Isolieren von FTP-Usern mit dem IIS 6.0 in Hosting-Umgebungen

Hosting-Unternehmen stellen Webspace für viele User zur Verfügung. Zum Pflegen der einzelnen Seiten werden normalerweise FTP-Zugänge benutzt. Mit dem IIS 6.0 gibt es ein neues Feature mit dem Namen User Isolation, welches auf einfache Weise es ermöglicht, FTP-Anwendern den Zugriff nur auf ein Unterverzeichnis einer FTP-Site zu gewähren.

Damit der Anwender nur auf einen bestimmten Ordner zugreifen kann, muss unterhalb des FTP-Rootverzeichnisses ein Ordner erstellt werden. In Active Directory-Umgebungen lautet der Pfad  <FTP-Root>\Domainname (Netbios)\Username - auf Standalone-Servern  <FTP-Root>\localuser\Username.

Zur Aktivierung von User Isolation in bestehenden FTP-Sites muß noch in der Metabase ein Eintrag vorgenommen werden. Der Eintrag heißt UserModeIsolation und kann entweder global unter LM/MSFTPSVC und/oder unter LM/MSFTPSVC/<Nummer> pro FTP-Site auf 0, 1 oder 2 gesetzt werden:

• UserIsolationMode Metabase Property (IIS 6.0)

Die Metabase läßt sich am einfachsten mit dem Metabase Explorer aus dem IIS 6.0 Resource Kit editieren:

• Internet Information Services (IIS) 6.0 Resource Kit Tools

Für weitere Informationen gibt es in der IIS 6.0 Dokumentation eine ausführliche Beschreibung:

• Hosting Multiple FTP Sites with FTP User Isolation (IIS 6.0)
• Creating a New FTP Site with Isolate Users Mode
• Converting an Existing FTP Site to Isolate Users Mode

Es gibt noch eine zweite Methode, die nicht nur mit dem IIS 6.0, sondern auch mit früheren Versionen funktioniert. Wenn im FTP-Root-Ordner ein physikalischer Ordner oder ein virtuelles FTP-Verzeichnis mit dem gleichen Namen wie der Loginname des FTP-Users existiert, wechselt der FTP-Dienst nach der Anmeldung direkt in dieses Verzeichnis. Im Gegensatz zu User Isolation kann der User hier aber auch aus dem Subdirectory in das Hauptverzeichnis wechseln, wenn die NTFS-Rechte es ihm entsprechend ermöglichen.