Berechtigung erstellen
Der vorgang Create Permission erstellt eine Berechtigung (ein Sicherheitsdeskriptor) auf der Freigabeebene. Sie können den erstellten Sicherheitsdeskriptor für die Dateien und Verzeichnisse in der Freigabe verwenden. Diese API ist ab Version 2019-02-02 verfügbar.
Protokollverfügbarkeit
| Aktiviertes Dateifreigabeprotokoll | Verfügbar |
|---|---|
| SMB |
|
| NFS |
|
Bitten
Sie können die Create Permission Anforderung erstellen, wie hier gezeigt. Es wird empfohlen, HTTPS zu verwenden.
| Methode | Anforderungs-URI | HTTP-Version |
|---|---|---|
PUT |
https://myaccount.file.core.windows.net/myshare?restype=share&comp=filepermission |
HTTP/1.1 |
Ersetzen Sie die pfadkomponenten, die im Anforderungs-URI angezeigt werden, durch Ihre eigenen Komponenten, wie hier gezeigt:
| Pfadkomponente | Beschreibung |
|---|---|
myaccount |
Der Name Ihres Speicherkontos. |
myshare |
Der Name Ihrer Dateifreigabe. Der Name darf nur Kleinbuchstaben enthalten. |
Informationen zu Pfadbenennungseinschränkungen finden Sie unter Namen- und Referenzfreigaben, Verzeichnisse, Dateien und Metadaten.
URI-Parameter
Sie können zusätzliche Parameter für den Anforderungs-URI angeben, wie hier gezeigt:
| Parameter | Beschreibung |
|---|---|
timeout |
Wahlfrei. Der parameter timeout wird in Sekunden ausgedrückt. Weitere Informationen finden Sie unter Festlegen von Timeouts für Warteschlangendienstvorgänge. |
Anforderungsheader
Die erforderlichen und optionalen Anforderungsheader werden in der folgenden Tabelle beschrieben:
| Anforderungsheader | Beschreibung |
|---|---|
Authorization |
Erforderlich. Gibt das Autorisierungsschema, den Speicherkontonamen und die Signatur an. Weitere Informationen finden Sie unter Autorisieren von Anforderungen an Azure Storage. |
Date oder x-ms-date |
Erforderlich. Gibt die koordinierte Weltzeit (UTC) für die Anforderung an. Weitere Informationen finden Sie unter Autorisieren von Anforderungen an Azure Storage. |
x-ms-version |
Wahlfrei. Gibt die Version des Vorgangs an, der für diese Anforderung verwendet werden soll. Weitere Informationen finden Sie unter Versionsverwaltung für Azure Storage-Dienste. |
x-ms-client-request-id |
Wahlfrei. Stellt einen vom Client generierten, undurchsichtigen Wert mit einem 1-Kibibyte-Zeichenlimit (KiB) bereit, der in den Protokollen aufgezeichnet wird, wenn die Protokollierung konfiguriert ist. Es wird dringend empfohlen, diesen Header zu verwenden, um clientseitige Aktivitäten mit Anforderungen zu korrelieren, die der Server empfängt. Weitere Informationen finden Sie unter Überwachen von Azure Files. |
x-ms-file-request-intent |
Erforderlich, wenn Authorization Header ein OAuth-Token angibt. Zulässiger Wert ist backup. Dieser Header gibt an, dass die Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action oder Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action gewährt werden sollen, wenn sie in der RBAC-Richtlinie enthalten sind, die der Identität zugewiesen ist, die mithilfe des Authorization-Headers autorisiert ist. Verfügbar für Version 2022-11-02 und höher. |
Anforderungstext
Sie erstellen einen Sicherheitsdeskriptor, indem Sie ein JSON-Objekt im Anforderungstext platzieren. Das JSON-Objekt kann die folgenden Felder enthalten:
| JSON-Schlüssel | Beschreibung |
|---|---|
permission |
Erforderlich. Berechtigung in der Security Descriptor Definition Language (SDDL) oder (Version 2024-11-04 oder höher) im base64-codierten binären Sicherheitsdeskriptorformat. Der Sicherheitsdeskriptor muss über einen Besitzer, eine Gruppe und diskretionäre Zugriffssteuerungsliste (DACL)verfügen. |
format |
Wahlfrei. Version 2024-11-04 oder höher. Beschreibt das Format der in permissionbereitgestellten Berechtigung. Wenn definiert, muss dieses Feld auf "sddl" oder "binary"festgelegt werden. Wenn nicht angegeben, wird der Standardwert von "sddl" verwendet. |
Bei Verwendung von SDDL sollte das SDDL-Zeichenfolgenformat des Sicherheitsdeskriptors keinen relativen Domänenbezeichner (z. B. DU, DA oder DD) enthalten.
{
"permission": "<SDDL>"
}
In Version 2024-11-04 oder höher können Sie optional angeben, dass sich die Berechtigung im SDDL-Format befindet:
{
"format": "sddl",
"permission": "<SDDL>"
}
In Version 2024-11-04 oder höher können Sie auch eine Berechtigung im base64-codierten Binärformat erstellen. In diesem Fall müssen Sie explizit angeben, dass das Format "binary"ist.
{
"format": "binary",
"permission": "<base64>"
}
Beispielanforderung
PUT https://myaccount.file.core.windows.net/myshare?restype=share&comp=filepermission HTTP/1.1
Request Headers:
x-ms-date: Mon, 27 Jan 2014 22:15:50 GMT
x-ms-version: 2014-02-14
Authorization: SharedKey myaccount:4KdWDiTdA9HmIF9+WF/8WfYOpUrFhieGIT7f0av+GEI=
Request Body:
{"permission": "O:S-1-5-21-2127521184-1604012920-1887927527-21560751G:S-1-5-21-2127521184-1604012920-1887927527-513D:AI(A;;FA;;;SY)(A;;FA;;;BA)(A;;0x1200a9;;;S-1-5-21-397955417-626881126-188441444-3053964)"}
Antwort
Die Antwort enthält einen HTTP-Statuscode und eine Reihe von Antwortheadern.
Statuscode
Ein erfolgreicher Vorgang gibt den Statuscode 201 (Erstellt) zurück.
Informationen zu Statuscodes finden Sie unter Status- und Fehlercodes.
Antwortheader
Die Antwort für diesen Vorgang enthält die folgenden Header. Die Antwort kann auch zusätzliche Standard-HTTP-Header enthalten. Alle Standardheader entsprechen der HTTP/1.1-Protokollspezifikation.
| Antwortheader | Beschreibung |
|---|---|
x-ms-request-id |
Identifiziert die anforderung eindeutig, die durchgeführt wurde, und Sie können sie verwenden, um die Anforderung zu beheben. |
x-ms-version |
Gibt die Azure Files-Version an, die zum Ausführen der Anforderung verwendet wurde. |
Date oder x-ms-date |
Ein UTC-Datums-/Uhrzeitwert, der vom Dienst generiert wird und den Zeitpunkt angibt, zu dem die Antwort initiiert wurde. |
x-ms-file-permission-key |
Der Schlüssel der erstellten Berechtigung. |
x-ms-client-request-id |
Kann verwendet werden, um Anfragen und die entsprechenden Antworten zu behandeln. Der Wert dieses Headers ist gleich dem Wert des x-ms-client-request-id Headers, wenn er in der Anforderung vorhanden ist und der Wert nicht mehr als 1.024 sichtbare ASCII-Zeichen enthält. Wenn der x-ms-client-request-id-Header in der Anforderung nicht vorhanden ist, ist er in der Antwort nicht vorhanden. |
Antworttext
Nichts.
Ermächtigung
Nur der Kontobesitzer oder ein Aufrufer, der über eine Freigabeebene freigegebene Zugriffssignatur mit Schreib- und Löschautorisierung verfügt, kann diesen Vorgang aufrufen.
Bemerkungen
Damit das SDDL-Format auf domänen- und nicht domänenverbundenen Computern portierbar ist, kann der Aufrufer die ConvertSecurityDescriptorToStringSecurityDescriptor Windows-Funktion verwenden, um die Basis-SDDL-Zeichenfolge für den Sicherheitsdeskriptor abzurufen. Der Aufrufer kann dann die SDDL-Notation ersetzen, die in der folgenden Tabelle aufgeführt ist, durch den richtigen SID-Wert.
| Name | SDDL-Notation | SID-Wert | Beschreibung |
|---|---|---|---|
| Lokaler Administrator | LA | S-1-5-21-domain-500 | Ein Benutzerkonto für den Systemadministrator. Standardmäßig ist es das einzige Benutzerkonto, das über das System vollzugriff verfügt. |
| Lokale Gäste | LG | S-1-5-21-domain-501 | Ein Benutzerkonto für Personen, die nicht über einzelne Konten verfügen. Für dieses Benutzerkonto ist kein Kennwort erforderlich. Standardmäßig ist das Gastkonto deaktiviert. |
| Zertifikatverleger | CA | S-1-5-21-domain-517 | Eine globale Gruppe, die alle Computer enthält, auf denen eine Unternehmenszertifizierungsstelle ausgeführt wird. Zertifikatveröffentte sind berechtigt, Zertifikate für Benutzerobjekte in Active Directory zu veröffentlichen. |
| Domänenadministratoren | DA | S-1-5-21-domain-512 | Eine globale Gruppe, deren Mitglieder berechtigt sind, die Domäne zu verwalten. Standardmäßig ist die Gruppe "Domänenadministratoren" ein Mitglied der Gruppe "Administratoren" auf allen Computern, die einer Domäne beigetreten sind, einschließlich der Domänencontroller. Domänenadministratoren sind der Standardbesitzer jedes Objekts, das von jedem Mitglied der Gruppe erstellt wird. |
| Domänencontroller | DD | S-1-5-21-domain-516 | Eine globale Gruppe, die alle Domänencontroller in der Domäne enthält. Dieser Gruppe werden standardmäßig neue Domänencontroller hinzugefügt. |
| Domänenbenutzer | DU | S-1-5-21-domain-513 | Eine globale Gruppe, die standardmäßig alle Benutzerkonten in einer Domäne enthält. Wenn Sie ein Benutzerkonto in einer Domäne erstellen, wird das Konto dieser Gruppe standardmäßig hinzugefügt. |
| Domänengäste | GD | S-1-5-21-domain-514 | Eine globale Gruppe, die standardmäßig nur ein Mitglied hat, das integrierte Gastkonto der Domäne. |
| Domänencomputer | GLEICHSTROM | S-1-5-21-domain-515 | Eine globale Gruppe, die alle Clients und Server enthält, die der Domäne beigetreten sind. |
| Schemaadministratoren | SA | S-1-5-21root domain-518 | Eine universelle Gruppe in einer domäne im nativen Modus; eine globale Gruppe in einer Domäne mit gemischtem Modus. Die Gruppe ist berechtigt, Schemaänderungen in Active Directory vorzunehmen. Standardmäßig ist das einzige Mitglied der Gruppe das Administratorkonto für die Stammdomäne der Gesamtstruktur. |
| Unternehmensadministratoren | EA | S-1-5-21root domain-519 | Eine universelle Gruppe in einer domäne im nativen Modus; eine globale Gruppe in einer Domäne mit gemischtem Modus. Die Gruppe ist berechtigt, gesamtstrukturweite Änderungen in Active Directory vorzunehmen, z. B. das Hinzufügen von untergeordneten Domänen. Standardmäßig ist das einzige Mitglied der Gruppe das Administratorkonto für die Stammdomäne der Gesamtstruktur. |
| Gruppenrichtlinienerstellerbesitzer | PAPA | S-1-5-21-domain-520 | Eine globale Gruppe, die zum Erstellen neuer Gruppenrichtlinienobjekte in Active Directory autorisiert ist. |
| RAS- und IAS-Server | RS | S-1-5-21-domain-553 | Eine lokale Domänengruppe. Standardmäßig verfügt diese Gruppe über keine Mitglieder. RAS-Server (Remote Access Server) und IAS-Server (Internet Authentication Service) in dieser Gruppe verfügen über Lesekontoeinschränkungen und Lesezugriff auf Anmeldeinformationen auf Benutzerobjekte in der lokalen Active Directory-Domänengruppe. |
| Schreibgeschützte Domänencontroller für Unternehmen | ED | S-1-5-21-domain-498 | Eine universelle Gruppe. Mitglieder dieser Gruppe sind schreibgeschützte Domänencontroller im Unternehmen. |
| Schreibgeschützte Domänencontroller | RO | S-1-5-21-domain-521 | Eine globale Gruppe. Mitglieder dieser Gruppe sind schreibgeschützte Domänencontroller in der Domäne. |