Windows Server 2003 R2中創(chuàng)建一個(gè)FTP站點(diǎn)，公司有兩個(gè)部門，銷售部（xiaoshou）和 財(cái) 務(wù) 部（caiwu）。要求只允許銷售部（xiaoshou）的用戶可以上傳文件和下載文件，而其他組的用戶及匿名用戶只能下載文件，但不能上傳文件。網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖1所示。

圖1 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

模擬實(shí)驗(yàn)環(huán)境

在Windows 7系統(tǒng)下，應(yīng)用VMware Workstation 10.0進(jìn)行實(shí)驗(yàn)，兩個(gè)虛擬系統(tǒng)分別為Windows Server 2003 R2 SP2和Windows XP SP3，IP地址均為手動(dòng)設(shè)置。

實(shí)施步驟

1.在Windows 2003下添加組賬戶銷售部和財(cái)務(wù)部。在桌面上依次單擊“開始→管理工具→計(jì)算機(jī)管理”，打開“計(jì)算機(jī)管理”對(duì)話框，在“本地用戶和組”項(xiàng)目中分別添加測(cè)試賬戶“user1”和組賬戶“xiaoshou”，并添加“user1”到“xiaoshou”組中。同樣，添加“caiwu”組賬戶和“user2”賬戶，并使“user2”隸屬于“caiwu”組。

2.創(chuàng) 建FTP站 點(diǎn)。單擊“開始→管理工具→Internet信息服務(wù)（IIS）管理器”，打開“IIS管理器”窗口，右擊“FTP站點(diǎn)”，在快捷菜單中選擇“新建→FTP站點(diǎn)”命令，打開“FTP站點(diǎn)創(chuàng)建向?qū)А睂?duì)話框，其中在“FTP站點(diǎn)訪問權(quán)限”這一步的設(shè)置中，要勾選“寫入”權(quán)限，原因在后面分析。

3.FTP站點(diǎn)的主目錄為 C：/ftp，右鍵單擊 FTP文件夾，選擇快捷菜單中的“共享和安全”命令，打開FTP文件夾的“屬性”對(duì)話框，切換到“安全”選項(xiàng)卡。

圖2 財(cái)務(wù)部權(quán)限

4.賦予銷售部（xiaoshou）讀和寫入的權(quán)限。單擊“安全”選項(xiàng)卡上的“添加”按鈕，首先添加用戶組“xiaoshou”，然后勾選“xiaoshou”權(quán)限列表中的“寫入”復(fù)選框，保證銷售部的所有用戶可以上傳文件。

5.添加財(cái)務(wù)部組“caiwu”。同樣的方法，在“安全”選項(xiàng)卡中添加“caiwu”組，并保持默認(rèn)的“讀取和運(yùn)行”權(quán)限（如圖2）。

6.修改匿名賬戶的權(quán)限為“讀取和運(yùn)行”。單擊“安全”選項(xiàng)卡“上的“高級(jí)”按鈕，打開“FTP的高級(jí)安全設(shè)置對(duì)話框，去掉“允許父項(xiàng)的繼承權(quán)限傳播到該對(duì)象和所有子對(duì)象，包括哪些在此明確定義的項(xiàng)目?！睆?fù)選框的對(duì)勾，彈出“安全”對(duì)話框，單擊“復(fù)制”按鈕。接著選擇“Users”組的“特殊”權(quán)限，單擊“編輯”按鈕，打開“FTP的權(quán)限項(xiàng)目”對(duì)話框，去掉“創(chuàng)建文件/寫入數(shù)據(jù)”和“創(chuàng)建文件夾/附加數(shù)據(jù)”兩個(gè)復(fù)選框的選擇，單擊“確定”按鈕（這里也可以在選中“Users”組的“特殊”權(quán)限項(xiàng)后，直接單擊“刪除”按鈕），返回上級(jí)對(duì)話框，應(yīng)用設(shè)置即可。

在Windows XP下的測(cè)試結(jié)果

1.使用“user1”賬戶（銷售部）登錄FTP站點(diǎn)，可以完成創(chuàng)建“新建文件夾”等上傳工作。

2.使用“user2”賬戶（財(cái)務(wù)部）登錄FTP站點(diǎn)，創(chuàng)建文件夾時(shí)會(huì)提示無權(quán)限錯(cuò)誤。

3.使用“匿名”賬戶登錄FTP站點(diǎn)，結(jié)果與“user2”相同。

至此，題目的要求全部達(dá)到。

分析及結(jié)論

1.IIS管理器中的站點(diǎn)主目錄權(quán)限的設(shè)置

在前面的步驟二中，我們?cè)贔TP創(chuàng)建向?qū)е泄催x了FTP站點(diǎn)的“寫入”權(quán)限，當(dāng)然也可以在創(chuàng)建完FTP站點(diǎn)后，在FTP站點(diǎn)的“屬性”對(duì)話框的“主目錄”選項(xiàng)卡中進(jìn)行設(shè)置。那么，為什么要選上“寫入”呢？如果在這里只勾選“讀取”權(quán)限，而單獨(dú)給“銷售部”賬戶組添加“寫入”權(quán)限，而保持其他用戶及匿名用戶的默認(rèn)“只讀”權(quán)限，可以嗎？答案是否定的。

如果我們想要讓某個(gè)用戶擁有對(duì)站點(diǎn)主目錄的“寫入”權(quán)限，則必須針對(duì)整個(gè)FTP站點(diǎn)主目錄進(jìn)行“寫入”權(quán)限的賦予，否則，不管后面我們將任何用戶或組的權(quán)限設(shè)置為“寫入”甚至是“完全控制”，也根本無法上傳文件，原因同樣是“沒有權(quán)限”。

我們得到的結(jié)論是：必須同時(shí)保證FTP主目錄中具有“寫入”權(quán)限和相應(yīng)的賬戶或組對(duì)主目錄文件夾具有“寫入”權(quán)限（可以是“繼承”得到的“特殊”權(quán)限），才能讓某賬戶可上傳。而這兩個(gè)條件中的FTP主目錄權(quán)限的“寫入”設(shè)置是前提，只有在保證整個(gè)主目錄可寫的前提下，我們才可以設(shè)置不同賬戶的不同權(quán)限。

2.Windows 2003中新建賬戶的默認(rèn)權(quán)限

在步驟五中我們發(fā)現(xiàn)，在添加了“caiwu”用戶組，并默認(rèn)其權(quán)限后，如圖2中所示“caiwu”組有“讀取”權(quán)限，而不具有“寫入”權(quán)限或“特別的權(quán)限”，但如果這時(shí)從客戶機(jī)登錄user2賬戶（隸屬于財(cái)務(wù)部），我們會(huì)驚奇地發(fā)現(xiàn)，user2賬戶竟然也具有“新建文件夾”等寫入權(quán)限。

本來沒有“寫入”權(quán)限的賬戶“user2”卻能寫入，這曾經(jīng)困惑了筆者好長(zhǎng)一段時(shí)間，經(jīng)過反復(fù)試驗(yàn)，我們發(fā)現(xiàn)，新建的用戶“user2”除了我們手動(dòng)添加到“caiwu”組，還會(huì)默認(rèn)屬于“Users”組，而“Users”組是大家熟悉的普通用戶組，那么“Users”組會(huì)有“寫入”權(quán)限嗎？從解決步驟六中，我們不難發(fā)現(xiàn)，Users組確實(shí)具有繼承的“創(chuàng)建文件和文件夾”權(quán)限，事實(shí)上，只要在Windows 2003中任意新建一個(gè)文件夾，就具有Uesrs賬戶權(quán)限。

3.結(jié)論

首先，只要Users用戶組具有寫入權(quán)限，則新建的用戶（默認(rèn)屬于Users組）都可以寫入。其次，在實(shí)驗(yàn)中我們還發(fā)現(xiàn)，即使將新建用戶所屬的組“Users”刪掉，使新用戶不屬于任何組，那么這個(gè)組還是具有和Users組同樣的讀寫權(quán)限的，這一點(diǎn)要特別注意。因此，若要使匿名用戶和“caiwu”等其他組只讀，最快捷的方法就是將Users組的權(quán)限從繼承斷開（如解決步驟六所示），取消其“寫入”的權(quán)限即可。

經(jīng)驗(yàn)總結(jié)

Windows系統(tǒng)中的權(quán)限設(shè)置是一個(gè)很重要的問題，與Windows賬戶和組密切相關(guān)，建議大家在設(shè)置的時(shí)候一定理清各種賬戶和組（包括系統(tǒng)內(nèi)置賬戶和組）的關(guān)系，這也關(guān)乎FTP等服務(wù)的配置。需要注意的是，這些設(shè)置都應(yīng)該確保在分區(qū)NTFS格式下進(jìn)行，F(xiàn)AT32格式不支持權(quán)限設(shè)置，會(huì)導(dǎo)致錯(cuò)誤。