Ftp隔离用户设置方法

Windows 2008 R2 配置本地隔离用户的FTP环境：1.操作系统Windows 2008 R22.IIS版本7.5需求：1、三个用户user1、user2、zhiyuan，每个用户只能访问自己的用户目录，权限可读可写，实现本地隔离用户功能。

2、ftp支持匿名用户访问，但只能访问匿名用户目录，权限只可读。

步骤：一、创建本地用户账号打开服务器管理器---配置—本地用户和组—用户。

分别创建user1、user2、zhiyuan，用户名和密码相同。

二、创建用户目录在拟建的ftp根目录，如ftptest，首先在其下创建一个“LocalUser”目录，在LocalUser目录里分别创建与三个用户和Public目录。

具体目录结构如下：为了登录的时候能够明显辨别，我在每个用户目录里创建一个以用户名命名的txt文件。

如user1目录下Public目录就是匿名用户访问的目录，如图三、搭建ftp服务器打开服务器管理器—角色—Web服务器—Internet信息服务。

右键网站—添加ftp站点。

点下一步注意，上图这一步，要点“允许”，不然非ssl访问方式会被拒绝。

点下一步上图身份验证勾选“匿名”“基本”（意思是支持或需要验证，包含匿名身份识别和基本用户账号方式识别）。

授权：允许访问，选择“匿名用户”。

这里的选择只是给ftp添加了一条规则，没有太多意义，所有的规则可以后期建好后添加，这里只是为了省事，提前添加了一条，即根据需求，授权匿名用户只可以使用读取方式访问匿名目录。

点击“完成”后，如下图四、配置FTP点击ftp服务器节点，会看到ftp的配置菜单。

（1）FTP授权规则首先，我们要实现需求一“每个用户只能访问自己账号的内容”，这就是启用“ftp用户隔离”功能，双击“ftp用户隔离”。

选择“隔离用户”---“用户名目录（禁用全局虚拟目录）”，点击右上角“应用”。

启用了该功能还不行。

还需要配置“ftp身份验证”和“ftp授权规则”。

Win架设多用户隔离Ftp服务器————————————————————————————————作者：————————————————————————————————日期：Win2003架设多用户隔离FTP服务器为了方便大家使用，所建立的FTP站点不仅允许匿名用户访问，而且对主目录启用了“读取”和“写入”的权限。

这样一来任何人都可以没有约束地任意读写，难免出现一团糟的情况。

如果您使用IIS 6.0，只需创建一个‘用户隔离’的FTP站点就可以有效解决此问题。

“隔离用户”是IIS 6．0中包含的FTP组件的一项新增功能。

配置成“用户隔离”模式的FTP站点可以使用户登录后直接进入属于该用户的目录中，且该用户不能查看或修改其他用户的目录。

创建用户账户点击“开始菜单→管理工具→计算机管理”，这里弹出一个计算机管理窗口，我们在里面建立一个供FTP客户端登陆的帐号，双击左栏中的“本地用户和组”然后在右栏中点击鼠标右键，选择“新建”命令，就会弹出一个新用户建立窗口，现在我们建立一个用户，在这里我们建立一个用户名为 cnhack 的帐号，密码为chinanetpk ，并去除“用户下次登陆时须更改密码”的选项，勾选“用户不能更改密码”及“密码永不过期”选项。

然后点击“创建”按钮，就创建了一个用户名为 cnhack 的用户。

如下图（图15）所示：（图15）为了服务器安装着想，我们还须进行如下安全设置，在默认的情况下，我们建立的用户帐号为 Users 组用户，虽然普通用户组对服务器安全影响不大，但我们还是把这个用户所属的 Users 组删除，把刚建立的 cnhack 用户添加到 Guests 用户组，步骤如下：右击右栏中刚才建立的普通用户 cnhack ，出现一个菜单，选择属性，这时会弹出别一个窗口cnhack 属性窗口，选择“隶属于”标签，这时我们会看到cnhack 用户隶属于Users组，我们选择下栏中的Users组名称，并选择“删除”按钮，这里cnhack用户原来的隶属组被删除，我们再点击下栏中的“添加”按钮，这时弹出一个“选择组”窗口，选择“高级”按钮，再点击“立即查找”按钮，这时我们会看到一个“Guests”用户组名，双击“Guests”用户组名称后返回选择组窗口，点击“确定”按钮退出。

Windows 2003 Server FTP用户隔离当用户连接“默认FTP站点”时，不论他们是利用匿名帐户，还是利用正式的帐户来登陆FTP站点，都将被直接转向到主文件夹，访问主文件夹内的文件。

Windows server 2003的IIS添加了“FTP用户隔离”的功能，它可以让每一个用户都各自拥有专用的文件夹，当用户登陆FTP站点时，会被导向到其所属的文件夹，而且不可以切换到其他用户的文件夹。

您必须在创建FTP站点时就决定是否要启用“FTP用户隔离”的功能，因为FTP站点创建完成后就不能更改了。

在您创建FTP站点时，IIS允许您选用以下3种模式来创建FTP站点：(1)不隔离用户当用户来连接此类型的FTP站点时，他们都将被直接导向到同一个文件夹，也就是被导向到整个FTP站点的主目录。

(2)隔离用户您必须在FTP站点的主目录之下，为每一个用户创建一个专用的子文件夹，而且子文件夹的名称必须与用户的登录帐户名称相同，这个子文件夹就是该用户的主目录。

当用户登录此FTP站点时，将自动被导向到该用户的主目录内，而且无权限切换到其他用户的主目录(3)用Active Directory隔离用户用户必须利用域用户帐户来连接此类型的FTP站点，而您必须在Active Directory的用户帐户内指定其专用的主目录，这个主目录可以位于FT P站点内，也可以位于网络上的其他计算机内。

当用户登录此FTP站点时，将自动被导向到该用户的主目录内，而且无权切换到其他用户的主目录。

一、创建“隔离用户”的FTP站点(1)创建主目录我们将在F磁盘驱动器下，创建一个名称为FTP的文件夹，作为新FTP站点的主目录。

您还必须在此主目录之下，为用户另外创建他们专属的用户主目录。

请在FTP主目录之下创建以下的文件夹结构LocalUser\连接为 LocalUser文件夹是为本机用户所创建的，而连接为是本机用户的帐户名称，请为每一位需要登陆此FTP站点的用户创建一个文件夹。

实现的效果:不同的用户登录后进入各自的目录。

实现的步骤：
一：FTP设置
1.先暂停原来的FTP站点。

2.打开FTP站点，新建站点，站点名称：隔离用户；IP为虚拟机的IP。

3.站点类型：隔离用户。

4.物理路径为：D:\web
5.设置“隔离用户”站点属性，不允许匿名访问。

权限：写入
二：用户设置(用户名决定了后面的目录名)
1.打开控制面板 用户帐户，分别添加两个用户，
1）用户名：baidu ，密码：baidu.
2）用户名：a123 ，密码：a123
三：站点目录设置
1.在D:\web目录下新建目录LocalUser
2.在LocalUser目录下分别建立目录baidu和a123(与登录的用户名一致)
3.在目录baidu下建立文件baidu.txt;在a123目录下建立文件a123.txt.
四：测试
在主机打开ftp://虚拟机IP，分别用不同的用户名登录，查看效果。

第一步：
在AD中新建一个OU叫ftp，在OU中新建用户，用户名分别为ftp1，ftp2，ftpadmin三个用户。

新建用户
创建完成后
2、右击ftp做委派控制，选择ftpadmin,做“读取所有用户信息”委派。

第二步：建立目录
在d盘建立文件夹ftp，在ftp下分别建立用户名所对应的文件夹ftp1，ftp2 第三步：配置IIS-ftp的操作
1、新建ftp站点
2、在用户隔离先项中选择“用Active Directory隔离用户”见图
3、点击下一步，用户名输入ftpadmin，并输入密码，点击浏览选择域，见图
第四步：对ADSI的设置
1、在命令行模式下输入IISftp回车后提示“此脚本不能与WScript工作”不管它，点确定进入下一个提示whould you like to ………….for VBscript点击“是”下一提示“成功注册了CScript”
2、安装支持工具：打开Windows2003安装盘下SUPPORT文件夹—下的TOOLS文件夹双击安装支持工具suptools.msi文件（默认安装即可）
3、安装成功后在运行中输入adsiedit.msc
4、展开Domain找到你建的OU＝ftp展开分别设置ftp1和ftp2用户属性.
5、在cn=ftp1用户的属性中找到二项为msIIS-ftpDir（将其值设置为ftp1）和msIIS-ftpRoot（将其值设置为d:\ftp）
6、在cn=ftp2用户的属性中设置msIIS-ftpDir（将其值设置为ftp2）和msIIS-ftpRoot（将其值设置为d:\ftp）
测试验证。

Win架设多用户隔离Ftp服务器作者: 日期:Win2003架设多用户隔离FTP服务器为了方便大家使用，所建立的FTP站点不仅允许匿名用户访问，而且对主目录启用了“读取”和“写入”的权限。

这样一来任何人都可以没有约束地任意读写，难免出现一团糟的情况。

如果您使用IIS 6.0 ，只需创建一个’用户隔离’的FTP站点就可以有效解决此问题。

“隔离用户”是IIS 6 . 0中包含的FTP组件的一项新增功能。

配置成“用户隔离”模式的FTP站点可以使用户登录后直接进入属于该用户的目录中，且该用户不能查看或修改其他用户的目录。

创建用户账户点击“开始菜单T管理工具T计算机管理”，这里弹出一个计算机管理窗口，我们在里面建立一个供FTP客户端登陆的帐号，双击左栏中的“本地用户和组”然后在右栏中点击鼠标右键，选择“新建”命令，就会弹出一个新用户建立窗口，现在我们建立一个用户，在这里我们建立一个用户名为cnhack的帐号，密码为chinanetpk ，并去除“用户下次登陆时须更改密码”的选项，勾选“用户不能更改密码”及“密码永不过期”选项。

然后点击“创建”按钮，就创建了一个用户名为cnhack的用户。

如下图（图15）所示：（图15）为了服务器安装着想，我们还须进行如下安全设置，在默认的情况下，我们建立的用户帐号为Users组用户，虽然普通用户组对服务器安全影响不大，但我们还是把这个用户所属的Users组删除，把刚建立的cnhack用户添加到Guests用户组，步骤如下：右击右栏中刚才建立的普通用户cnhack ，出现一个菜单，选择属性，这时会弹出别一个窗口cnhack属性窗口，选择“隶属于”标签，这时我们会看到cnhack用户隶属于Users组，我们选择下栏中的Users组名称，并选择“删除”按钮，这里cnhack用户原来的隶属组被删除，我们再点击下栏中的“添加”按钮，这时弹出一个“选择组”窗口，选择“高级”按钮，再点击“立即查找”按钮，这时我们会看到一个“ Guests”用户组名，双击“ Guests ”用户组名称后返回选择组窗口，点击“确定”按钮退出。

FTP隔离
1.新建用户，为做出实验效果，设三个用户：
a、b、public。

2.在我的电脑一个盘中建一个文件夹比如叫FTP，在这里建一个子文件夹（规定）叫localuser
3.在在里面建三个文件夹分别命名为a、b、public（文件夹和用户名要统一）
4.把除匿名访问(public)文件夹之外的文件夹中的user都删掉（因为新建的用户默认都属于user组）然后再给每个用户设置相应的权限
5.打开iis管理器
6.新建站点---选ip地址，端口号选为默认的
7.选择隔离用户
8.路径浏览到你在盘中间的主文件夹就行了（这里浏览到“FTP文件夹”）
9.在这把读取写入权限都给它
10.完成后验证就行了。

ftp服务器一．项目概况小王是一家从事信息技术的台资企业的网管，公司有总经理办公室、人事部、财务部、技术部等部门，共计员工150位，所用客户机均为XP系统。

为方便公司电子化办公，提高工作效率，公司需要搭建一台ftp服务器，用于上传与下载公司各部门资料。

二．实施任务描述Windows系统实现ftp服务器-------本地用户隔离配置ftp服务器，实现以下需求：1）实现各本地用户登录时分别自动登陆到ftp服务器上自己的文件夹，并互相隔离。

这里我们首先在win2008上面安装ftp服务器。

服务管理器----右击角色-----添加角色----选择web服务器IIs勾选ftp服务器。

下一步。

这里显示的是即将安装的一些应用服务。

安装。

安装成功。

打开ftp进行配置。

右击网站—添加ftp站点，出现向导出现了添加ftp站点向导这里的ftp站点名称可以任意写。

注意了，此刻下面的物理路径写的是用户访问的文件夹。

我们没有创建，所以此刻我们要去创建用户文件夹。

在f盘创建个根文件夹例：my ftp。

在它里面再建个子文件夹例localuser（注意：这里的命名方式必须这样命名。

本地用户的意思）在它里面建用户所对应的文件夹（这里的文件夹命名要和用户名相同）。

和匿名访问的文件夹（public）。

用户登录访问文件夹就是u1和u2。

在三个文件中分别放些东西。

方便等下直接看出效果。

然后再把文件夹共享下。

（注意：在安全下，要把匿名账户添加进来。

）选择根目录。

这里ip地址分配本机的。

端口默认的是21.勾中自动启动ftp 站点。

Ssl就选无。

不用证书。

这里给到基本用户和匿名用户都可以访问。

授权是所用用户。

权限给到读取。

要达到隔离效果。

选择过后。

需要点击应用。

现在我们还没有建用户。

所以我们要做本地新建用户（u1 u2）开始---运行---命令提示符下面这里我们就用命令建了两个用户。

U1和u2。

现在我们到客户机去访问ftp。

为了可以成功。

我们要把ftp服务器的防火墙关掉。

FTP隔离用户方法在Windows平台下设计FTP服务器的方法有很多，目前使用最广泛当属Serv-U，该软件功能强大，基本可以满足大多数FTP用户的需求。

实际上Windows中所带的IIS组件中的FTP也具有相当强大的功能，而且其可以集成Windows中的身份验证。

在本文中主要介绍利用IIS实现FTP隔离用户功能。

所谓隔离用户指的是当用户登录到FTP时会被导入其所属文件夹，而且不可以切换到其它用户的文件夹。

在IIS6中有三种隔离方式，下面我们分别讨论这三种方式：不隔离用户该方式在默认情况下当用户来连接此类FTP时，用户将被直接导向同一个文件夹，也就是被导向整个FTP的主目录。

不过此处我们可以通过设置NTFS权限来实现和隔离用户类似的功能(此方法也可以用于IIS5中)。

假设系统中已建立好一个FTP站点(该建站主文件夹位于e:\demoftp)，系统中有User1及User2二个用户。

在FTP主文件夹下为每个用户建立一个文件夹，名称应与用户登录名一致。

如下图：按以下步骤设置User1的NTFS权限：² 删除Users的权限。

Ø 取消文件夹User1的继承权限。

² 赋于User1读取权限(如该FTP站点提供上传功能，还需写入权限)。

对User2设置与User1相同。

完成上述操作后通过NTFS权限实现隔离用户功能配置完成。

但对于很多情况下使用FTP的用户比较多，如果都管理员通过手动方式进行设置可能工作量太大。

下面提供一个VBS脚本，该脚本会读取本地用户，为每个用户建立文件夹并设置NTFS权限。

在上述脚本中所使用的Cacls命令是一个在Windows 2000/XP/Server 2003操作系统下都可以使用的命令，作用是显示或者修改文件的访问控制表，在命令中可以使用通配符指定多个文件，也可以在命令中指定多个用户。

要使用该命令需要到微软网站下载。

注意，在安装时最好安装到Windows文件。

组建“隔离用户”模式FTP站点本文将介绍三种“隔离用户”模式FTP站点，一种是具有磁盘限额管理的“隔离用户”模式FTP站点；二是用“Active Directory隔离用户“模式FTP站点；三是使用第三方软件Serv-U管理“隔离用户”模式FTP站点。

1、具有磁盘限额管理的“隔离用户”模式FTP站点要求：1）、架构一个具有磁盘限额管理的“隔离用户”模式的“内部FTP站点”，端口号为2121。

2）、用户名为user1和user2，密码分别为user1和user2，磁盘配额限制为250MB/用户。

3）、系统开设公共区供用户匿名上传和下载，其磁盘配额限制为120MB。

实验环境：需要安装系统自带的FTP服务组件，固定的IP地址，本机使用的IP地址为192.168.2.2。

实验的过程如下：1.1、安装FTP服务组件安装Windows Server 2003操作系统时，默认情况下是没有安装FTP服务组件的。

若要安装FTP组件，需要事先准备好Windows Server 2003 安装光盘，并系统管理员身份登录到Windows Server 2003。

具体操作步骤如下：（1）、选择【开始】|【控制面板】|【添加或删除程序】|【添加/删除Windows组件（A）】命令，在弹出的【Windows组件向导】对话框中，选中【应用程序服务器】复选框，如图1-1所示。

（2）单击【详细信息】按钮，在弹出的【应用程序服务器】对话框中，选中【Internet 信息服务（IIS）】复选框；点击【详细信息】按钮，在弹出如图1-2所示【Internet信息服务（IIS）】对话框，选中【文件传输协议（FTP）服务】复选框。

图1-1、【Windows组件向导】对话框图1-2、【应用程序服务器】向导（3）依次点击【确定】、【下一步】按钮，并根据提示插入Windows Server 2003安装光盘（如果没有插入光盘）。

待系统安装配置后，FTP服务组件的安装过程就完成了。

建FTP站点用户访问帐号为了防止普通用户通过匿名帐号访问FTP站点，我们在架设FTP站点的时候肯定会限制匿名帐号的访问权限，只让特定用户才能访问FTP站点下面的内容。

为此，在正式架设FTP 站点之前，我们有必要在Windows 2003服务器系统中为FTP站点创建一些用户访问帐号，日后用户必须凭事先创建好的帐号才能登录进行FTP站点。

在创建FTP站点用户访问帐号时，我们可以按照如下步骤进行操作:首先在服务器系统桌面中依次单击“开始”/“运行”命令，在弹出的系统运行对话框中，输入字符串命令“compmgmt.msc”，单击回车键后，打开本地服务器系统的计算机管理窗口;其次在该管理窗口的左侧显示区域中，用鼠标双击“本地用户和组”选项，在其后展开的分支下面选中“用户”文件夹，在对应该文件夹的右侧显示区域中，用鼠标右键单击空白位置，从弹出的右键菜单中单击“新用户”命令，进入“新用户”创建窗口(如图2所示);图2接下来在该窗口中设置好用户的访问帐号以及密码信息，将“用户下次登录时须更该密码”项目的选中状态取消，同时选中“用户不能更该密码”选项与“密码永不过期”选项，再单击一下“创建”按钮，这么一来一个目标用户的帐号信息就算创建成功了。

同样地，我们可以为那些需要访问FTP站点的所有用户都创建一个帐号信息。

创建与访问帐号对应的目录当创建好了用户访问帐号后，我们下面需要进行的操作就是在服务器系统的本地硬盘中创建好FTP站点的主目录，以及各个用户帐号所对应的用户帐号，以便确保每一个用户日后只能访问自己的目录，而没有权利访问其他用户的目录。

为了让架设好的FTP站点具有用户隔离功能，我们必须按照一定的规则设置好该站点的主目录以及用户目录。

首先我们需要在NTFS格式的磁盘分区中建立一个文件夹，例如该文件夹名称为“aaa”，并把该文件夹作为待建FTP站点的主目录;接着进入到“aaa”文件夹窗口中，并在其中创建一个子文件夹，同时必须将该子文件夹名称设置为“LocalUser”(该子文件夹名称不能随意设置)，再打开“LocalUser”子文件夹窗口，然后在该窗口下依次创建好与每个用户帐号名称相同的个人文件夹，例如我们可以为“aaa”用户创建一个“aaa”子文件夹(要是用户帐号名称与用户目录名称不一样的话，日后用户就无法访问到自己目录下面的内容)。

windows的ftp隔离用户与公共目录及批量建用户一．批量建用户按这一要求,首先在d:\建立一个ftps目录，拷入或生成上述三个bat文件, 以管理员身份运行批处理文件“01建立D 盘根下的ftp用户帐号密码文件.bat”，得到D:\ ftp_user.txt：b. 以管理员身份运行批处理文件“02导ftp帐号密码到系统.bat”，根据D:\ ftp_user.txt提供的帐号名及密码，入系统的本地帐户内,并归入ftps组成员。

并且在d:\ftps\localuser\生成用户对应的目录101,102…..，以及在d:\ftps生成预定的公用目录。

如果已有生成的目录，不会覆盖清空或删除原有目录内的内容。

运行后的结果是如下图:二．建立隔离用户的FTP：对ftp角色服务器进行相应的设置，由于windows2012缺少windows2003的iisftp.vbs和iisftpdr.vbs，不能以批处理设置，操作上也不算复杂，请按以下说明设置:新建一个ftp站点bg:添加公用目录,公共的虚拟目录，要求在站点根上添加虚拟目录:为了让ftp支持长文件目录名，请按以下设置至此，FTP设置完成，试用各帐号登陆查看结果。

如果201帐号对所有公用目录有写权限,只需在对应目录添加帐号的授权即可，如果对权限搞不清，那就让别人先传到公用的上传目录内后，自己再亲自剪切到相应的目录内：附一：01建立D盘根下的ftp用户帐号密码文件.bat@echo offsetlocal enabledelayedexpansionset /a a=100set str1=ABDEFGHJKMNQRSTWXYZset str2=adfghimnpqrstwxyzABDEFGHJKMNQRSTWXYZset str3=adfghimnpqrstwxyz:testset /a char1=%random%%%19set /a char2=%random%%%36set /a char3=%random%%%17set b1=!str1:~%char1%,1!!str2:~%char2%,1!!str3:~%char3%,1!set _num!a!=%random:~-5%set /a b=_num!a!if not defined !_num%a%! set /a a+=1echo %a% %b1%%b%>>d:\ftp_user.txtif !a! LSS 999 goto :testd:\ftp_user.txt附二:02导ftp帐号密码到系统.batsetlocal enabledelayedexpansionnet localgroup ftps /addmkdir d:\ftps\localusermkdir d:\ftps\公共目录\00上传目录For /F "tokens=1,2" %%a in (d:\ftp_user.txt) do (mkdir d:\ftps\localuser\%%aecho %%a>d:\ftps\localuser\%%a\%%a.txtnet user %%a %%b /add /homedir:d:\ftps\localuser\%%a /passwordchg:yes /passwordreq:yes net localgroup Users %%a /deletenet localgroup ftps %%a /add)附三:setlocal enabledelayedexpansionfor /l %%l in (100 1 999) do net user %%l /delete。

win2008域隔离用户FTP
2008域环境下，一台域控，一台加入域的FTP服务器
现在事先安装好FTP服务
D:\ftp\AA，同样在此目录下，在创建BB，CC，然后设置ftp的共享权限为everyone完全控制，然后再域控上创建三个用户AA BB CC，然后设置其NTFS权限
ftp目录共享
设置AA的权限，如下图示
同样设置BB的权限同AA一样设置CC的权限
同样设置三个ftp用户，然后三个用户设置如图示
然后再创建一个用户为ftp 并且做如下设置
再来设置FTP服务
然后启动ftp服务
然后再可以再客户端中进行访问ftp站点
然后可以依据各自的权限进行读写。

域隔离用户的FTP潘文乐一招半式只供交流如需转载注明出处微软的东西太多了！以至于我们爱好IT的人老是跟在它后面转。

我一朋友在研究微软FTP时，就碰到许多问题，但是他和我们许多人一样不怕错误，坚持付出。

终于对微软FTP 有点眉目时，最后让他发难的还是域隔离用户的FTP搭建。

作为IT爱好者、他的哥们不能不帮，我查阅微软帮助文档、搜集网络上的资料后，终于将他的问题顺利解决。

那么今天我就将我所了解的FTP发布出来，当然重点还是在域隔离用户的FTP搭建这一块，希望能帮助想我哥们一样的广大网络爱好者！！FTP 用户隔离为Internet 服务提供商(ISP) 和应用服务提供商提供了解决方案，使他们可以为客户提供上载文件和Web 内容的个人FTP目录。

FTP用户隔离通过将用户限制在自己的目录中，来防止用户查看或覆盖其他用户的Web 内容。

因为顶层目录就是FTP服务的根目录，用户无法浏览目录树的上一层。

在特定的站点内，用户能创建、修改或删除文件和文件夹。

FTP用户隔离是站点属性，而不是服务器属性。

无法为每个FTP站点启动或关闭该属性。

FTP 用户隔离支持三种隔离模式。

每一种模式都会启动不同的隔离和验证等级。

(1)不隔离用户：该模式不启用FTP用户隔离。

该模式的工作方式与以前版本的IIS 类似。

由于在登录到FTP 站点的不同用户间的隔离尚未实施，该模式最适合于只提供共享内容下载功能的站点或不需要在用户间进行数据访问保护的站点。

(2)隔离用户：该模式在用户访问与其用户名匹配的主目录前，根据本机或域帐户验证用户。

所有用户的主目录都在单一FTP 主目录下，每个用户均被安放和限制在自己的主目录中。

不允许用户浏览自己主目录外的内容。

如果用户需要访问特定的共享文件夹，您可以再建立一个虚拟根目录。

该模式不使用Active Directory 目录服务进行验证。

这里注意为隔离用户创建的目录的架构为：主文件夹----localuser----用户名；并在所有文件属性里去掉USER用户添加需访问的用户名，然后还必须在localuser里创建一个目录名字为public，并在FTP站点创建时浏览到主文件夹。

实验七FTP服务器用AD隔离用户实验六_补充-1 配置与管理FTP服务器实验环境&工具:win2003下，AD域(ip:172.21.242.253)，FTP服务器，win2003.iso镜像文件. FTP服务器用AD隔离用户首先,做这个AD隔离用户之前，必须要知道建立AD隔离用户这个站点是没有选择目录的，只需填上域名和域用户。

这就决定了，AD 隔离用户跟其它两种不隔离用户、隔离用户是不同的！不隔离用户、隔离用户，这两种方式都是需要选择目录的，这样就确定了FTP服务器与本地文件之间的关联关系，而AD隔离用户不会有选择目录，然后怎么才能让服务器知道你要发布的是哪个文件呢？这就需要借用Suptools.msi这个工具给服务器一个指针，指向要发布的文件。

第一步：建立要发布的文件夹(或文件)。

图1.1如图1.1，在E盘新建文件夹test，在test目录下创建AD_geli文件夹，在AD_geli下新建AD隔离用户成功.txt文档。

(注：文件夹命名无规定,没有跟用户隔离那样要求规定，红色为要发布的文件夹) 第二步：在域控制器里面创建一个用户，用于AD隔离用户。

图2.1图2.2如图2.1和2.2在域控制器里面建立用户test_user，用户登录名为：u1 。

(注：用户权限在这个实验无需设) 第三步:在FTP服务器里面建立FTP站点，类型为AD隔离用户。

图3.1选择用AD隔离用户选项，点击下一步，把之前新建的用户名、用户密码、域名填完整。

如图3.2。

图3.2填写完整之后点击下一步，会有输入密码提示，输入刚才的用户u1的密码，点击确定。

设置文件夹权限，点击确定，FTP站点AD隔离用户建立完成！图3.3建好之后，FTP服务器如图3.4所示：图3.4第三步完成，现在的情况是：第一步要发布的文件建好了，第二步域用户u1创建好了，第三步u1的AD隔离FTP站点建好了。

三个步骤做好了，但是FTP站点无法与要发布的文件关联，因为贯穿整个过程，我们都没为FTP站点选择目录。

FTP用户隔离及应用FTP用户隔离是一种可以在服务器上实现的安全措施，它可以帮助管理员为每个FTP用户创建一个独立的环境和隔离的文件夹。

在这个环境中，FTP用户只能访问属于自己的文件夹，不会影响其他用户的操作。

FTP用户隔离可以有效地保护服务器数据不被错误操作、攻击性操作或恶意代码所破坏。

为FTP用户隔离设定不同的应用场景需要有不同的实现方式。

例如，在一个企业内部，有多个部门需要使用FTP服务器来进行文件的传输和共享。

这时，需要管理员针对每个部门设立一个FTP用户账号，并设定相对应的文件夹隔离规则。

对于每个FTP用户，需要将其隔离在相对应的文件夹中，而不是让所有用户都进入同一个文件夹，不受限制地访问所有文件。

隔离的措施还需要密切结合安全授权。

管理员可以将不同的FTP用户分别授权，赋予某些用户编辑、删除、下载等权限，而其他用户只能浏览，不得修改或删除。

当然，为了避免权限纠纷，需要管理员在设置FTP用户隔离规则时以及定期检查文件夹的权限授权。

在FTP用户隔离应用的过程中，还需考虑数据共享的便捷性。

传统的FTP隔离方案容易出现数据共享困扰。

因为多个FTP用户账号绑定的隔离文件夹互相独立，无法实现文件夹之间的共享。

解决这个问题可以使用NAS（Network Attached Storage）方案。

NAS可以更加灵活的管理FTP用户隔离，实现在不同的仓库文件文件之间共享数据。

到目前为止，FTP用户隔离的实现方案比较多。

在Windows服务器中，管理员可以通过共享文件夹以及自己定义的用户权限来实现FTP用户隔离；而在Linux服务器中，采用文件系统级别的隔离实现方式进行实现。

需要注意的是，无论在何种实现方案下，FTP用户隔离都需要管理员不断维护和升级，否则其安全性会受到影响。

管理员需要制定一套完整的管理规范，包括账号的管理、隔离的维护和定期检查等等。

要想做好FTP用户隔离，还需要不断学习最新的安全技术和攻击手法，以便远离各种安全危险。

3s设置你的FTP。

逹意：这里格式请务必设为C /ftp/localuser然后，以创建的帐户为文件夹名称，client使用public这个文件夹, 点非常重要，否则你的FTP隔离用户是无法实现的。

2♦在本地计算机上面创建需要隔离用户的用户窖 回发送图片到手机＜3 X (°) B @注意：这里格式请务必设为:C:/ftp/localuser 然后，以创建的胀户为文件夹名称，client 使用public 这个文件夹，这一点非常重要，否则你的FTP 隔离用户是无法实现的。

WIN2K3Base Microsoft Virtual PC 2004 9J 门 IT1 Actton Edk CD HcpPV Wp >C \FTP\locola5cr3凶文件 0) ifiSCE) SS«)收赧® 工貝 CD題!0后iE ・ T | 文件異X囹・HWi®) | JlC \FTP\locdwr£｝临 |名刖I大小］尖21|恢S 日期~n^r口皿 」public文件夹. I -lillglft I C 9 Internet . || C' ^FT?\U<.15:582007-1-2B 15 57 2007-1-20 15 S7 2(»7-1-20 15 57这里输入C./ftp刘览我们的站黒ftp://<lp地址〉这时，你无需输入用户名密码看到的是public txt这个文件，也就是说，client都可以看封的位贵。

加果slice燮录上来怎么办呢？点击登录，輸入alice的用户名和密码，也裁是你刚才在本地创建的那个用户名和密码：3K，可以看到alice的文件了。

BOB亦是如此:二、实现不同用户权限的划分：通过刚才的描述，我相信大家对觴离用户应当明白了，那么我还想实现第二个目的，权限的划分，也報是说alice登录上来以后，对自己的—片天地「具有写入和删除的权限，也裁是修改的权限；而client上来之后（无输入用户名密码）只能读，这一点又怎么实现呢？我相信很多人都是这么做：这样果真可以吗？经过我的实验，如果你这样做的话，实际上情况成了这样。