Vytvořit oprávnění
Operace Create Permission
vytvoří oprávnění (popisovač zabezpečení) na úrovni sdílené složky. Vytvořený popisovač zabezpečení můžete použít pro soubory a adresáře ve sdílené složce. Toto rozhraní API je dostupné od verze 2019-02-02-02.
Dostupnost protokolu
Povolený protokol sdílené složky | K dispozici. |
---|---|
SMB | |
NFS |
Žádost
Požadavek můžete vytvořit, Create Permission
jak je znázorněno tady. Doporučujeme používat protokol HTTPS.
Metoda | Identifikátor URI žádosti | Verze PROTOKOLU HTTP |
---|---|---|
PUT |
https://myaccount.file.core.windows.net/myshare?restype=share&comp=filepermission |
HTTP/1.1 |
Nahraďte komponenty cesty uvedené v identifikátoru URI požadavku vlastními komponentami, jak je znázorněno tady:
Komponenta cesty | Description |
---|---|
myaccount |
Název vašeho účtu úložiště. |
myshare |
Název sdílené složky. Název může obsahovat pouze malá písmena. |
Informace o omezeních pojmenování cest najdete v tématu Názvy a odkazy na sdílené složky, adresáře, soubory a metadata.
Parametry identifikátoru URI
V identifikátoru URI požadavku můžete zadat další parametry, jak je znázorněno tady:
Parametr | Popis |
---|---|
timeout |
Nepovinný parametr. Parametr timeout se vyjadřuje v sekundách. Další informace najdete v tématu Nastavení časových limitů pro operace služby Fronta. |
Hlavičky požadavku
Požadované a volitelné hlavičky požadavků jsou popsané v následující tabulce:
Hlavička požadavku | Popis |
---|---|
Authorization |
Povinná hodnota. Určuje schéma autorizace, název účtu úložiště a podpis. Další informace najdete v tématu Autorizace požadavků do služby Azure Storage. |
Date nebo x-ms-date |
Povinná hodnota. Určuje formát UTC (Coordinated Universal Time). Další informace najdete v tématu Autorizace požadavků do služby Azure Storage. |
x-ms-version |
Nepovinný parametr. Určuje verzi operace, která se má pro tento požadavek použít. Další informace najdete v tématu Správa verzí pro služby Azure Storage. |
x-ms-client-request-id |
Nepovinný parametr. Poskytuje klientem vygenerovanou neprůselnou hodnotu s limitem počtu znaků 1 kibibajt (KiB), který je zaznamenán v protokolech při konfiguraci protokolování. Důrazně doporučujeme použít tuto hlavičku ke korelaci aktivit na straně klienta s požadavky, které server přijímá. Další informace najdete v tématu Monitorování Azure Files. |
x-ms-file-request-intent |
Vyžaduje se, pokud Authorization hlavička určuje token OAuth. Přijatelná hodnota je backup . Tato hlavička určuje, že Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action by se měly udělit nebo Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action , pokud jsou zahrnuté v zásadách RBAC přiřazené identitě, která je autorizována pomocí hlavičky Authorization . K dispozici pro verzi 2022-11-02 a novější. |
Text požadavku
Popisovač zabezpečení vytvoříte pomocí textu požadavku, což je dokument JSON, který popisuje oprávnění v jazyce SDDL (Security Descriptor Definition Language). SDDL musí mít vlastníka, skupinu a volitelný seznam řízení přístupu (DACL). Zadaný formát řetězce SDDL popisovače zabezpečení by neměl obsahovat relativní identifikátor domény (například DU, DA nebo DD).
{
"Permission": "SDDL"
}
Ukázkový požadavek
PUT https://myaccount.file.core.windows.net/myshare?restype=share&comp=filepermission HTTP/1.1
Request Headers:
x-ms-date: Mon, 27 Jan 2014 22:15:50 GMT
x-ms-version: 2014-02-14
Authorization: SharedKey myaccount:4KdWDiTdA9HmIF9+WF/8WfYOpUrFhieGIT7f0av+GEI=
Request Body:
{"permission": "O:S-1-5-21-2127521184-1604012920-1887927527-21560751G:S-1-5-21-2127521184-1604012920-1887927527-513D:AI(A;;FA;;;SY)(A;;FA;;;BA)(A;;0x1200a9;;;S-1-5-21-397955417-626881126-188441444-3053964)"}
Odpověď
Odpověď obsahuje stavový kód HTTP a sadu hlaviček odpovědi.
Stavový kód
Úspěšná operace vrátí stavový kód 201 (Vytvořeno).
Informace o stavových kódech najdete v tématu Kódy stavu a chyb.
Hlavičky odpovědi
Odpověď na tuto operaci obsahuje následující hlavičky. Odpověď může také obsahovat další standardní hlavičky HTTP. Všechny standardní hlavičky odpovídají specifikaci protokolu HTTP/1.1.
Hlavička odpovědi | Description |
---|---|
x-ms-request-id |
Jednoznačně identifikuje požadavek, který byl proveden, a můžete ho použít k řešení potíží s požadavkem. |
x-ms-version |
Označuje Azure Files verzi, která byla použita ke spuštění požadavku. |
Date nebo x-ms-date |
Hodnota data a času UTC, která je vygenerovaná službou a která označuje čas, kdy byla odpověď inicializována. |
x-ms-file-permission-key |
Klíč vytvořeného oprávnění. |
x-ms-client-request-id |
Dá se použít k řešení potíží s požadavky a jejich odpovídajícími odpověďmi. Hodnota této hlavičky se rovná hodnotě x-ms-client-request-id hlavičky, pokud se nachází v požadavku, a hodnota obsahuje maximálně 1 024 viditelných znaků ASCII. Pokud se hlavička x-ms-client-request-id v požadavku nenachází, v odpovědi se nenachází. |
Text odpovědi
Žádné
Autorizace
Tuto operaci může volat pouze vlastník účtu nebo volající, který má sdílený přístupový podpis na úrovni sdílené složky s autorizací pro zápis a odstranění.
Poznámky
Chcete-li formát SDDL přenositelný napříč doménou a počítači, které nejsou připojeny k doméně, může volající použít funkci ConvertSecurityDescriptorToStringSecurityDescriptor() systému Windows k získání základního řetězce SDDL pro popisovač zabezpečení. Volající pak může nahradit zápis SDDL, který je uveden v následující tabulce, správnou hodnotou SID.
Name | Notace SDDL | Hodnota SID | Description |
---|---|---|---|
Místní správce | LA | S-1-5-21domain-500 | Uživatelský účet pro správce systému. Ve výchozím nastavení je to jediný uživatelský účet, který má plnou kontrolu nad systémem. |
Místní hosté | LG | S-1-5-21domain-501 | Uživatelský účet pro uživatele, kteří nemají individuální účty. Tento uživatelský účet nevyžaduje heslo. Ve výchozím nastavení je účet hosta zakázaný. |
Vydavatelé certifikátů | CA | S-1-5-21doména-517 | Globální skupina, která zahrnuje všechny počítače s certifikační autoritou organizace. Vydavatelé certifikátů mají oprávnění publikovat certifikáty pro objekty uživatele ve službě Active Directory. |
Domain Admins | DA | S-1-5-21doména-512 | Globální skupina, jejíž členové mají oprávnění ke správě domény. Ve výchozím nastavení je skupina Domain Admins členem skupiny Administrators na všech počítačích, které se připojily k doméně, včetně řadičů domény. Domain Admins je výchozím vlastníkem libovolného objektu vytvořeného libovolným členem skupiny. |
Řadiče domény | DD | S-1-5-21doména-516 | Globální skupina, která zahrnuje všechny řadiče domény v doméně. Do této skupiny jsou ve výchozím nastavení přidány nové řadiče domény. |
Uživatelé domény | DU | S-1-5-21doména-513 | Globální skupina, která ve výchozím nastavení zahrnuje všechny uživatelské účty v doméně. Když vytvoříte uživatelský účet v doméně, přidá se do této skupiny ve výchozím nastavení. |
Hosté domény | GŘ | S-1-5-21doména-514 | Globální skupina, která má ve výchozím nastavení jenom jednoho člena– předdefinovaný účet hosta domény. |
Počítače domény | DC | S-1-5-21doména-515 | Globální skupina, která zahrnuje všechny klienty a servery, které se připojily k doméně. |
Schema Admins | SA | S-1-5-21root doména-518 | Univerzální skupina v doméně nativního režimu; globální skupina v doméně smíšeného režimu. Skupina má oprávnění provádět změny schématu ve službě Active Directory. Ve výchozím nastavení je jediným členem skupiny účet správce kořenové domény doménové struktury. |
Enterprise Admins | EA | S-1-5-21root doména-519 | Univerzální skupina v doméně nativního režimu; globální skupina v doméně smíšeného režimu. Skupina má oprávnění provádět změny v rámci doménové struktury ve službě Active Directory, například přidávat podřízené domény. Ve výchozím nastavení je jediným členem skupiny účet správce kořenové domény doménové struktury. |
Group Policy Creator Owners | PA | S-1-5-21doména-520 | Globální skupina, která má oprávnění vytvářet nové objekty Zásady skupiny ve službě Active Directory. |
Servery RAS a IAS | RS | S-1-5-21doména-553 | Místní skupina domény. Ve výchozím nastavení nemá tato skupina žádné členy. Servery serveru vzdáleného přístupu (RAS) a služby IAS (Internet Authentication Service) v této skupině mají přístup k uživatelským objektům v místní skupině domény služby Active Directory omezení účtu pro čtení a informace o přihlášení ke čtení. |
Podnikové řadiče domény jen pro čtení | ED | S-1-5-21doména-498 | Univerzální skupina. Členové této skupiny jsou řadiče domény jen pro čtení v podniku. |
Read-Only Domain Controllers | RO | S-1-5-21doména-521 | Globální skupina. Členové této skupiny jsou řadiče domény jen pro čtení v doméně. |