IIS 7.5 (Windows7) FTP配置笔记

Image

1. 基本设定(右侧 Action -basic settings, 这一代IIS的UI设计相当脑残, 连site的右键属性菜单都没有了, 很多设置项只能通过站点配置主页面或右侧Action列表进入)

Image(1)

Connect as

Image(2)

这里是设置FTP服务用户, 你可以指定一个本地用户, 也选择Application user使用系统内置用户. IIS会以这个用户身份访问磁盘并受NTFS权限约束

这里有个问题,  自己指定用户还好, 但如果选择"Application user", IIS会使用一个名为"IUSR"的特殊用户(下文会看到), 而在系统用户管理( 右击My Computer-> Manager->Local Users and groups->Users)里是找不到这个用户的, 因为IUSR实际上属于"build-in security principals", 而不是 "users"或""groups", 所有文件夹的默认NTFS权限设置里也找不到这个IUSR, 经过测试, IUSR应该属于"Authenticated Users"这个特殊用户组, 而所有NTFS文件夹默认设置授予了 "Authenticated Users"除Full Control以外所有权限, 所以IIS FTP默认能够访问磁盘所有文件夹

Image(3)

如果从FTP根目录文件夹的 NTFS权限里将Authenticated users移除(需要首先取消继承父文件夹权限), ftp登录时就会报错

Response:                 530-User cannot log in, home directory inaccessible.

Response:                  Win32 error:   Access is denied.

Response:                  Error details: File system denied the access.

Response:                 530 End

回到上面"Connect as"这张图, 如果选择"Application user"(默认选择), 点击 Test Settings, 你会看到这样的警告

Image(4)

就是说, IIS无法验证其内置用户(IUSR)是否对FTP根目录磁盘物理路径有访问权限. (因为NTFS文件夹权限里默认设置好的是Authenticated Users, 而没有设置 IUSR, 所以IIS就不知道了…), 无语吧? 脑残的Microsoft….

2. FTP Authorization Rules

就是下面的这个东西

Image(5)

默认的规则: All Users – read

Image(6)

设置不同身份登录用户的权限: 读取/写入. 但是请注意, 这里只是配置IIS是否允许当前FTP登录用户的读/写请求, 而读/写是否成功却是由"基本设定"-> "Connect As"里设定的用户NTFS权限决定的!! 就是说, Microsoft在这里"创造性"的在NTFS权限之上又搞了另一套FTP Authorization权限, 两套权限的区别是你可以设置多条FTP Authorization Rule规则, 但每个FTP Site你只能设置一个Connect As 用户并以它的身份访问磁盘.

我只想说Microsoft你够狠, 就连那个无比复杂的NTFS权限还嫌不够玩的? 非要把FTP Authorization用户和实际访问磁盘用户分开? 这不是脑残是什么????

这样带来的另一个作用是, 默认情况下, 通过IIS FTP创建(上传)的文件(夹)所有者(owner)都会变成 IUSR. (虽然administrators默认对其仍然有full control权限, 日常使用过程中一般不会注意到.)

这篇所谓的"配置笔记"没啥意思. 因为我实在受不了Misrosoft那些脑残的地方才写出来的..

PS. 写此文中因为资源管理器无响应重启了一次explorer.exe, 结果冒出来一个Adobe Flash Player Update窗口..以前是每次重启电脑才会冒出这个破玩意…好吧, 因为我大部分时候都是hibernate, 只有安装windows update时候才会重启, 所以基本上每次重启都会冒出Adobe Flash Update那个烦人的玩意..现在我知道了, 这货在explorer.exe进程启动时才检查更新的…脑残的Adobe, 每次更新Flash得点两下按钮选中一个复选框…你就不能做成Chrome那样后台静默升级非要用那点破事烦我? 还有那脑残的Firefox, 现在是可以后台自动下载更新了, 但是下载完更新后第一次重启/启动 Firefox还是得出现个更新进度条然后一个个检查extension compatabilty如果不取消掉至少得等2分钟才能完成…为什么你们都不能像Chrome那样完全后台静默无干扰升级呢?

0 Responses to “IIS 7.5 (Windows7) FTP配置笔记”


Comments are currently closed.