. Windows Server2008中虚拟内存的设置应该注意什么？答：Windows Server2008中虚拟内存的设置应该注意以下几点：（1）建议将当前系统内存容量的1.5倍设置为页面文件的初始大小；（2）页面文件的最大值建议设置为最小值的2-3倍；（3）如果有多个物理磁盘，建议将虚拟内存放在不同的磁盘上。

第7章 Web与FTP服务器配置管理
7
7.2.1 安装Web与FTP服务器角色
选择“服务器管理器” “管理（M）” “添加角色和功能”选项，持 续单击“下一步（N）”按钮，直到出现“选择服务器角色”窗口时，勾选 “Web服务器（IIS）”复选框按钮，弹出“添加角色和功能向导”窗口。
第7章 Web与FTP服务器配置管理
随着互联网的不断发展和普及，Web服务早已经成为人们日 常生活中必不可少的组成部分，只要在浏览器的地址栏中输入一 个网址，即可进入网络世界，获得几乎所有想要的资源。Web服 务已经成为人们工作、学习、娱乐和社交等活动的重要工具，对 于绝大多数的普通用户而言，万维网（World Wide Web，WWW） 几乎就是Web服务的代名词。
1．FTP简介 2．FTP工作原理
第7章 Web与FTP服务器配置管理
6
7.2 技能实践
7.2.1 安装Web与FTP服务器角色 7.2.2 创建Web网站 7.2.3 创建多个Web网站 7.2.4 管理Web网站虚拟目录 7.2.5 创建和管理FTP站点 7.2.6 创建FTP虚拟目录 7.2.7 创建FTP虚拟主机 7.2.8 AD环境下实现FTP多用户隔离
（1）使用不同端口号架设多个Web网站。 （2）使用不同主机头名架设多个Web网站。 （3）使用不同IP地址架设多个Web网站 1．使用不同端口号架设多个Web网站 2．使用不同端口号架设多个Web网站 3．使用不同IP地址架设多个Web网站
第7章 Web与FTP服务器配置管理
10
7.2.4 管理Web网站虚拟目录
第7章 Web与FTP服务器配置管理
13
7.2.7 创建FTP虚拟主机
一个FTP站点是由一个IP地址和一个端口号唯一标识的，改变其 中任意一项均标识不同的FTP站点。但是在FTP服务器上，通过 “Internet Information Services(IIS)管理器”控制台只能控制创建一 个FTP站点。在实际应用环境中，有时需要一台服务器上创建两个不 同的FTP站点，这就涉及虚拟主机的问题。

《Windows Server 2003组网技术与实训》习题答案第1章Windows Server 2003规划与安装一、填空题1.Web版、标准版、企业版、数据中心版。

2. FAT、FAT32、NTFS、NTFS3. 每客户4. 128MB、2GB5. winnt32 /unattend[num]:[answer_file]二、简答题1. 简述Windows Server 2003各版本的特点。

（1）标准服务器标准服务器是为小型企业和部门使用而设计的，其可靠性、可伸缩性和安全性能满足小型局域网构建的要求，基本功能包括文件共享、打印共享和Internet共享等。

标准服务器支持最大4GB的内存，支持4路的对称多处理器，但是不支持服务器的集群。

（2）Web服务器Web服务器是专为用作Web服务器而构建的操作系统，主要目的是作为IIS 6.0服务器使用，用于生成并承载Web应用程序、Web页和XML Web服务。

虽然Web服务器可以作为Active Directory域的成员服务器，但Web服务器上却无法运行活动目录（Active Directory），也无法进行集群。

所谓集群是几台服务器共同负责原来一台服务器的工作。

集群可以提供负载平衡的能力，同时可以防止服务器单点故障的产生，也使网络更易于扩展。

通常Web服务器软件不单独销售，一般通过指定的合作伙伴获得。

Web服务器支持最大2GB 的内存，支持2路的对称多处理器（SMP）。

（3）企业服务器企业服务器是为满足大中型的企业需要而设计的，有32位和64位两个版本。

企业服务器除了包括标准服务器的全部功能外，还有更强大的功能，支持8路的对称多处理器。

32位和64位两个版本都支持64GB的内存，还支持服务器的集群。

企业服务器的高可靠性和高性能，使得它特别适合于企业的应用，例如Web服务器和数据库服务器等。

（4）数据中心（Data Center）服务器数据中心服务器是功能最强大的版本，是应企业需要运行大负载、关键性应用而设计的，具有非常强的可伸缩性、可用性和高度的可靠性，也有32位和64位两个版本。

一、FTP服务器的安装与测试Windows Server 2003的FTP服务集成在IIS（Internet Information Services）服务中。

采用默认安装IIS 服务并不会安装FTP服务。

（一）FTP服务的安装1. 选择“开始”→“控制面板”→“添加或删除程序”→“添加／删除Windows组件”，选取“应用程序服务器”后，单击“详细信息”按钮。

2. 选择“Internet 信息服务(IIS)”后，单击“详细信息”按钮。

3. 选择对话框中的“文件传输协议（FTP）服务后，单击“确定”按钮回到前一画面。

然后依次单击“确定”按钮和“下一步”按钮直至“完成”按钮。

安装完成后，可以用“IIS管理器”来管理FTP服务器，打开方式为“开始”→“管理工具”→“Internet 信息服务(IIS)管理器”。

展开“FTP站点”时，可以看到下面有一个“默认FTP站点”。

（二）FTP服务器的测试用两种方式可以测试FTP站点是否工作正常。

一是在命令行用ftp.exe程序，一是用IE浏览器。

下面分别介绍。

⏹用ftp.exe程序测试。

在测试主机启动命令行程序，然后输入：ftp 服务器的IP地址，如：ftp192.168.1.1。

如果服务器有域名也可以通过“ftp 主机域名”来访问。

当提示输入用户名时，可以用匿名账户来访问，即输入anonymous，提示输入密码时随便输入一个电子邮件帐号如***********（需要有@）即可。

断开连接输入bye。

⏹用IE浏览器测试。

在浏览器的地址栏输入“ftp://IP地址/”或“ftp://域名/”。

系统会自动用匿名账户来连接FTP服务器的默认站点。

由于目前默认站点内还没有文件，所以界面中看不到任何文件。

⏹如果无法连接FTP服务器，请通过IIS管理器检查默认FTP站点的状态是否为“正在运行”。

如果处于停止状态，则可以右击“默认站点”选择“启动”来开启FTP服务。

二、FTP服务器的基本配置（一）主目录与列表样式当用户通过以上方式来访问FTP服务器时，实际访问的是“默认FTP站点”的主目录。

技能大赛服务器配置模拟试题满分100分，时间2小时姓名：第一部分网络应用——windows服务器配置（60分）1、安装Windows Server 2003服务器（9分）在PC1上安装一台Windows Server 2003服务器，作为企业网管理服务器（Server1）。

（1）创建名称为Windows Server的虚拟机，硬盘空间为10G，分配内存为512M，网卡使用桥接模式。

（3分）（2）将硬盘分为两个分区，C盘为6G，D盘为4G，两个分区文件系统为NTFS。

（3分）(3)系统管理员密码为admin，根据要求配置服务器的IP地址等相关信息。

(3分)2、安装Windows Server 2008服务器（9分）在PC1上安装一台Windows Server 2008服务器，作为企业网管理服务器（Server2）。

（1）创建名称为Windows Server的虚拟机，硬盘空间为18G，分配内存为512M，网卡使用桥接模式。

（3分）(2)将硬盘分为两个分区，C盘为10G，D盘为8G，两个分区文件系统为NTFS。

（3分）(3) 系统管理员密码为admin#123，根据要求配置服务器的IP地址等相关信息。

（3分）3、搭建Windows域环境（12分）ABC公司为了集中管理公司的网络，利用Windows Server 2008中的Active Directory所提供的功能，来组织、管理与控制网络资源。

通过组策略功能，控制与管理网络上用户的工作环境与计算机环境，以减轻网络管理的负担，降低网络管理的成本。

（1）载Server2上配置一台域控制器，域名为，NetBIOS域名为ABC，服务器的FQDN 为，该服务器为DNS服务器，负责解析域名。

（3分）（2）创建域用户、全局组和OU，创建4个OU，创建4 个全局组，创建4个用户，具体内容见下表（3分）部门OU 全局组隶属用户生产部生产部production prod 1销售部销售部sales Sale1行政部行政部administeration Adm1经理办公室经理办公室manager Master1（3）将pc1加入到域中，并使用帐户master1登录，更改密码为123456。

FTP隔离用户方法在Windows平台下设计FTP服务器的方法有很多，目前使用最广泛当属Serv-U，该软件功能强大，基本可以满足大多数FTP用户的需求。

实际上Windows中所带的IIS组件中的FTP也具有相当强大的功能，而且其可以集成Windows中的身份验证。

在本文中主要介绍利用IIS实现FTP隔离用户功能。

所谓隔离用户指的是当用户登录到FTP时会被导入其所属文件夹，而且不可以切换到其它用户的文件夹。

在IIS6中有三种隔离方式，下面我们分别讨论这三种方式：不隔离用户该方式在默认情况下当用户来连接此类FTP时，用户将被直接导向同一个文件夹，也就是被导向整个FTP的主目录。

不过此处我们可以通过设置NTFS权限来实现和隔离用户类似的功能(此方法也可以用于IIS5中)。

假设系统中已建立好一个FTP站点(该建站主文件夹位于e:\demoftp)，系统中有User1及User2二个用户。

在FTP主文件夹下为每个用户建立一个文件夹，名称应与用户登录名一致。

如下图：按以下步骤设置User1的NTFS权限：² 删除Users的权限。

Ø 取消文件夹User1的继承权限。

² 赋于User1读取权限(如该FTP站点提供上传功能，还需写入权限)。

对User2设置与User1相同。

完成上述操作后通过NTFS权限实现隔离用户功能配置完成。

但对于很多情况下使用FTP的用户比较多，如果都管理员通过手动方式进行设置可能工作量太大。

下面提供一个VBS脚本，该脚本会读取本地用户，为每个用户建立文件夹并设置NTFS权限。

在上述脚本中所使用的Cacls命令是一个在Windows 2000/XP/Server 2003操作系统下都可以使用的命令，作用是显示或者修改文件的访问控制表，在命令中可以使用通配符指定多个文件，也可以在命令中指定多个用户。

要使用该命令需要到微软网站下载。

注意，在安装时最好安装到Windows文件。

组建“隔离用户”模式FTP站点本文将介绍三种“隔离用户”模式FTP站点，一种是具有磁盘限额管理的“隔离用户”模式FTP站点；二是用“Active Directory隔离用户“模式FTP站点；三是使用第三方软件Serv-U管理“隔离用户”模式FTP站点。

1、具有磁盘限额管理的“隔离用户”模式FTP站点要求：1）、架构一个具有磁盘限额管理的“隔离用户”模式的“内部FTP站点”，端口号为2121。

2）、用户名为user1和user2，密码分别为user1和user2，磁盘配额限制为250MB/用户。

3）、系统开设公共区供用户匿名上传和下载，其磁盘配额限制为120MB。

实验环境：需要安装系统自带的FTP服务组件，固定的IP地址，本机使用的IP地址为192.168.2.2。

实验的过程如下：1.1、安装FTP服务组件安装Windows Server 2003操作系统时，默认情况下是没有安装FTP服务组件的。

若要安装FTP组件，需要事先准备好Windows Server 2003 安装光盘，并系统管理员身份登录到Windows Server 2003。

具体操作步骤如下：（1）、选择【开始】|【控制面板】|【添加或删除程序】|【添加/删除Windows组件（A）】命令，在弹出的【Windows组件向导】对话框中，选中【应用程序服务器】复选框，如图1-1所示。

（2）单击【详细信息】按钮，在弹出的【应用程序服务器】对话框中，选中【Internet 信息服务（IIS）】复选框；点击【详细信息】按钮，在弹出如图1-2所示【Internet信息服务（IIS）】对话框，选中【文件传输协议（FTP）服务】复选框。

图1-1、【Windows组件向导】对话框图1-2、【应用程序服务器】向导（3）依次点击【确定】、【下一步】按钮，并根据提示插入Windows Server 2003安装光盘（如果没有插入光盘）。

待系统安装配置后，FTP服务组件的安装过程就完成了。

表11－1 访问FTP服务器命令的返回值及含义
返回值 110 120 125 150 200 重新启动标志回应 服务在NNN时间内可用 数据连接已经打开，开始传送数据 文件状态正确，正在打开数据连接 命令执行正常结束 含 义 返回值 332 350 421 425 426 需要登陆的账户 对被请求文件的操作需要进一步更多的信息 服务不可用，控制连接关闭 打开数据连接失败 连接关闭，传送中止 含 义
11.1 FTP简介
202
211 212 213 214 215 220 221 225 226 227
命令未执行，此站点不支持此命令
系统状态或系统帮助信息回应 目录状态信息 文件状态信息 帮助信息 NAME系统类型 新连接的用户的服务已就绪 控制连接关闭 数据连接已打开，当前没传输进程 正在关闭数据连接 进入被动模式

bye退出FTP服务器；
quit相当于bye。
cd改变当前工作目录； cdup回到上一层目录，相当于“cd．．”； lcd用于更改或显示LOCAL端的工作目录； pwd显示目前的工作目录（REMOTE端）；
（4）cd、cdup、lcd、pwd

（5）delete、mdelete、rename

在Internet上有两类FTP服务器：一类是普通的FTP 服务器，连接到这种FTP服务器上时，用户必须具有 合法的用户名和口令。另一类是匿名FTP服务器，所 谓匿名FTP，是指在访问远程计算机时，不需要账户 或口令就能访问许多文件、信息资源，用户不需要经 过注册就可以与它连接，并且进行下载和上载文件的 操作，通常这种访问限制在公共目录下。系统管理员 建 立 了 一 个 特 殊 的 用 户 ID ， 名 为 anonymous ， Internet上的任何人在任何地方都可使用该用户ID。

win2008域隔离用户FTP
2008域环境下，一台域控，一台加入域的FTP服务器
现在事先安装好FTP服务
D:\ftp\AA，同样在此目录下，在创建BB，CC，然后设置ftp的共享权限为everyone完全控制，然后再域控上创建三个用户AA BB CC，然后设置其NTFS权限
ftp目录共享
设置AA的权限，如下图示
同样设置BB的权限同AA一样设置CC的权限
同样设置三个ftp用户，然后三个用户设置如图示
然后再创建一个用户为ftp 并且做如下设置
再来设置FTP服务
然后启动ftp服务
然后再可以再客户端中进行访问ftp站点
然后可以依据各自的权限进行读写。

二．新建 user 一与 use 两个用户,设置其对 C:\ftproot 地 NTFS 权限是读取与写入。
添加 Inter 来宾账户。
三．在 win 二零一六-一上创建"隔离用户"FTP 站点,权限是读取,写入与运行。 四．在 win 二零一六-二测试。
案例二:隔离用户（分组讨论）
请同学们分组讨论: 一．IUSR_计算机是 Inter 来宾账户,是否要添加其对 C:\ftproot 地访问？不添加可以 吗？ 二．匿名访问地用户名是什么？ 三．如果不添加 IUSR_计算机是 Inter 来宾账户对 C:\ftproot 地访问权限,影响 user 一与 use 对 FTP 地访问吗？ 四．试着做一下……
案例三:用 Active Directory 隔离用户
一．在 DC 一（已安装 AD）地 C 盘上创建 C:\ftproot 目录,其下建立 user 一与 use 等二个文件夹,文件夹下建立一些测试文件。
二．建立用户帐户 user 一与用户 use,再创建一个让 FTP 站点可以读取用户属地域 用户账户 FTPuser。
站点
– 测试非隔离用户 FTP;
– 测试隔离用户 FTP;
– 测试 AD 隔离 FTP。
讲 授
案 例 分三 析
零’
学 生 实 践
一,实践目地 一．使学生掌握如何创建 FTP 服务器; 二．使学生掌握如何测试 FTP 服务器。
二,学生实践 本项目根据下图所示地环境来部署 FTP 服务。
课堂 实践 （P）
教学 教
环节 学
过 项目 程 导入
（L）
学内容
一,企业项目导入 根据如下图所示地环境来部署 FTP 服务。
教 学时 方间 式 演 示

实验七FTP服务器用AD隔离用户实验六_补充-1 配置与管理FTP服务器实验环境&工具:win2003下，AD域(ip:172.21.242.253)，FTP服务器，win2003.iso镜像文件. FTP服务器用AD隔离用户首先,做这个AD隔离用户之前，必须要知道建立AD隔离用户这个站点是没有选择目录的，只需填上域名和域用户。

这就决定了，AD 隔离用户跟其它两种不隔离用户、隔离用户是不同的！不隔离用户、隔离用户，这两种方式都是需要选择目录的，这样就确定了FTP服务器与本地文件之间的关联关系，而AD隔离用户不会有选择目录，然后怎么才能让服务器知道你要发布的是哪个文件呢？这就需要借用Suptools.msi这个工具给服务器一个指针，指向要发布的文件。

第一步：建立要发布的文件夹(或文件)。

图1.1如图1.1，在E盘新建文件夹test，在test目录下创建AD_geli文件夹，在AD_geli下新建AD隔离用户成功.txt文档。

(注：文件夹命名无规定,没有跟用户隔离那样要求规定，红色为要发布的文件夹) 第二步：在域控制器里面创建一个用户，用于AD隔离用户。

图2.1图2.2如图2.1和2.2在域控制器里面建立用户test_user，用户登录名为：u1 。

(注：用户权限在这个实验无需设) 第三步:在FTP服务器里面建立FTP站点，类型为AD隔离用户。

图3.1选择用AD隔离用户选项，点击下一步，把之前新建的用户名、用户密码、域名填完整。

如图3.2。

图3.2填写完整之后点击下一步，会有输入密码提示，输入刚才的用户u1的密码，点击确定。

设置文件夹权限，点击确定，FTP站点AD隔离用户建立完成！图3.3建好之后，FTP服务器如图3.4所示：图3.4第三步完成，现在的情况是：第一步要发布的文件建好了，第二步域用户u1创建好了，第三步u1的AD隔离FTP站点建好了。

三个步骤做好了，但是FTP站点无法与要发布的文件关联，因为贯穿整个过程，我们都没为FTP站点选择目录。