“使用 Active Directory 隔离用户”模式根据相应的 Active Directory 容器验证用户凭据,而不是搜索整个 Active Directory,因为这样做需要大量的处理时间。

备 注
此模式需要在 Windows Server 2003 家族的操作系统上运行 Active Directory 服务器。也可以使用 Windows 2000 Active Directory,但是需要手动扩展用户对象架构。要了解有关设置 Active Directory 服务器的详细信息,请参阅 Windows Server 2003 的帮助和支持中心。

 

将为每个客户指定特定的 FTP 服务器实例,以确保数据完整性及隔离性。当用户对象在 Active Directory 容器内时,可以将 msIIS-FTPRootmsIIS-FTPDir 属性提取出来,为用户主目录提供完整路径。如果 FTP 服务能成功地访问该路径,则用户被放在代表 FTP 根位置的该主目录中。用户只能看见自己的 FTP 根位置,因此受限制而无法向上浏览目录树。如果 msIIS-FTPRootmsIIS-FTPDir 属性不存在,或它们无法共同构成有效的、可访问的路径,用户将无法访问。

创建使用 Active Directory 模式隔离用户的新 FTP 站点_Active Directory重 要事项
只有本地计算机上的 Administrators 组的成员才能执行以下过程。作为安全性最佳操作,请使用不属于 Administrators 组的帐户登录计算机,然后使用 runas 命令以管理员身份运行 IIS 管理器。在命令提示符处,键入 runas/user:Administrative_AccountName"mmc %systemroot%\system32\inetsrv\iis.msc"

 

创建使用 Active Directory 模式隔离用户的 FTP 站点
  1. 在 IIS 管理器中,单击“本地计算机”,右键单击“FTP 站点”文件夹,指向“新建”,然后单击“FTP 站点”。

  2. 在“欢迎使用 FTP 站点创建向导”中,单击“下一步”。

  3. 在“FTP 站点描述”中,键入 FTP 站点的描述,然后单击“下一步”。

  4. 在“IP 地址和端口设置”中,键入 IP 地址和端口,然后单击“下一步”。

  5. 在“FTP 用户隔离”中,单击“使用 Active Directory 隔离用户”,然后单击“下一步”。

  6. 在“用户名”文本框中,使用 Domain\User 格式键入用户名,或浏览到用户名。选择具有最小域权限的用户。该用户名用于访问 Active Directory 和读取主目录属性。

  7. 在“密码”文本框中,键入用户的密码。

  8. 在“输入默认的 Active Directory 域”文本框中,键入或浏览到默认的域名。

    备 注
    用户在登录域时,该域名将提供那些没有指定他们所在的用户域的用户。换句话说,使用用户名 Domain1\User1 连接的用户将在 Domain1 中验证,而使用 User2 连接的用户将在默认登录域中进行验证。如果未命名默认域,并且用户未指定域名,则只有匿名用户才能访问。只键入基本域名,而不是完全合格的名称。例如,键 入 MyDomain,而不键入 MyDomain.dept.microsoft.com

     

  9. 单击“下一步”。系统将提示您重新输入上一步输入的用户密码。

  10. 根据需要启用“读取”和“写入”权限,单击“下一步”,然后单击“完成”。