Встроенный ftp сервер windows

Способ 1: Средства операционной системы

Включить сервер FTP в Windows 10 можно посредством инструментов операционной системы. Для этого сначала необходимо активировать соответствующий компонент в специальном меню «Панели управления», затем создать сайт, а потом добавить пользователей в группу доверенных учетных записей.

Шаг 1: Включение службы FTP

По умолчанию служба, отвечающая за работу сервера FTP, в Windows 10 отключена, поэтому первостепенно ее необходимо включить. Делается это следующем образом:

1. Откройте «Панель управления» через системный поиск или другим привычным для вас образом.


Картинка с сайта: lumpics.ru

2. В открывшемся окне измените режим отображения элементов меню, выбрав в верхнем правом углу интерфейса значение «Крупные значки» или «Мелкие значки». После этого в списке найдите пункт «Программы и компоненты» и нажмите по нему мышкой.


Картинка с сайта: lumpics.ru

3. На боковой панели слева щелкните по ссылке «Включение или отключение компонентов Windows».


Картинка с сайта: lumpics.ru

4. В появившемся окне найдите в списке папку под названием «Службы IIS» и откройте ее. Установите напротив компонента «FTP-сервер» галочку, после чего раскройте подпапку «Средства управления веб-сайтом» и в ней отметьте компоненты «Консоль управления IIS» и «Служба управления IIS». Кликните по кнопке «ОК», чтобы запустить процесс установки выбранных элементов.


Картинка с сайта: lumpics.ru

5. Дождитесь завершения процедуры инсталляции компонентов. Следить за этим процессом можно непосредственно в диалоговом окне.


Картинка с сайта: lumpics.ru

6. Когда на экране появится сообщение «Windows применила требуемые изменения», закройте все открытые окна и переходите к следующему шагу этой инструкции.


Картинка с сайта: lumpics.ru

Шаг 2: Создание сайта FTP

После того как служба, отвечающая за работу сервера FTP, была запущена, можно переходить непосредственно к созданию сайта, на который другие пользователи будут заходить, тем самым подключаясь к локальной файловой системе компьютера. Делается это следующим образом:

1. Запустите окно «Панели управления», как это было уже описано в предыдущем шаге, выберите режим просмотра как значки, после чего перейдите в «Администрирование».


Картинка с сайта: lumpics.ru

2. Найдите и запустите утилиту под названием «Диспетчер служб IIS».


Картинка с сайта: lumpics.ru

3. В открывшемся окне кликните правой кнопкой мыши по папке «сайты», расположенной на боковой панели слева, и выберите из контекстного меню пункт «Добавить FTP-сайт».


Картинка с сайта: lumpics.ru

4. Введите любое имя сайта, а затем укажите физический путь к каталогу, к которому впоследствии другие люди будут иметь доступ. Вы также можете указать диск компьютера, как это продемонстрировано на изображении ниже. После этого кликните по кнопке «Далее».


Картинка с сайта: lumpics.ru

5. Укажите параметры привязки и SSL. Рекомендуется из выпадающего списка «IP-адрес» оставить значение «Все свободные» и указать порт «21» (без кавычек). Опцию «Разрешить имена виртуальных узлов» оставьте неактивной, после чего активируйте параметр «Запускать сайт FTP автоматически», поставив отметку у соответствующего пункта. Установите переключатель в блоке «SSL» в положение «Без SSL» и нажмите по кнопке «Далее».


Картинка с сайта: lumpics.ru

6. Задайте параметры проверки подлинности и авторизации. На этом этапе вы выбираете, какому типу аккаунтов будет разрешено подключаться к вашему серверу. Если вы хотите дать доступ всем юзерам, тогда установите галочку напротив пункта «Анонимный». Отметив пункт «Обычная», все пользователи при авторизации должны будут указывать логин и пароль. Остальные параметры на этой странице оставьте нетронутыми, после чего нажмите по «Готово».
   

   Картинка с сайта: lumpics.ru

   Примечание! Также вы можете отметить два этих пункта одновременно, но в будущем задать дополнительные правила, ограничив анонимным пользователям возможность вносить изменения в файлы на сервере.

7. В результате сервер FTP будет создан, в чем вы можете убедиться на странице со списком всех сайтов.


Картинка с сайта: lumpics.ru

Шаг 3: Настройка доступа

Несмотря на то что все необходимые компоненты для работы сервера FTP установлены в системе и создан сайт, подключиться другим юзерам к вашему компьютеру не получится из-за отсутствия соответствующих правил в брандмауэре. Поэтому их необходимо задать, и делается это следующим образом:

1. Запустите «Панель управления» и найдите в списке пункт «Брандмауэр Защитника Windows», после чего нажмите по нему дважды кнопкой мыши.


Картинка с сайта: lumpics.ru

2. На боковой панели слева кликните по ссылке «Дополнительные параметры».


Картинка с сайта: lumpics.ru

3. В отобразившемся меню воспользуйтесь навигационной панелью слева, чтобы перейти в раздел «Правила для входящих подключений». Затем в основном блоке интерфейса найдите в списке пункт «FTP-сервер (входящий трафик FTP)» и нажмите по нему правой кнопкой мыши, после чего в появившемся контекстном меню кликните по строке «Включить правило». Повторите то же самое с правилом «Пассивный FTP-сервер (пассивный входящий трафик FTP)».


Картинка с сайта: lumpics.ru

4. Снова воспользуйтесь навигационной панелью слева, чтобы перейти в раздел «Правила для исходящего подключения». В нем найдите правило с названием «FTP-сервер (исходящий трафик FTP)» и включите его через контекстное меню, как это было описано ранее. Можете закрыть окно брандмауэра и переходить к следующему шагу текущей инструкции.


Картинка с сайта: lumpics.ru

Шаг 4: Создание группы пользователей

Важно! Этот шаг можно пропустить, если на предыдущем вы предоставляли доступ только анонимным пользователям.

Чтобы пользователи смогли авторизоваться при подключении к серверу FTP, необходимо создать соответствующую группу доверенных аккаунтов. Делается это следующим образом:

1. Перейдите в «Панель управления» и откройте раздел «Администрирование».


Картинка с сайта: lumpics.ru

2. В списке доступных системных утилит найдите «Управление компьютером» и откройте ее двойным нажатием мыши.


Картинка с сайта: lumpics.ru

3. Воспользуйтесь навигационной панелью слева, чтобы перейти в раздел «Локальные пользователи или группы», а затем откройте папку «Группы». В основном меню кликните правой кнопкой мыши по пустому месту и выберите из контекстного меню пункт «Создать группу».


Картинка с сайта: lumpics.ru

4. В открывшейся форме введите значение «FTP» в поле «Имя группы». То же самое укажите в графе «Описание». Кликните по кнопке «Создать».


Картинка с сайта: lumpics.ru

5. Вернитесь в окно «Управление компьютером» и проследуйте через боковую панель в директорию «Пользователи». В списке всех аккаунтов щелкните по пустому месту правой кнопкой мыши и из контекстного меню выберите пункт «Новый пользователь».


Картинка с сайта: lumpics.ru

6. В форме создания новой учетной записи в строке «Пользователь» укажите ее название — оно может быть любым. Аналогичным образом заполните поля «Полное имя» и «Описание», придумайте пароль и продублируйте его в поле «Подтверждение». Снимите отметку с опции «Требовать смены пароля при следующем входе в систему» и установите галочки напротив пунктов «Запретить смену пароля пользователем» и «Срок действия пароля не ограничен», чтобы его не приходилось систематически изменять вручную. В завершение кликните по «Создать».


Картинка с сайта: lumpics.ru

7. Вернитесь в папку «Группы» и откройте свойства ранее созданной группы «FTP». Для этого щелкните по ее названию правой кнопкой мыши, а затем по пункту «Свойство».


Картинка с сайта: lumpics.ru

8. В открывшейся форме вам необходимо добавить только что созданного пользователя. Для этого сначала кликните по кнопке «Добавить».
   

   Картинка с сайта: lumpics.ru

   В новом окне введите имя пользователя в соответствующее поле. Чтобы не делать это вручную, его можно выбрать из списка, перейдя в раздел «Дополнительно».

   

   Картинка с сайта: lumpics.ru

   Щелкните по кнопке «Поиск», чтобы отобразить перечень доступных учетных записей и групп, найдите и выделите в списке нужный аккаунт и кликните на «ОК».

   

   Картинка с сайта: lumpics.ru

   Убедитесь, что новый пользователь отображается в указанном на изображении ниже поле, после чего щелкните по кнопке «ОК».

   

   Картинка с сайта: lumpics.ru

   Если вы все сделали верно, тогда в свойствах группы «FTP» будет отображаться выбранный пользователь. При успешном выполнении поставленной задачи сохраните внесенные изменения, используя «ОК».



Картинка с сайта: lumpics.ru

Примечание! При необходимости аналогичным образом вы можете создать и добавить в группу других пользователей. Вследствие этого к вашему серверу смогут подключиться сразу несколько авторизованных устройств.

Шаг 5: Изменение параметров безопасности целевой директории

На втором шаге текущей инструкции вы выбирали директорию, к которой у других людей будет доступ. Но они все равно не смогут ее открыть, пока не будут заданы соответствующие параметры безопасности. Делается это следующим образом:

1. Откройте файловый менеджер «Проводник» и перейдите в раздел «Этот компьютер». Если нужно, перейдите к выбранной на втором шаге директории и кликните по ней правой кнопкой мыши, чтобы вызвать окно «Свойства».


Картинка с сайта: lumpics.ru

2. В новом окне проследуйте на вкладку «Безопасность» и нажмите «Изменить».


Картинка с сайта: lumpics.ru

3. После этого в похожем меню кликните по кнопке «Добавить», чтобы открыть интерфейс добавления новых пользователей и групп.
4. Добавьте группу «FTP», чтобы в дальнейшем предоставить всем ее пользователям доступ к файлам выбранной директории. Делается это таким же способом, как было описано в последнем пункте инструкции на предыдущем шаге. Вам необходимо выбрать из списка нужный пункт, а после подтвердить это действие.


Картинка с сайта: lumpics.ru

5. Вернувшись в окно свойств безопасности, выделите в списке «Группы или пользователи» строку «FTP», после чего поставьте в блоке «Разрешения для группы «FTP»» отметку на пересечении столбца «Разрешить» и строки «Полный доступ». Как только вы это сделаете, автоматически проставятся все оставшиеся отметки в столбце «Разрешить». Закончив, щелкните по «ОК».
6. В окне «Свойств» директории тоже кликните по «ОК», чтобы его закрыть. Сразу после этого можно переходить к следующему шагу этой инструкции.


Картинка с сайта: lumpics.ru

Шаг 6: Добавление правил авторизации

Сейчас будут задаваться права пользователям на взаимодействие с файлами при входе на сервер FTP. Отметим, что вы можете их устанавливать отдельно для авторизованных аккаунтов и анонимных:

1. Вызовите окно «Панели управления», а затем перейдите в раздел «Администрирование».


Картинка с сайта: lumpics.ru

2. В списке всех утилит найдите и запустите «Диспетчер служб IIS».


Картинка с сайта: lumpics.ru

3. В открывшемся окне найдите в блоке «FTP» пункт «Правила авторизации FTP» и кликните по нему дважды кнопкой мыши.


Картинка с сайта: lumpics.ru

4. В новом меню нажмите правой кнопкой мыши по пустому месту, а после этого выберите из появившегося списка опций «Добавить разрешающее правило».


Картинка с сайта: lumpics.ru

5. В отобразившейся форме, если вы хотите задать права доступа для авторизованных пользователей, установите переключатель в положение «Указанные роли или группы пользователей» и в активированном поле введите «FTP» (без кавычек). В блоке «Разрешения» поставьте галочки напротив желаемых прав доступа. Для авторизованных юзеров рекомендуется выдавать полные права на запись и чтение. В завершение кликните по кнопке «ОК».
   

   Картинка с сайта: lumpics.ru

   Вы также можете задать разрешения для анонимных пользователей: создайте новое правило и установите переключатель в положение «Все анонимные пользователи», а затем выберите разрешения, отметив нужные галочкой. Анонимным юзерам рекомендуется предоставлять доступ только для чтения, чтобы те не могли вносить изменения в файлы на сервере. В конце не забудьте нажать по «ОК», сохраняя тем самым внесенные правки.



Картинка с сайта: lumpics.ru

Шаг 7: Подключение к FTP-серверу с другого компьютера

После того как сервер FTP будет создан и полностью настроен, к нему можно подключиться с другого устройства. Для этого необходимо знать IP компьютера, на котором он был запущен. Узнать его можно через «Командную строку» путем ввода всего одной команды. Но есть и другие способы достижения поставленной задачи. Все они подробно описываются в другой статье на нашем сайте. Ознакомиться с ней можно посредством представленной ниже ссылки.

Подробнее: Определение IP-адреса компьютера в Windows 10

Картинка с сайта: lumpics.ru

Зная IP целевого компьютера, к нему можно подключиться с другого устройства непосредственно из окна «Проводника». Запустите его и вставьте в адресную строку команду следующего формата:

ftp://<ip-адрес>/

Вместо <ip-адрес> необходимо указать сетевой адрес компьютера, на котором запущен сервер FTP. Пример выполнения такой команды можно видеть на изображении ниже. Таким образом на сервере может авторизоваться аноним.

Картинка с сайта: lumpics.ru

Если вы хотите войти на сервер FTP с помощью логина и пароля, тогда в адресной строке необходимо ввести команду следующего синтаксиса:

ftp://<логин>:<пароль>@<ip-адрес>/

Заполните указанные данные и нажмите Enter — сразу после этого перед вами отобразится сетевая папка и вы будете иметь полный доступ ко всем находящимся там файлам. Явный пример ввода команды можно видеть непосредственно на изображении ниже.

Картинка с сайта: lumpics.ru

Обратите внимание! Войти на сервер FTP можно не только через стандартный файловый менеджер операционной системы, но и через любой доступный браузер. На эту тему у нас написана отдельная статья, с которой вы можете ознакомиться, перейдя по ссылке ниже.

Подробнее: Как войти на FTP-сервер через браузер

Картинка с сайта: lumpics.ru

Способ 2: FileZilla Server

Настроить сервер FTP можно как средствами операционной системы, так и с помощью стороннего программного обеспечения под названием FileZilla Server. Сначала потребуется выполнить настройку этого приложения, а делать это следует на компьютере, к которому будут подключаться, то есть на сервере. Подробная инструкция по этой теме размещена в другой публикации на нашем сайте — ознакомьтесь с ней, перейдя по ссылке ниже.

Подробнее: Настройка программы FileZilla Server

Картинка с сайта: lumpics.ru

Как только сервер FTP будет настроен, к нему можно подключиться. Сделать это можно стандартным способом, как это было описано ранее в статье, или воспользоваться непосредственно программой FileZilla. На эту тему у нас тоже есть материал.

Подробнее: Настройка FTP-клиента FileZilla

Картинка с сайта: lumpics.ru

Наша группа в TelegramПолезные советы и помощь

В этой пошаговой инструкции мы рассмотрим, как установить и настроить FTP сервер для простого обмена файлов на Windows Server. Во всех версий Windows Server (а также десктопных редакциях Windows 10/11) доступна встроенная роль сервера FTP, которая реализована на базе веб сервера IIS.

Установка FTP сервера в Windows, создание FTP сайта

Чтобы установить роль FTP сервера в Windows Server, нужно открыть консоль Server Manager, запустите мастер Add Roles and Features, разверните роль Web Server (IIS) -> FTP Server и отметьте опции FTP Service и FTP Extensibility.

Картинка с сайта: winitpro.ru

В Windows 10 и 11 установить компоненты FTP сервера можно через консоль Turn Windows features on or off (команда
optionalfeatures
). Разверните компонент Internet Information Services и выберите для установки службы FTP.

После установки роли вы можете создать FTP сайт. Для управления FTP сервером в Windows используется консоль управления IIS (inetmgr).

Создайте новый FTP сайт (Sites -> Add FTP Site).

• Имя FTP сайта: MyTestSite
• Корневой каталог FTP сайта: C:\inetpub\ftproot

Картинка с сайта: winitpro.ru

На следующем этапе можно выбрать сертификат для шифрования и защиты FTP трафика, которые рекомендуется использовать при передаче FTP данных через открытые сети. (подробнее о настройке FTP over SSL (FTPS) в Windows). В данном случае мы не используем шифрование (опция No SSL).

Картинка с сайта: winitpro.ru

На этапе Authentication and Authorization оставьте настройки по умолчанию (мы настроим права доступа позже).

Настройка прав доступа на FTP сервере в Windows

FTP сервер на Windows поддерживает два типа аутентификации пользователей:

• Anonymous Authentication – к FTP серверу может подключиться кто угодно (в качестве имени указывается anonymous или guest, а в качестве пароля — произвольный email-адрес);
• Basic Authentication – для подключения к FTP серверу пользователь должен аутентифицироваться с помощью своей учетной записи (доменной или локальной).

В нашем случае мы разрешим только
Basic Authentication
(разверните секцию FTP Authentication в настройках сайта и включите только этот режим).

Картинка с сайта: winitpro.ru

Для удобства предоставления доступа к FTP сайту, создайте локальную группу ftp_users.

Картинка с сайта: winitpro.ru

Создадим локального пользователя ftp_user1 и добавим его в группу:

net user ftp_user1 /add *
net localgroup ftp_users ftp_user1 /add

Затем в эту же группу добавим доменного пользователя:

net localgroup ftp_users winitpro\kbuldogov /add

Картинка с сайта: winitpro.ru

Предоставьте созданной группе ftp_users права RW на каталог C:\inetpub\ftproot.

Картинка с сайта: winitpro.ru

Затем нужно разрешить доступ к сайту в консоли управления FTP. Выберите раздел FTP Authorization Rules -> Add allow Rule. Создайте правило:

• Specified roles or user groups: ftp_users (разрешить доступ к сайту для указанной группы)
• Permissions: Read + Write (разрешить и чтение и запись в FTP каталог)

Картинка с сайта: winitpro.ru

Теперь пользовали могут подключиться к FTP серверу. Для подключения можно использовать любой сторонний FTP клиент, или открыть FTP прямо из проводника Windows.

Укажите в адресной строке проводника Windows адрес FTP сервера в формате
ftp://192.168.13.221/
, укажите учетную запись пользователя и пароль.

Картинка с сайта: winitpro.ru

Пользователь должен увидеть список файлов и папок на FTP сервере.

В данном случае все пользователи подключаются к корню FTP сайта и видят все файлы. FTP сервер в Windows поддерживает режим изоляции, при котором для каждого пользователя создается персональный каталог.

Настройка изоляции FTP пользователей в Windows

Если вам нужно ограничить доступ FTP пользователей только к своим папкам (домашним каталогам), нужно включить режим изоляции. Откройте пункт FTP User Isolation в настройка сервера.

Первые две не предполагают изоляции пользователей:

• FTP root directory – пользователь подключается в корневой каталога ftp-сайта;
• User name directory – пользователь подключается в каталог с именем пользователя. Если каталог отсутствует, сессия начинается с корневого каталога ftp-сайта.

Следующие 3 опции представляют различные режимы работы изоляции пользователей:

• User name directory (disable global virtualdirectories) – ftp-сессия пользователя изолирована каталогом имя которого соответствует имени пользователя ftp. Пользователи видят только собственный каталог (для них он является корневым) и не могут выйти за его рамки (в вышестоящий каталог дерева FTP). Любые глобальные виртуальные каталоги игнорируются;
• User name physical directory (enable global virtual directories) – FTP-сессия пользователя ограничена (изолирована) физическим каталогом с именем учетной записи пользователя FTP. Пользователь не может перейти выше своего каталога по структуре FTP. Однако пользователю доступны все созданные глобальные виртуальные каталоги;
• FTP home directory configured in Active Directory – FTP-пользователь изолируется в рамках своего домашнего каталога, заданного в настройках его учетной записи Active Directory (свойства FTPRoot и FTPDir).

Картинка с сайта: winitpro.ru

Выберите нужный режим изоляции (в этом примере я использую второй вариант изоляции ftp пользователей).

Теперь внутри каталога C:\inetpub\ftproot нужно создать персональные директории для пользователей. В зависимости от типа учетной записи, путь к домашнему каталогу будет отличаться.

В данном примере у меня есть два пользователя, для которых я создам следующие каталог

• Локальный пользователь ftp_user1 (
  C:\inetpub\ftproot\LocalUser\ftpuser1
  )
• Доменный пользователь resource\kbuldogov (
  C:\inetpub\ftproot\resource\kbuldogov
  )

Теперь при подключении FTP пользователи будут видеть файлы только в своих персональных каталогах.

Быстрая установка и настройка FTP-сервера в Windows с помощью PowerShell

Для быстрого развертывания FTP сервера на Windows можно использовать PowerShell скрипт.

Установить роль FTP сервера в Windows Server:
Install-WindowsFeature Web-FTP-Server -IncludeAllSubFeature -IncludeManagementTools

Создать локального пользователя и группу с помощью PowerShell:
$pass = ConvertTo-SecureString "P@ssw0rd!" -AsPlainText -Force
New-LocalUser -Name ftp_user1 -Password $pass
New-LocalGroup -Name ftp_users
Add-LocalGroupMember -Group ftp_users -Member ftp_user1

Создать каталог для FTP сайта, предоставить NTFS права доступа для группы ftp_group:

$ftproot='C:\inetpub\ftproot\MyFTP'
mkdir $ftproot
New-WebFtpSite -Name MyFTP -IPAddress "*" -PhysicalPath $ftproot -Port 21
icacls $ftproot /grant "ftp_group:(OI)(CI)(F)"

Разрешить подключение без SSL:

$FtpSite="IIS:\Sites\MyFTP"
Set-ItemProperty $FtpSite -Name ftpServer.security.ssl.controlChannelPolicy -Value "SslAllow"
Set-ItemProperty $FtpSite -Name ftpServer.security.ssl.dataChannelPolicy -Value "SslAllow"

Включить basic аутентификацию:

Set-ItemProperty $FtpSite -Name ftpServer.security.authentication.basicAuthentication.enabled -Value $true

Разрешить доступ к сайту для указанной группы:

Add-WebConfiguration "/system.ftpServer/security/authorization" -Location MyFTP -PSPath IIS:\ -Value @{accessType="Allow";roles="ftp_users";permissions="Read,Write"}

Если нужно ограничить к FTP сайту доступ по IP:

Set-ItemProperty $FtpSite -Name ftpServer.firewallSupport.externalIp4Address -Value "192.168.10.101"

Создайте правило в Windows Defender Firewall, которое разрешает доступ к FTP серверу:

New-NetFirewallRule -Name "FTP 21" -DisplayName "FTP 21" -Profile All -Direction Inbound -Action Allow -Protocol TCP -LocalPort 21 -Program "%windir%\system32\svchost.exe"

Перезапустить FTP сайт:

Restart-WebItem -PSPath $FtpSite

Проверьте доступность FTP сервера с помощью командлета Test-NetConnection:

Test-NetConnection -ComputerName yourftpservername -Port 21

C:\Users\Administrator>ftp
ftp> open localhost
ftp> dir
Not connected.
ftp>

C:\Users\Administrator>dir c:\inetpub
 Volume in drive C has no label.
 Volume Serial Number is 9420-A68C

 Directory of c:\inetpub

12/23/2015  03:52 PM    <DIR>          .
12/23/2015  03:52 PM    <DIR>          ..
12/23/2015  03:52 PM    <DIR>          ftproot
               0 File(s)              0 bytes
               3 Dir(s)  59,508,944,896 bytes free

C:\Users\Administrator>dir c:\inetpub\ftproot
 Volume in drive C has no label.
 Volume Serial Number is 9420-A68C

 Directory of c:\inetpub\ftproot

12/23/2015  03:52 PM    <DIR>          .
12/23/2015  03:52 PM    <DIR>          ..
               0 File(s)              0 bytes
	       2 Dir(s)  59,508,944,896 bytes free

C:\Users\Public\Documents>ftp
ftp> open localhost
Connected to ftp.example.com.
220 Microsoft FTP Service
User (ftp.example.com:(none)): anonymous
331 Anonymous access allowed, send identity (e-mail name) as password.
Password:
230 User logged in.
ftp> put somefile.txt
200 EPRT command successful.
550-Access is denied.
 Win32 error:   Access is denied.
 Error details: File system denied the access.
550 End
ftp>

ftp> open localhost
Connected to ftp.example.com
220 Microsoft FTP Service
User (ftp.example.com:(none)): anonymous
331 Anonymous access allowed, send identity (e-mail name) as password.
Password:
230 User logged in.
ftp> put somefile.txt
200 EPRT command successful.
125 Data connection already open; Transfer starting.
226 Transfer complete.
ftp: 11 bytes sent in 0.00Seconds 11000.00Kbytes/sec.
ftp>

C:\Users\Administrator>netsh advfirewall firewall set rule group="FTP Server" ne
w enable="yes"

Updated 5 rule(s).
Ok.


C:\Users\Administrator>

In this step-by-step guide, we’ll look at how to install and configure an FTP server for easy file transfer on Windows Server. The built-in FTP server is available in all versions of Windows Server (as well as the desktop editions of Windows 10/11) and is based on the IIS web server role.

Install an FTP Server on Windows and Create an FTP Site

To install the FTP Server role in Windows Server, open the Server Manager console, run the Add Roles and Features wizard, expand Web Server (IIS) -> FTP Server, and check the options FTP Service and FTP Extensibility.

In Windows 10 and 11, you can install FTP server components using the Turn Windows Features on or off dialog (run the optionalfeatures command). Expand the Internet Information Services and select the FTP Server services to install.

Once you have installed the role, you can create an FTP site. Use the IIS management console (inetmgr) to manage an FTP server on Windows.

Create a new FTP site (Sites -> Add FTP Site).

• FTP site name: MyTestSite
• FTP site root directory: C:\inetpub\ftproot

The next step allows you to select a certificate to encrypt and protect FTP traffic (FTP over SSL /FTPS), which is recommended for use when transferring FTP data over public networks. In this case, we don’t use encryption (No SSL option).

Leave the default settings in the Authentication and Authorization step (we will configure FTP user access permissions later).

Setup User Access Permission on Windows FTP Server

There are two types of user authentication supported by the Windows FTP server:

• Anonymous Authentication – Anyone can access the FTP server (anonymous or guest is specified as the name of the user and any  e-mail address as a password);
• Basic Authentication – the user must authenticate with their Windows account (local or domain) to connect to the FTP server.

In this case, we will only allow Basic Authentication (in the Site Settings, expand the FTP Authentication section and enable only this mode).

To make it easier to grant access to the FTP site, create a local group called ftp_users.

Let’s create a local user ftp_user1 and add it to the group:

net user ftp_user1 /add *
net localgroup ftp_users ftp_user1 /add

Then add a domain user to that group:

net localgroup ftp_users woshub\m.korman /add

Картинка с сайта: woshub.com

Give the ftp_users group you created NTFS RW permissions on the C:\inetpub\ftproot directory.

Next, allow specified users and groups to access the FTP site. In the IIS console, select FTP Authorization Rules -> Add allow Rule:

• Specified roles or user groups: ftp_users (users in this group can access FTP)
• Permissions: Read + Write (Allow both reading and writing to the FTP directory

Картинка с сайта: woshub.com

Users can now connect to the FTP server. You can connect to an FTP server with any third-party FTP client, or open FTP directly from Windows Explorer.

In the File Explorer address bar, type the address of the FTP server in the format ftp://192.168.3.21/ and specify the user account and password.

A user should see a list of files and folders on the FTP server.

In this case, all the users will connect to the root of the FTP site and will see all the files. The Windows FTP server supports isolation mode, which allows the creation of a home directory for each user.

Configure FTP User Isolation on Windows

If you need to restrict FTP users’ access to only their folders (home directories), you need to enable the FTP isolation mode. In IIS, open the FTP user isolation in the site setting.

The first two options don’t suggest user isolation:

• FTP root directory – the user connects to the FTP site root;
• User name directory – FTP user session starts with the %username% directory. The session will start from the ftp site root if this directory doesn’t exist.

Different modes of user isolation are available in the next three options:

• • User name directory (disable global virtual directories) – the user’s FTP session is isolated by a directory whose name corresponds to the FTP username. Users only see their own directory (it is their root FTP-directory) and cannot go beyond it (to an upper directory in the FTP tree). Any global virtual directories will be ignored;
  • User name physical directory (enable global virtual directories) – the user’s FTP session is restricted (isolated) to a physical directory that has the same name as the name of the FTP user account. A user cannot go outside their FTPHome directory. All global virtual directories are available to users;

• FTP home directory configured in Active Directory – The FTP user is isolated within the home directory specified in their Active Directory account settings (FTPRoot and FTPDir user attributes).

Картинка с сайта: woshub.com

Select the isolation mode you want to use (in this example, I am using the second option to isolate the FTP users).

Now you need to create personal directories for users in C:\inetpub\ftproot. Depending on the type of user account, the path to the FTP home directory will be different.

In this example, I have two users for whom I will create the following directories

• Local user ftp_user1 ( C:\inetpub\ftproot\LocalUser\ftp_user1 )
• Domain user woshub\m.korman ( C:\inetpub\ftproot\woshub\m.korman )

Users will now only see files in their home directories when connecting to an FTP server.

Install and Configure an FTP Server with PowerShell

You can quickly deploy an FTP server on Windows using the PowerShell script.

Install the FTP server role and management tools on Windows Server:

Install-WindowsFeature Web-FTP-Server -IncludeAllSubFeature -IncludeManagementTools

Create a local user and group using PowerShell:

$pass = ConvertTo-SecureString "myPassw0rd22!" -AsPlainText -Force
New-LocalUser -Name ftp_user1 -Password $pass
New-LocalGroup -Name ftp_users
Add-LocalGroupMember -Group ftp_users -Member ftp_user1

Create an FTP site directory and grant NTFS access permissions to the ftp_users group:

$ftproot='C:\inetpub\ftproot\MyFTP'
mkdir $ftproot
New-WebFtpSite -Name MyFTP -IPAddress "*" -PhysicalPath $ftproot -Port 21
icacls $ftproot /grant "ftp_group:(OI)(CI)(F)"

Allow to connect without using SSL:

$FtpSite="IIS:\Sites\MyFTP"
Set-ItemProperty $FtpSite -Name ftpServer.security.ssl.controlChannelPolicy -Value "SslAllow"
Set-ItemProperty $FtpSite -Name ftpServer.security.ssl.dataChannelPolicy -Value "SslAllow"

Allow basic authentication on the FTP site:

Set-ItemProperty $FtpSite -Name ftpServer.security.authentication.basicAuthentication.enabled -Value $true

Allow the specified group to access the FTP site:

Add-WebConfiguration "/system.ftpServer/security/authorization" -Location MyFTP -PSPath IIS:\ -Value @{accessType="Allow";roles="ftp_users";permissions="Read,Write"}

To restrict access to an FTP site by source IP address:

Set-ItemProperty $FtpSite -Name ftpServer.firewallSupport.externalIp4Address -Value "10.2.1.100"

Create a Windows Defender firewall rule to allow access to the FTP server:

New-NetFirewallRule -Name "FTP 21" -DisplayName "FTP 21" -Profile All -Direction Inbound -Action Allow -Protocol TCP -LocalPort 21 -Program "%windir%\system32\svchost.exe"

Restart the FTP site:

Restart-WebItem -PSPath $FtpSite

Use the Test-NetConnection cmdlet to verify that your FTP server is available:
Test-NetConnection -ComputerName yourftpservername -Port 21