6
W2K3 FTP und NTFS Berechtigungen - Problem mit Berechtigungen bei FTP Zugriff
Guten morgen,
seit Freitag bastel ich an einem Problem mit meinem FTP-Server unter Windows 2003 Standard-Server.
Ich habe vor, jedem Benutzer die Möglichkeit zu geben, per FTP Daten in sein Home-Verzeichnis sowie auf das Gruppenverzeichnis zu geben.
Ich habe also auf einem Testserver IIS installiert.
Was funktioniert?
Wenn ich mich an einem Client oder am Server mit dem Benutzer FTPTEST anmelde, komme ich auf dem Gruppenverzeichnis nur in die Verzeichnisse, auf die ich auch zugreifen soll, die NTFS-Berechtigung greift also.
Was funktioniert nicht?
Wenn ich mich per FTP Anmelde, habe ich auch Zugriff auf Ordner, auf denen ich eigentlich keinen Zugriff haben soll.
Wie habe ich den FTP-Server konfiguriert?
Beschreibung test, keine IP zugewiesen, Port 21, Benutzer nicht isolieren,
Pfad: Das Gruppenverzeichnis, Rechte lesen und schreiben,
Dann habe ich mich zunächst anonym verbunden, funktioniert, ich komme ich
das Gruppenverzeichnis anonym.
Soweit so gut.
Nun habe ich den Haken für anonyme anmeldung verwenden entfernt und mich mit
user 1 angemeldet. Ich habe dann geschaut, ob ich in das Unterverzeichnis von
User2 im Gruppenverzeichnis gelange: es funktioniert, obwohl genau das ja
nicht funktionieren soll.
Wie habe ich NTFS-Berechtigungen gesetzt?
Ordnername: Gruppe (Freigabeebene: JEDER Vollzugriff
Dateiebene: User1 ändern, User2 ändern, User3 ändern, Admin voll, System voll)
unter der Gruppe gibt es einen Ordner user1 (nicht freigegeben,
Dateirechte:User1 ändern, Admin voll, system voll)
unter der gruppe gibt es einen weiteren ordner user2 (nicht freigegeben,
Dateireichte user2 ändern, admin voll, system voll)
unter der gruppe gibt es noch einen ordner user3 (nicht freigegeben,
Dateirechte user3 ä ndern, admin voll, system voll)
und einen letzen ordner alle, wo alle benutzer expliziet angegeben worden
sind, rechte: ändern, admin voll, system voll, keine Freigabe)
Das gruppenverzeichnis wird per loginscript gemappt, funktioniert, nur die
user die sollen kommen an die verzeichnisse (also user 1 in verzeichnis user1
und alle, user2 in Verzeichnis user2 und alle usw.).
Meine Frage, warum greifen die NTFS-Berechtigungen nicht, und wie bekomme ich es hin, das die NTFS Berechtigungen greifen auch wenn der Benutzer sich per FTP anmeldet?
Gruesse aus dem Norden
muellgmbh
seit Freitag bastel ich an einem Problem mit meinem FTP-Server unter Windows 2003 Standard-Server.
Ich habe vor, jedem Benutzer die Möglichkeit zu geben, per FTP Daten in sein Home-Verzeichnis sowie auf das Gruppenverzeichnis zu geben.
Ich habe also auf einem Testserver IIS installiert.
Was funktioniert?
Wenn ich mich an einem Client oder am Server mit dem Benutzer FTPTEST anmelde, komme ich auf dem Gruppenverzeichnis nur in die Verzeichnisse, auf die ich auch zugreifen soll, die NTFS-Berechtigung greift also.
Was funktioniert nicht?
Wenn ich mich per FTP Anmelde, habe ich auch Zugriff auf Ordner, auf denen ich eigentlich keinen Zugriff haben soll.
Wie habe ich den FTP-Server konfiguriert?
Beschreibung test, keine IP zugewiesen, Port 21, Benutzer nicht isolieren,
Pfad: Das Gruppenverzeichnis, Rechte lesen und schreiben,
Dann habe ich mich zunächst anonym verbunden, funktioniert, ich komme ich
das Gruppenverzeichnis anonym.
Soweit so gut.
Nun habe ich den Haken für anonyme anmeldung verwenden entfernt und mich mit
user 1 angemeldet. Ich habe dann geschaut, ob ich in das Unterverzeichnis von
User2 im Gruppenverzeichnis gelange: es funktioniert, obwohl genau das ja
nicht funktionieren soll.
Wie habe ich NTFS-Berechtigungen gesetzt?
Ordnername: Gruppe (Freigabeebene: JEDER Vollzugriff
Dateiebene: User1 ändern, User2 ändern, User3 ändern, Admin voll, System voll)
unter der Gruppe gibt es einen Ordner user1 (nicht freigegeben,
Dateirechte:User1 ändern, Admin voll, system voll)
unter der gruppe gibt es einen weiteren ordner user2 (nicht freigegeben,
Dateireichte user2 ändern, admin voll, system voll)
unter der gruppe gibt es noch einen ordner user3 (nicht freigegeben,
Dateirechte user3 ä ndern, admin voll, system voll)
und einen letzen ordner alle, wo alle benutzer expliziet angegeben worden
sind, rechte: ändern, admin voll, system voll, keine Freigabe)
Das gruppenverzeichnis wird per loginscript gemappt, funktioniert, nur die
user die sollen kommen an die verzeichnisse (also user 1 in verzeichnis user1
und alle, user2 in Verzeichnis user2 und alle usw.).
Meine Frage, warum greifen die NTFS-Berechtigungen nicht, und wie bekomme ich es hin, das die NTFS Berechtigungen greifen auch wenn der Benutzer sich per FTP anmeldet?
Gruesse aus dem Norden
muellgmbh
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 94078
Url: https://administrator.de/contentid/94078
Printed on: April 26, 2024 at 15:04 o'clock
6 Comments
Latest comment
keine IP zugewiesen
IP zuweisen bitte
Benutzer nicht isolieren
Benutzer Isolieren
Hallo,
vielen dank für die Antwort.
ich habe das wie folgt umgesetzt:
neu-ftpsite
Beschreibung: Groupfolder
IP Zugewiesen
Port 21
Benutzer isolieren, (Benutzern muss ein Basisverzeichnis innerhalb des Stammes dieser FTP-Site zugewiesen werden
Pfad zum Basisverzeichnis: der Gruppenordner
Rechte: Lesen / Schreiben
Damit wäre das Gruppenverzeichnis fertig.
Anmelde-Test: schlägt fehl mit der Fehlemeldung "user xy cannot log in, home directory inaccessible
Weiter gehts:
Home-Directory konfigurieren:
neues virtuelles Verzeichnis
Alias:_Benutzername (Damit der Benutzer erst im Gruppenverzeichnis landet).
Pfad: Pfad zum Profilverzeichnis (ausserhalb des Stammes der FTP-Site)
Rechte: Lesen Schreiben
Damit das Verzeichnis später sichtbar ist, habe ich im FTP-Root ein Verzeichnis angelegt, welches _Benutzername lautet. Die Rechte habe ich so gesetzt, das nur der entsprechende Benutzer drannkommt.
Klickt er auf dieses Unterstrich-Benutzername-Verzeichnis sollte er eigentlich in sein Home-Verzeichnis gelangen.
So die Theorie....
Ergebnis: Home-directory inaccessible.
vielen dank für die Antwort.
ich habe das wie folgt umgesetzt:
neu-ftpsite
Beschreibung: Groupfolder
IP Zugewiesen
Port 21
Benutzer isolieren, (Benutzern muss ein Basisverzeichnis innerhalb des Stammes dieser FTP-Site zugewiesen werden
Pfad zum Basisverzeichnis: der Gruppenordner
Rechte: Lesen / Schreiben
Damit wäre das Gruppenverzeichnis fertig.
Anmelde-Test: schlägt fehl mit der Fehlemeldung "user xy cannot log in, home directory inaccessible
Weiter gehts:
Home-Directory konfigurieren:
neues virtuelles Verzeichnis
Alias:_Benutzername (Damit der Benutzer erst im Gruppenverzeichnis landet).
Pfad: Pfad zum Profilverzeichnis (ausserhalb des Stammes der FTP-Site)
Rechte: Lesen Schreiben
Damit das Verzeichnis später sichtbar ist, habe ich im FTP-Root ein Verzeichnis angelegt, welches _Benutzername lautet. Die Rechte habe ich so gesetzt, das nur der entsprechende Benutzer drannkommt.
Klickt er auf dieses Unterstrich-Benutzername-Verzeichnis sollte er eigentlich in sein Home-Verzeichnis gelangen.
So die Theorie....
Ergebnis: Home-directory inaccessible.
Anderer Ansatz:
Sind die User auf dem Server Admins?
VW
admin voll
Administrator oder Administratoren?Sind die User auf dem Server Admins?
VW
Guten Tag,
die Benutzer sind keine Admins auf dem Server.
Ich habe also mal die Leute in die lokale Admingruppe geschubst und erneut versucht.
Selbe Fehlermeldung: 530 User XY cannot log in, home directory inaccessible.
Anmeldung fehlgeschlagen.
Dann habe ich mal das Ereignislog durchsucht:
Der Server konnte den virtuellen Stamm "/ftpblah" für das Verzeichnis "F:\Dept\_ftpblah" aufgrund des folgenden Fehlers nicht hinzufügen: Zugriff verweigert Die Daten enthalten die Fehlerinformationen.
Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
Event-ID hat folgendes zu Tage gebracht:
Verify the account the "FTP Service" is starting with and ensure that account has read/write permission to the folder the ftp alias is directed to.
Also habe ich dem "System" Vollzugriff auf den Gruppenordner und dem Benutzerordner eingerichtet.
Acess denied.
Zuletzt habe ich alle Verzeichnisse, inklusive der Profil-Verzeichnisse auf "JEDER-VOLLZUGRIFF" gesetzt. Ergebnis:
Access denied.
Mir fällt dazu nix ein.
Ich melde mich mit der Kennung benutzername@domäne.de an.
Hat jemand noch einen Rat oder muss ich in die Tastatur beissen?
die Benutzer sind keine Admins auf dem Server.
Ich habe also mal die Leute in die lokale Admingruppe geschubst und erneut versucht.
Selbe Fehlermeldung: 530 User XY cannot log in, home directory inaccessible.
Anmeldung fehlgeschlagen.
Dann habe ich mal das Ereignislog durchsucht:
Der Server konnte den virtuellen Stamm "/ftpblah" für das Verzeichnis "F:\Dept\_ftpblah" aufgrund des folgenden Fehlers nicht hinzufügen: Zugriff verweigert Die Daten enthalten die Fehlerinformationen.
Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
Event-ID hat folgendes zu Tage gebracht:
Verify the account the "FTP Service" is starting with and ensure that account has read/write permission to the folder the ftp alias is directed to.
Also habe ich dem "System" Vollzugriff auf den Gruppenordner und dem Benutzerordner eingerichtet.
Acess denied.
Zuletzt habe ich alle Verzeichnisse, inklusive der Profil-Verzeichnisse auf "JEDER-VOLLZUGRIFF" gesetzt. Ergebnis:
Access denied.
Mir fällt dazu nix ein.
Ich melde mich mit der Kennung benutzername@domäne.de an.
Hat jemand noch einen Rat oder muss ich in die Tastatur beissen?
Hat jemand noch einen Rat oder muss ich in die Tastatur beissen?
Ob das dann so toll ist? Oder ist das etwa eine Schoko-Tastatur? 
Mein Vorschlag war ohne User-Isolation gemeint. Aber das hat sich ja schon erledigt, da die User keine Admins sind.
VW
hi, wenn du ohne isolierung machst, können die einzelnen benutzer den übergeordneten ordner sehen und nicht nur ihren....
wäre vieleicht nicht ganz so toll...
wäre vieleicht nicht ganz so toll...