Berechtigung erstellen
Der Create Permission Vorgang erstellt eine Berechtigung (ein Sicherheitsdeskriptor) auf Freigabeebene. Sie können den erstellten Sicherheitsdeskriptor für die Dateien und Verzeichnisse in der Freigabe verwenden. Diese API ist ab Version 2019-02-02 verfügbar.
Protokollverfügbarkeit
| Aktiviertes Dateifreigabeprotokoll | Verfügbar |
|---|---|
| SMB |
|
| NFS |
|
Anforderung
Sie können die Create Permission Anforderung wie hier gezeigt erstellen. Es wird empfohlen, HTTPS zu verwenden.
| Methode | Anforderungs-URI | HTTP-Version |
|---|---|---|
PUT |
https://myaccount.file.core.windows.net/myshare?restype=share&comp=filepermission |
HTTP/1.1 |
Ersetzen Sie die im Anforderungs-URI angezeigten Pfadkomponenten durch Ihre eigenen Komponenten, wie hier gezeigt:
| Pfadkomponente | BESCHREIBUNG |
|---|---|
myaccount |
Der Name Ihres Speicherkontos. |
myshare |
Der Name der Dateifreigabe. Der Name darf nur Kleinbuchstaben enthalten. |
Informationen zu Pfadbenennungseinschränkungen finden Sie unter Namens- und Verweisfreigaben, Verzeichnisse, Dateien und Metadaten.
URI-Parameter
Sie können zusätzliche Parameter für den Anforderungs-URI angeben, wie hier gezeigt:
| Parameter | BESCHREIBUNG |
|---|---|
timeout |
Optional. Der timeout-Parameter wird in Sekunden angegeben. Weitere Informationen finden Sie unter Festlegen von Timeouts für Warteschlangendienstvorgänge. |
Anforderungsheader
Die erforderlichen und optionalen Anforderungsheader werden in der folgenden Tabelle beschrieben:
| Anforderungsheader | BESCHREIBUNG |
|---|---|
Authorization |
Erforderlich. Gibt das Autorisierungsschema, den Namen des Speicherkontos und die Signatur an. Weitere Informationen finden Sie unter Autorisieren von Anforderungen an Azure Storage. |
Date oder x-ms-date |
Erforderlich. Gibt die koordinierte Weltzeit (Coordinated Universal Time, UTC) für die Anforderung an. Weitere Informationen finden Sie unter Autorisieren von Anforderungen an Azure Storage. |
x-ms-version |
Optional. Gibt die Version des für die Anforderung zu verwendenden Vorgangs an. Weitere Informationen finden Sie unter Versionsverwaltung für Azure Storage-Dienste. |
x-ms-client-request-id |
Optional. Stellt einen vom Client generierten, undurchsichtigen Wert mit einem Zeichenlimit von 1 Kibibyte (KiB) bereit, der bei der Konfiguration der Protokollierung in den Protokollen aufgezeichnet wird. Es wird dringend empfohlen, diesen Header zu verwenden, um clientseitige Aktivitäten mit Anforderungen zu korrelieren, die der Server empfängt. Weitere Informationen finden Sie unter Überwachen Azure Files. |
x-ms-file-request-intent |
Erforderlich, wenn Authorization der Header ein OAuth-Token angibt. Zulässiger Wert ist backup. Dieser Header gibt an, dass oder Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/actionMicrosoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action gewährt werden soll, wenn sie in der RBAC-Richtlinie enthalten sind, die der Identität zugewiesen ist, die mithilfe des Authorization Headers autorisiert ist. Verfügbar für Version 2022-11-02 und höher. |
Anforderungstext
Sie erstellen einen Sicherheitsdeskriptor mithilfe eines Anforderungstexts, bei dem es sich um ein JSON-Dokument handelt, das die Berechtigung in der Security Descriptor Definition Language (SDDL) beschreibt. SDDL muss über eine Besitzer-, Gruppen- und diskretionäre Zugriffssteuerungsliste (DACL) verfügen. Das angegebene SDDL-Zeichenfolgenformat der Sicherheitsbeschreibung sollte keinen relativen Domänenbezeichner (z. B. DU, DA oder DD) enthalten.
{
"Permission": "SDDL"
}
Beispiel für eine Anforderung
PUT https://myaccount.file.core.windows.net/myshare?restype=share&comp=filepermission HTTP/1.1
Request Headers:
x-ms-date: Mon, 27 Jan 2014 22:15:50 GMT
x-ms-version: 2014-02-14
Authorization: SharedKey myaccount:4KdWDiTdA9HmIF9+WF/8WfYOpUrFhieGIT7f0av+GEI=
Request Body:
{"permission": "O:S-1-5-21-2127521184-1604012920-1887927527-21560751G:S-1-5-21-2127521184-1604012920-1887927527-513D:AI(A;;FA;;;SY)(A;;FA;;;BA)(A;;0x1200a9;;;S-1-5-21-397955417-626881126-188441444-3053964)"}
Antwort
Die Antwort enthält den HTTP-Statuscode und einen Satz von Antwortheadern.
Statuscode
Bei einem erfolgreichen Vorgang wird der Statuscode 201 (Erstellt) zurückgegeben.
Informationen zu status Codes finden Sie unter Status- und Fehlercodes.
Antwortheader
Die Antwort für diesen Vorgang umfasst die folgenden Header. Die Antwort kann auch zusätzliche HTTP-Standardheader enthalten. Alle Standardheader entsprechen der HTTP/1.1-Protokollspezifikation.
| Antwortheader | BESCHREIBUNG |
|---|---|
x-ms-request-id |
Identifiziert eindeutig die Anforderung, die gestellt wurde, und Sie können sie verwenden, um die Problembehandlung für die Anforderung zu beheben. |
x-ms-version |
Gibt die Azure Files Version an, die zum Ausführen der Anforderung verwendet wurde. |
Date oder x-ms-date |
Ein UTC-Datums-/Uhrzeitwert, der vom Dienst generiert wird und die Uhrzeit angibt, zu der die Antwort initiiert wurde. |
x-ms-file-permission-key |
Der Schlüssel der erstellten Berechtigung. |
x-ms-client-request-id |
Kann verwendet werden, um Anforderungen und ihre entsprechenden Antworten zu behandeln. Der Wert dieses Headers ist gleich dem Wert des x-ms-client-request-id Headers, wenn er in der Anforderung vorhanden ist und der Wert nicht mehr als 1.024 sichtbare ASCII-Zeichen enthält. Wenn der x-ms-client-request-id Header in der Anforderung nicht vorhanden ist, ist er in der Antwort nicht vorhanden. |
Antworttext
Keine.
Autorisierung
Nur der Kontobesitzer oder ein Aufrufer, der über eine Shared Access Signature auf Freigabeebene mit Schreib- und Löschberechtigung verfügt, kann diesen Vorgang aufrufen.
Hinweise
Um das SDDL-Format für domänen- und nicht in die Domäne eingebundene Computer portierbar zu machen, kann der Aufrufer die Windows-Funktion ConvertSecurityDescriptorToStringSecurityDescriptor() verwenden, um die SDDL-Basiszeichenfolge für den Sicherheitsdeskriptor abzurufen. Der Aufrufer kann dann die SDDL-Notation, die in der folgenden Tabelle aufgeführt ist, durch den richtigen SID-Wert ersetzen.
| Name | SDDL-Notation | SID-Wert | Beschreibung |
|---|---|---|---|
| Lokaler Administrator | LA | S-1-5-21domain-500 | Ein Benutzerkonto für Systemadministrator*innen. Standardmäßig ist es das einzige Benutzerkonto, das die volle Kontrolle über das System hat. |
| Lokale Gäste | LG | S-1-5-21domain-501 | Ein Benutzerkonto für Personen, die nicht über eigene Konten verfügen. Für dieses Benutzerkonto ist kein Kennwort erforderlich. Standardmäßig ist das Gastkonto deaktiviert. |
| Zertifikatverleger | CA | S-1-5-21domain-517 | Eine globale Gruppe, die alle Computer umfasst, auf denen eine Unternehmenszertifizierungsstelle ausgeführt wird. Zertifikatverleger sind autorisiert, Zertifikate für Benutzerobjekte in Active Directory zu veröffentlichen. |
| Domänenadministratoren | DA | S-1-5-21domain-512 | Eine globale Gruppe, deren Mitglieder zum Verwalten der Domäne autorisiert sind. Standardmäßig ist die Gruppe Domänenadministratoren Mitglied der Gruppe Administratoren auf allen Computern, die einer Domäne beigetreten sind, einschließlich der Domänencontroller. Domänenadministratoren sind der Standardbesitzer jedes Objekts, das von einem beliebigen Mitglied der Gruppe erstellt wird. |
| Domänencontroller | DD | S-1-5-21domain-516 | Eine globale Gruppe, die alle Domänencontroller in der Domäne enthält. Dieser Gruppe werden standardmäßig neue Domänencontroller hinzugefügt. |
| Domänenbenutzer | DU | S-1-5-21domain-513 | Eine globale Gruppe, die standardmäßig alle Benutzerkonten in einer Domäne enthält. Wenn Sie ein Benutzerkonto in einer Domäne erstellen, wird das Konto standardmäßig dieser Gruppe hinzugefügt. |
| Domänen-Gäste | DG | S-1-5-21domain-514 | Eine globale Gruppe, die standardmäßig nur über ein Mitglied verfügt, das integrierte Gastkonto der Domäne. |
| Domänencomputer | SL | S-1-5-21domain-515 | Eine globale Gruppe, die alle Clients und Server umfasst, die der Domäne beigetreten sind. |
| Schema-Admins | SA | S-1-5-21root domain-518 | Eine universelle Gruppe in einer Domäne im einheitlichen Modus; eine globale Gruppe in einer Domäne im gemischten Modus. Die Gruppe ist berechtigt, Schemaänderungen in Active Directory vorzunehmen. Standardmäßig ist das Administratorkonto für die Stammdomäne der Gesamtstruktur das einzige Mitglied der Gruppe. |
| Organisationsadministratoren | EA | S-1-5-21root domain-519 | Eine universelle Gruppe in einer Domäne im einheitlichen Modus; eine globale Gruppe in einer Domäne im gemischten Modus. Die Gruppe ist berechtigt, gesamtstrukturweite Änderungen in Active Directory vorzunehmen, z. B. das Hinzufügen untergeordneter Domänen. Standardmäßig ist das Administratorkonto für die Stammdomäne der Gesamtstruktur das einzige Mitglied der Gruppe. |
| Gruppenrichtlinienersteller-Besitzer | PA | S-1-5-21domain-520 | Eine globale Gruppe, die zum Erstellen neuer Gruppenrichtlinie-Objekte in Active Directory autorisiert ist. |
| RAS- und IAS-Server | RS | S-1-5-21domain-553 | Eine lokale Domänengruppe. Standardmäßig enthält diese Gruppe keine Mitglieder. Ras- und Internetauthentifizierungsdienstserver (IAS) in dieser Gruppe verfügen über Lesekontoeinschränkungen und Leseanmeldeinformationen zugriff auf Benutzerobjekte in der lokalen Active Directory-Domänengruppe. |
| Schreibgeschützte Domänencontroller der Organisation | ED | S-1-5-21domain-498 | Eine universelle Gruppe. Mitglieder dieser Gruppe sind schreibgeschützte Domänencontroller im Unternehmen. |
| Read-only-Domänencontroller | RO | S-1-5-21domain-521 | Eine globale Gruppe. Mitglieder dieser Gruppe sind schreibgeschützte Domänencontroller in der Domäne. |