摘 要:通过Windows2003可以方便的搭建用户专属文件夹的FTP文件服务器,使用户的网络存储实现隔离,从而实现了比较安全的隔离的网络文件存取。
中图分类号:TP31
1 FTP的定义
FTP是File Transfer Protocol(文件传输协议)的英文简称,而中文简称为“文传协议”。用于Internet上的控制文件的双向传输。
2 基于用户专属文件夹的FTP服务器的创建缘由
这里所指的FTP是通过Windows2003所实现的FTP服务,集成在IIS组件包中,可以方便
的安装。FTP服务器给用户在日常工作中通过网络传送文件带来很大的便利,只是如果没有对用户进行权限限制,将会存在安全隐患:文件被删除、更改等等情况会时有发生。此时,如果可以为不同的用户,提供不同的专属文件夹来存放各自的文件,上述问题便迎刃而解了。
在windows2003上搭建用户专属的FTP服务器,需要实现用户认证,必须先在windows上创建不同的用户帐户,并且在FTP服务器组件的设置上选择不允许匿名访问。通过以上设置,访问该FTP服务器就必须通过用户帐户进行访问了。
为实现FTP服务器的用户专属文件夹,有两个方法:一是FTP的根文件夹里面可以创建与访问用户同名的文件夹,使用用户名进行登录就会直接进入同名的文件夹;如果文件夹与用户名不相同的情况下要实现专属文件夹,使用FTP服务器设置控制台中的“虚拟目录”来实现。
4 FTP服务器创建的具体操作过程
4.1 创建windows用户和组。本例设置三个用户,分别为tom、kitty、sally,创建用户可以使用图形界面和命令界面。
“用户名”就是所建用户的登录名,“全名”项一般填写“用户名”所对应的使用者的名称,可不填。“描述”则是对这个“用户名”的描述信息,可写它的职业信息,如经理或人力资源部主管,也可写它的使用权限,如“另一个管理员”等。“密码”和“确认密码”两项要填写一致的信息,而且“确认密码”不能从“密码”框中复制。对“密码”有如下二点说明:
(1)如果系统没有设置与密码相关的规则,则一般用户的密码可以保持为空。
(2)如果系统设置了密码设置的规则,则一般会对密码的复杂性和长度提出要求,不符合密码复杂性和长度的密码不能设置通过。所谓的复杂密码指的是:密码包含大小写字母、数字和特殊字符的组合。复杂性的密码示例如:aBc157*&#。
(3)现在破解密码的主要方式是暴力破解,就是利用计算机强化(改为:大)的计算能力,将所有打印字符的可能组合逐一去试,如果密码长度过短和过于简单,很可能一下子就被破解者破解出来。
上述窗口的下面四项内容解释如下:
(1)用户下次登录时须更改密码:此项表示用户第一次使用此帐户登录时系统会弹出密码修改框,用户必须修改密码后才能使用系统。进行此项设置可确保用户的密码只有用户一个人知道。
(2)用户不能更换密码:设置此项表示限制用户不能对密码作出修改。
(3)密码永不过期:windows系统的密码一定时间后会过期,系统会要求用户重新输入,如果设置了此项内容,此密码永远不会弹出要求用户更换密码的要求。
(4)帐户已禁用:设置此项目则帐户暂时停用,变为不可用状态。一般在用户暂时离开组织时使用此项目。
4.2 可将这些用户加入到windows内置的组中,windows内置的组中最重要的组有三个。
Administrators:管理员组。这个组的用户全部属于管理员,拥有管理系统的完整权限,可以对系统进行任意的操作。
Power users:这个为高级用户组。拥有管理系统的大部分权限,但比管理员组低,如不能将用户加入管理员组。
Users:一般用户组。此组的成员具有使用系统已安装软件的权限,但没有管理权限。如不能共享、不能修改IP、不能创建用户、不能安装软件等。
特别说明:系统内置组是权限的集合体,是用来设置用户帐户权限的。即要赋予某帐户相应的权限,只要将该帐户加入合适的组就可以了。
当然,操作员也可以自己创建一些新组,但这些新组就没有权限设置的功能了,只要(改为:是)组织用户的手段而已。
新建的用户帐户默认会加入users组,如果想要赋予此用户管理员的权限,只需要将其加入administrators组即可。以下是将Tom帐户加入管理组的操作过程:
在Tom用户上右击,点“属性”打开属性页窗口。
在窗口中点“添加”按钮,在弹出的“选择组”窗口中输入“administrators”,也可以通过“高级”按钮选择此组。
在此页面点“确定”后,则将Tom用户加入到管理员组中,此时Tom已经具有管理员的权限了。
4.3 设置FTP服务器的根文件夹,此处假设FTP服务器只允许tom、kitty和sally三个用户访问,那么只需要在FTP的根文件夹内新建三个名为tom、kitty和sally的子文件夹名即可。
为了演示需要,分别在三个子文件夹里面放一个文本文件,文件名分别为:, ,。
4.4 上一个任务中FTP服务器被配置成“允许匿名访问”的,如果需要加入用户验证的功能,那么要对配置控制台中的“安全帐户”页面中的“允许匿名访问”前面的勾去掉,经过这样的设置,实际上已经实现了三个用户帐户的专属文件夹。
分别用Tom、Kitty和sally帐户访问一下。
4.5 以上展示的是使用三个同名文件夹直接实现访问用户的专属文件夹的方法。
如果使用的用户名与FTP服务器的根文件夹内的子文件夹不同名,那么看到的就是整个
文件夹的内容。为了使这些用户登录后无法访问这些文件夹,可以对这些文件夹进行安全的设置,从而使非授权用户无法打开这些文件夹进行访问。
4.6 设置文件夹的安全属性。要设置文件夹的安全属性,必须在用NFTS文件系统格式进行格式化的分区上才可以进行。
设置文件夹的安全属性是针对某些用户或某些组对该文件夹的访问许可进行设置。许可大体上分成四种:读取、写入、修改、完全控制。读取、写入和修改的许可都很好理解,要注意的是“写入”和“修改”的区别,“如何给文件夹加密码写入”指可以将内容写入此文件夹,如果只有“写入”而没有“修改”的许可,一旦写入就再也不可以修改了,包括修改文件的名字等操作都不允许。在这四个许可中,“完全控制”许可是指全部许可都有,不仅包含了读取、写入和修改,还包括了可以取得文件夹的所有权和设置文件夹访问许可的权限。
下面将tom文件夹设置成只有用户TOM可以“完全控制”访问,其它用户均不能访问。
在文件夹tom上右击,在弹出的菜单中点“属性”窗口,在该窗口中可以进行访问许可的设置.
在这个属性页面窗口中,上部窗体列示的是要设置访问许可的用户名或组,下部窗体是对应组或用户的许可设置。在此例中,有四个组的成员对这个文件夹有访问许可,包括“administrators”管理员组、“creator owner”文件夹创建者、“system”系统进程、“users”用户组四类。如果想设置成只有用户TOM才能访问许可,就必须将这些用户和组先删除,再将tom添加进来,最后设置相应的许可项目。
以上提示解释了为什么无法删除“users”的原因。是因为这个组的许可是从这个文件夹的父系处继承而来的。即这个tom文件夹的上级文件夹就是这样的许可,而且这个许可是自动传递到其下级目录中的。这个提示也告诉我们如何才能删除这个“users”,那就是“阻止继承”。
进行了如下设置后,在弹出的提示页面中点“复制”,再将“users”删除即可。添加用户“TOM”并且设置其权限为“完全控制”,如下图所示:
经过这样的设置后,就只有tom用户可以访问此文件夹了。再用“fengliming”访问FTP服务器就会得到这样的结果。
至此,实现了FTP服务器某用户的专属文件夹,但是这种实现方式有一定的制约,因为它要求文件夹与用户名必须一般才可以。如果文件夹名与用户不一致,如何实现FTP服务器对某用户的专属文件夹呢?
4.7 专属文件夹的另一种实现方式—使用“虚拟目录”。在FTP服务器的控制台中使用“虚拟目录”可以实现专属文件夹的目标,打开IIS控制台如下:
选中“默认FTP站点”并右击,在弹出的菜单中点击“新建”,并在下一级菜单中选择“虚拟目录”,打开如下向导的首页:
点击“下一步”,在弹出的“虚拟目录别名”页面框中填入访问用户名的名称,填入的是TOM。
点“下一步”,弹出选择内容目录窗口,在此选择想要成为用户TOM专属文件夹的文件夹名。
点击下一步,出现设置访问权限的窗口,默认权限是“读取”,如果希望用户可以写入,要勾选“写入”框
至此,虚拟目录配置完成,tom用户的专属文件夹建立完成。按同样的方法配置虚拟目录kitty和sally,则kitty和sally的专属文件夹也可以建立成功。
访问专属文件夹,使用tom用户,所有设置完成。
5 总结
发布评论