FTP配置引发的权限思考

Windows Server 2003 R2中创建一个FTP站点，公司有两个部门，销售部（xiaoshou）和 财 务 部（caiwu）。要求只允许销售部（xiaoshou）的用户可以上传文件和下载文件，而其他组的用户及匿名用户只能下载文件，但不能上传文件。网络拓扑结构如图1所示。

图1 网络拓扑结构

模拟实验环境

在Windows 7系统下，应用VMware Workstation 10.0进行实验，两个虚拟系统分别为Windows Server 2003 R2 SP2和Windows XP SP3，IP地址均为手动设置。

实施步骤

1.在Windows 2003下添加组账户销售部和财务部。在桌面上依次单击“开始→管理工具→计算机管理”，打开“计算机管理”对话框，在“本地用户和组”项目中分别添加测试账户“user1”和组账户“xiaoshou”，并添加“user1”到“xiaoshou”组中。同样，添加“caiwu”组账户和“user2”账户，并使“user2”隶属于“caiwu”组。

2.创 建FTP站 点。单击“开始→管理工具→Internet信息服务（IIS）管理器”，打开“IIS管理器”窗口，右击“FTP站点”，在快捷菜单中选择“新建→FTP站点”命令，打开“FTP站点创建向导”对话框，其中在“FTP站点访问权限”这一步的设置中，要勾选“写入”权限，原因在后面分析。

3.FTP站点的主目录为 C：/ftp，右键单击 FTP文件夹，选择快捷菜单中的“共享和安全”命令，打开FTP文件夹的“属性”对话框，切换到“安全”选项卡。

图2 财务部权限

4.赋予销售部（xiaoshou）读和写入的权限。单击“安全”选项卡上的“添加”按钮，首先添加用户组“xiaoshou”，然后勾选“xiaoshou”权限列表中的“写入”复选框，保证销售部的所有用户可以上传文件。

5.添加财务部组“caiwu”。同样的方法，在“安全”选项卡中添加“caiwu”组，并保持默认的“读取和运行”权限（如图2）。

6.修改匿名账户的权限为“读取和运行”。单击“安全”选项卡“上的“高级”按钮，打开“FTP的高级安全设置对话框，去掉“允许父项的继承权限传播到该对象和所有子对象，包括哪些在此明确定义的项目。”复选框的对勾，弹出“安全”对话框，单击“复制”按钮。接着选择“Users”组的“特殊”权限，单击“编辑”按钮，打开“FTP的权限项目”对话框，去掉“创建文件/写入数据”和“创建文件夹/附加数据”两个复选框的选择，单击“确定”按钮（这里也可以在选中“Users”组的“特殊”权限项后，直接单击“删除”按钮），返回上级对话框，应用设置即可。

在Windows XP下的测试结果

1.使用“user1”账户（销售部）登录FTP站点，可以完成创建“新建文件夹”等上传工作。

2.使用“user2”账户（财务部）登录FTP站点，创建文件夹时会提示无权限错误。

3.使用“匿名”账户登录FTP站点，结果与“user2”相同。

至此，题目的要求全部达到。

分析及结论

1.IIS管理器中的站点主目录权限的设置

在前面的步骤二中，我们在FTP创建向导中勾选了FTP站点的“写入”权限，当然也可以在创建完FTP站点后，在FTP站点的“属性”对话框的“主目录”选项卡中进行设置。那么，为什么要选上“写入”呢？如果在这里只勾选“读取”权限，而单独给“销售部”账户组添加“写入”权限，而保持其他用户及匿名用户的默认“只读”权限，可以吗？答案是否定的。

如果我们想要让某个用户拥有对站点主目录的“写入”权限，则必须针对整个FTP站点主目录进行“写入”权限的赋予，否则，不管后面我们将任何用户或组的权限设置为“写入”甚至是“完全控制”，也根本无法上传文件，原因同样是“没有权限”。

我们得到的结论是：必须同时保证FTP主目录中具有“写入”权限和相应的账户或组对主目录文件夹具有“写入”权限（可以是“继承”得到的“特殊”权限），才能让某账户可上传。而这两个条件中的FTP主目录权限的“写入”设置是前提，只有在保证整个主目录可写的前提下，我们才可以设置不同账户的不同权限。

2.Windows 2003中新建账户的默认权限

在步骤五中我们发现，在添加了“caiwu”用户组，并默认其权限后，如图2中所示“caiwu”组有“读取”权限，而不具有“写入”权限或“特别的权限”，但如果这时从客户机登录user2账户（隶属于财务部），我们会惊奇地发现，user2账户竟然也具有“新建文件夹”等写入权限。

本来没有“写入”权限的账户“user2”却能写入，这曾经困惑了笔者好长一段时间，经过反复试验，我们发现，新建的用户“user2”除了我们手动添加到“caiwu”组，还会默认属于“Users”组，而“Users”组是大家熟悉的普通用户组，那么“Users”组会有“写入”权限吗？从解决步骤六中，我们不难发现，Users组确实具有继承的“创建文件和文件夹”权限，事实上，只要在Windows 2003中任意新建一个文件夹，就具有Uesrs账户权限。

3.结论

首先，只要Users用户组具有写入权限，则新建的用户（默认属于Users组）都可以写入。其次，在实验中我们还发现，即使将新建用户所属的组“Users”删掉，使新用户不属于任何组，那么这个组还是具有和Users组同样的读写权限的，这一点要特别注意。因此，若要使匿名用户和“caiwu”等其他组只读，最快捷的方法就是将Users组的权限从继承断开（如解决步骤六所示），取消其“写入”的权限即可。

经验总结

Windows系统中的权限设置是一个很重要的问题，与Windows账户和组密切相关，建议大家在设置的时候一定理清各种账户和组（包括系统内置账户和组）的关系，这也关乎FTP等服务的配置。需要注意的是，这些设置都应该确保在分区NTFS格式下进行，FAT32格式不支持权限设置，会导致错误。