Sdílet prostřednictvím


Vytvořit oprávnění

Operace Create Permission vytvoří oprávnění (popisovač zabezpečení) na úrovni sdílené složky. Pro soubory a adresáře ve sdílené složce můžete použít vytvořený popisovač zabezpečení. Toto rozhraní API je k dispozici od verze 2019-02-02.

Dostupnost protokolu

Povolený protokol sdílené složky K dispozici
SMB Ano
NFS Bez

Prosba

Můžete vytvořit požadavek Create Permission, jak je znázorněno zde. Doporučujeme používat PROTOKOL HTTPS.

Metoda Identifikátor URI požadavku Verze HTTP
PUT https://myaccount.file.core.windows.net/myshare?restype=share&comp=filepermission HTTP/1.1

Nahraďte komponenty cesty uvedené v identifikátoru URI požadavku vlastními komponentami, jak je znázorněno tady:

Komponenta Path Popis
myaccount Název vašeho účtu úložiště.
myshare Název sdílené složky. Název může obsahovat jenom malá písmena.

Informace o omezeních pojmenování cest najdete v tématu Název a odkazové sdílené složky, adresáře, soubory a metadata.

Parametry identifikátoru URI

Pro identifikátor URI požadavku můžete zadat další parametry, jak je znázorněno tady:

Parametr Popis
timeout Volitelný. Parametr timeout se vyjadřuje v sekundách. Další informace najdete v tématu Nastavení časových limitů pro operace frontové služby.

Hlavičky požadavku

Povinná a volitelná hlavička požadavku jsou popsána v následující tabulce:

Hlavička požadavku Popis
Authorization Požadovaný. Určuje schéma autorizace, název účtu úložiště a podpis. Další informace najdete v tématu Autorizace požadavků na službu Azure Storage.
Date nebo x-ms-date Požadovaný. Určuje standard UTC (Coordinated Universal Time) pro požadavek. Další informace najdete v tématu Autorizace požadavků na službu Azure Storage.
x-ms-version Volitelný. Určuje verzi operace, která se má pro tento požadavek použít. Další informace najdete v tématu Správa verzí pro služby Azure Storage.
x-ms-client-request-id Volitelný. Poskytuje hodnotu vygenerovanou klientem, neprůshlenou hodnotou s limitem znaků 1 kibibajtů (KiB), který je zaznamenán v protokolech při konfiguraci protokolování. Důrazně doporučujeme použít tuto hlavičku ke korelaci aktivit na straně klienta s požadavky, které server přijímá. Další informace najdete v tématu Monitorování služby Azure Files.
x-ms-file-request-intent Vyžaduje se, pokud hlavička Authorization určuje token OAuth. Přijatelná hodnota je backup. Tato hlavička určuje, že Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action nebo Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action by měly být uděleny, pokud jsou zahrnuty do zásad RBAC přiřazené k identitě, která je autorizovaná pomocí hlavičky Authorization. K dispozici pro verzi 2022-11-02 a novější.

Text požadavku

Popisovač zabezpečení vytvoříte umístěním objektu JSON do textu požadavku. Objekt JSON může mít následující pole:

Klíč JSON Popis
permission Požadovaný. Oprávnění jazyka SDDL (Security Descriptor Definition Language) nebo (verze 2024-11-04 nebo novější) ve formátu binárního popisovače zabezpečení s kódováním base64 binární popisovač zabezpečení. Popisovač zabezpečení musí mít vlastníka, skupinu a volitelný seznam řízení přístupu (DACL).
format Volitelný. Verze 2024-11-04 nebo novější Popisuje formát oprávnění poskytnutého v permission. Je-li definováno, musí být toto pole nastaveno na "sddl" nebo "binary". Pokud tento parametr vynecháte, použije se výchozí hodnota "sddl".

Pokud používáte SDDL, formát řetězce SDDL popisovače zabezpečení by v něm neměl mít relativní identifikátor domény (například DU, DA nebo DD).

{
    "permission": "<SDDL>"
}

Ve verzi 2024-11-04 nebo novější můžete volitelně explicitně určit, že oprávnění je ve formátu SDDL:

{
    "format": "sddl",
    "permission": "<SDDL>"
}

Ve verzi 2024-11-04 nebo novější můžete také vytvořit oprávnění v binárním formátu s kódováním base-64. V takovém případě musíte explicitně určit, že formát je "binary".

{
    "format": "binary",
    "permission": "<base64>"
}

Ukázkový požadavek

PUT https://myaccount.file.core.windows.net/myshare?restype=share&comp=filepermission HTTP/1.1  

Request Headers:
x-ms-date: Mon, 27 Jan 2014 22:15:50 GMT
x-ms-version: 2014-02-14
Authorization: SharedKey myaccount:4KdWDiTdA9HmIF9+WF/8WfYOpUrFhieGIT7f0av+GEI=

Request Body:
{"permission": "O:S-1-5-21-2127521184-1604012920-1887927527-21560751G:S-1-5-21-2127521184-1604012920-1887927527-513D:AI(A;;FA;;;SY)(A;;FA;;;BA)(A;;0x1200a9;;;S-1-5-21-397955417-626881126-188441444-3053964)"}

Odpověď

Odpověď obsahuje stavový kód HTTP a sadu hlaviček odpovědi.

Stavový kód

Úspěšná operace vrátí stavový kód 201 (vytvořeno).

Informace o stavových kódech naleznete v tématu Stav a kódy chyb.

Hlavičky odpovědi

Odpověď pro tuto operaci obsahuje následující hlavičky. Odpověď může obsahovat také další standardní hlavičky HTTP. Všechny standardní hlavičky odpovídají specifikaci protokolu HTTP/1.1.

Hlavička odpovědi Popis
x-ms-request-id Jednoznačně identifikuje požadavek, který byl proveden, a můžete ho použít k řešení potíží s požadavkem.
x-ms-version Označuje verzi služby Azure Files, která se použila k provedení požadavku.
Date nebo x-ms-date Hodnota data a času UTC vygenerovaná službou a označuje čas zahájení odpovědi.
x-ms-file-permission-key Klíč vytvořeného oprávnění.
x-ms-client-request-id Dá se použít k řešení potíží s požadavky a jejich odpovídajícími odpověďmi. Hodnota této hlavičky se rovná hodnotě hlavičky x-ms-client-request-id, pokud se nachází v požadavku a hodnota neobsahuje více než 1 024 viditelných znaků ASCII. Pokud v požadavku není hlavička x-ms-client-request-id, není v odpovědi k dispozici.

Text odpovědi

Žádný.

Oprávnění

Tuto operaci může volat pouze vlastník účtu nebo volající, který má sdílený přístupový podpis na úrovni sdílené složky s oprávněním k zápisu a odstranění.

Poznámky

Aby byl formát SDDL přenositelný mezi doménou a počítači, které nejsou připojené k doméně, volající může použít ConvertSecurityDescriptorToStringSecurityDescriptor funkci Windows k získání základního řetězce SDDL pro popisovač zabezpečení. Volající pak může nahradit notaci SDDL uvedenou v následující tabulce správnou hodnotou SID.

Jméno Zápis SDDL Hodnota SID Popis
Místní správce Předložka z francouzštiny S-1-5-21-domain-500 Uživatelský účet správce systému. Ve výchozím nastavení je to jediný uživatelský účet, který má plnou kontrolu nad systémem.
Místní hosté LG S-1-5-21-domain-501 Uživatelský účet pro uživatele, kteří nemají jednotlivé účty. Tento uživatelský účet nevyžaduje heslo. Ve výchozím nastavení je účet hosta zakázaný.
Vydavatelé certifikátů CA S-1-5-21-domain-517 Globální skupina, která zahrnuje všechny počítače, na kterých běží certifikační autorita organizace. Vydavatelé certifikátů mají oprávnění publikovat certifikáty pro objekty uživatele ve službě Active Directory.
Domain Admins DA S-1-5-21-domain-512 Globální skupina, jejíž členové mají oprávnění ke správě domény. Ve výchozím nastavení je skupina Domain Admins členem skupiny Administrators na všech počítačích, které se připojily k doméně, včetně řadičů domény. Domain Admins je výchozí vlastník libovolného objektu vytvořeného libovolným členem skupiny.
Řadiče domény DD S-1-5-21-domain-516 Globální skupina, která zahrnuje všechny řadiče domény v doméně. Do této skupiny se ve výchozím nastavení přidají nové řadiče domény.
Uživatelé domény DU S-1-5-21-domain-513 Globální skupina, která ve výchozím nastavení zahrnuje všechny uživatelské účty v doméně. Když vytvoříte uživatelský účet v doméně, účet se ve výchozím nastavení přidá do této skupiny.
Hosté domény S-1-5-21-domain-514 Globální skupina, která má ve výchozím nastavení jenom jeden člen, předdefinovaný účet hosta domény.
Počítače domény Stejnosměrný proud S-1-5-21-domain-515 Globální skupina, která zahrnuje všechny klienty a servery, které se připojily k doméně.
Správci schématu Přidružení zabezpečení Doména S-1-5-21root-518 Univerzální skupina v doméně nativního režimu; globální skupina v doméně smíšeného režimu. Skupina má oprávnění provádět změny schématu ve službě Active Directory. Ve výchozím nastavení je jediným členem skupiny účet správce kořenové domény doménové struktury.
Podnikoví správci EA Doména S-1-5-21root-519 Univerzální skupina v doméně nativního režimu; globální skupina v doméně smíšeného režimu. Skupina má oprávnění provádět změny v celé doménové struktuře ve službě Active Directory, jako je přidání podřízených domén. Ve výchozím nastavení je jediným členem skupiny účet správce kořenové domény doménové struktury.
Vlastníci zásad skupiny TAŤKA S-1-5-21-domain-520 Globální skupina, která má oprávnění vytvářet nové objekty zásad skupiny ve službě Active Directory.
Servery RAS a IAS RS S-1-5-21-domain-553 Místní doménová skupina. Ve výchozím nastavení tato skupina nemá žádné členy. Servery serveru vzdáleného přístupu (RAS) a služby IAS (Internet Authentication Service) v této skupině mají omezení pro čtení účtu a přístup ke čtení přihlašovacích informací k objektům uživatele v místní skupině domény služby Active Directory.
Podnikové řadiče domény jen pro čtení ED S-1-5-21-domain-498 Univerzální skupina. Členové této skupiny jsou řadiče domény jen pro čtení v podniku.
Řadiče domény jen pro čtení RO S-1-5-21-domain-521 Globální skupina. Členové této skupiny jsou řadiče domény jen pro čtení v doméně.