一、用户账户与目录结构创建
在Windows Server环境中,需先建立用户组和独立用户账户:
- 创建用户组
ftp_users作为统一管理容器 - 通过计算机管理工具创建
user1、user2等账户并加入该组 - 在FTP根目录下建立
LocalUser目录,其中创建与用户名同名的子目录
二、用户隔离模式配置
IIS提供三种隔离模式:
- 无隔离模式:所有用户共享主目录(不推荐)
- 基本隔离:用户仅访问对应名称的物理目录
- 严格隔离:支持虚拟目录且禁止跨用户访问(企业级推荐)
配置路径:IIS管理器 → FTP站点 → FTP用户隔离 → 选择”用户名目录”
三、权限分配与安全策略
通过NTFS权限实现细粒度控制:
| 用户/组 | 目录 | 权限 |
|---|---|---|
| user1 | /LocalUser/user1 | 完全控制 |
| admin | /LocalUser/* | 读取+遍历 |
建议将用户账户从默认Users组移除,降低权限继承风险
四、加密登录与审计配置
安全强化措施包括:
- 启用FTPS或SFTP协议替代明文传输
- 配置账户锁定策略(如5次失败尝试后锁定)
- 定期审查IIS日志中的FTP访问记录
通过用户隔离机制与NTFS权限组合,可实现多用户FTP的安全访问控制。建议生产环境强制使用加密协议并定期更新用户凭证,同时监控异常登录行为
