- PR -

IIS6.0のFTPでアクセス制御

1
投稿者投稿内容
未記入
常連さん
会議室デビュー日: 2005/01/28
投稿数: 22
投稿日時: 2005-06-25 20:10
IISのFTPのアクセス制御について質問があります。

当方の環境は、Windows server 2003です。
ActiveDirectory環境で運用しています。

FTPで公開しているフォルダにユーザー単位でアクセス制御を
かけたいと考えています。

社内で使用する機能でファイルをサーバからFTPでダウンロードします。
その際、ログインしたユーザがアクセス権のないフォルダにはアクセスできないように
制限をつけたいと考えています。

IISのFTPについては、あまり詳しくないのですが、フォルダのNTFSアクセス権で
制御できるのではないかと思い、試しているのですがうまくいきません。

例えば、
ユーザーとしてadministrator、test1、test2の3ユーザーがあります。
test1は"Domain Admins"
test2は"Domain Users"
に所属しています。

FTPホーム C:\FTPと指定し、フォルダ配下にA・Bフォルダを
それぞれ作成します。
Aフォルダには、administratorにのみフルコントロールを与え、
Bフォルダには、test1にのみフルコントロールを与えます。

この状態でクライアントからコマンドプロンプトからFTPサーバに
ログインします。
test2でログインした場合、カレントからA・Bフォルダへ移動しようとすると
"Access is denied"と表示され、移動できません。
test1でログインした場合、私としては、Bフォルダにのみアクセス可能と考えていたのですが、
A・Bの両方のフォルダにアクセスできてしまいました。

その他のシステムの都合で全ユーザを"Domain Admins"グループに所属させる必要がありますので
test1ユーザでのアクセス制御を行いたいと考えているのですが、不可能なのでしょうか。

A・Bフォルダともローカルでは、権限どおりの動作(test1でAフォルダへのアクセス不可)になりますので
FTPでログインしているときにのみ発生しています。

IISのFTPで当方が考えているようなアクセス制御をかける方法がありますでしょうか。
ご存知の方がいらっしゃいましたら、アドバイスをいただけないでしょうか。
よろしくお願いいたします。
_________________
Mattun
ぬし
会議室デビュー日: 2004/08/10
投稿数: 1391
投稿日時: 2005-06-26 00:54
引用:

ユーザーとしてadministrator、test1、test2の3ユーザーがあります。
test1は"Domain Admins"
test2は"Domain Users"
に所属しています。

DomainAdminsは、ドメイン参加端末のローカルAdministratorsグループに
デフォルトで含まれていることは理解してますか?

また、
引用:

Aフォルダには、administratorにのみフルコントロールを与え、

は、「Administrators」ではなくて「Administrator」で間違いないですか?


ていうかDomainAdminsに入れた時点で、アクセス制限なんてどうかと思うんだけど。
サーバの設定を自由にいじれる権限持ってるってのに。
未記入
常連さん
会議室デビュー日: 2005/01/28
投稿数: 22
投稿日時: 2005-06-27 21:45
回答ありがとうございました。

引用:
--------------------------------------------------------------------------------


ADomainAdminsは、ドメイン参加端末のローカルAdministratorsグループに
デフォルトで含まれていることは理解してますか?

--------------------------------------------------------------------------------

ローカルのAdministratorsグループに含まれていることは理解しいませんでした。
ありがとうございました。今後は、意識したいと思います。

「Domain Admins」権限も持っているのにアクセス制御を必要とするのは、
矛盾しています。
おっしゃられていることもわかりますが、方法がないか模索しています。


引用:
--------------------------------------------------------------------------------

「Administrators」ではなくて「Administrator」で間違いないですか?

--------------------------------------------------------------------------------

この辺りの設定をもう一度見直してみようと思っています。
何かご存知の方がいましたらご助力お願いいたします。



_________________
1

スキルアップ/キャリアアップ(JOB@IT)