Engedély létrehozása
A Create Permission művelet létrehoz egy engedélyt (biztonsági leírót) a megosztás szintjén. A létrehozott biztonsági leírót használhatja a megosztásban lévő fájlokhoz és könyvtárakhoz. Ez az API a 2019-02-02-es verziótól érhető el.
Protokoll rendelkezésre állása
| Engedélyezett fájlmegosztási protokoll | Beszerezhető |
|---|---|
| SMB |
|
| NFS |
|
Kérés
A Create Permission kérést az itt látható módon hozhatja létre. Javasoljuk, hogy HTTPS-t használjon.
| Módszer | URI kérése | HTTP-verzió |
|---|---|---|
PUT |
https://myaccount.file.core.windows.net/myshare?restype=share&comp=filepermission |
HTTP/1.1 |
Cserélje le a kérelem URI-jában látható elérésiút-összetevőket a saját összetevőire, az itt látható módon:
| Elérésiút-összetevő | Leírás |
|---|---|
myaccount |
A tárfiók neve. |
myshare |
A fájlmegosztás neve. A név csak kisbetűket tartalmazhat. |
Az elérésiút-elnevezési korlátozásokról további információt Név- és hivatkozásmegosztások, könyvtárak, fájlok és metaadatokcímű témakörben talál.
URI-paraméterek
Az itt látható módon további paramétereket is megadhat a kérelem URI-ján:
| Paraméter | Leírás |
|---|---|
timeout |
Szabadon választható. A timeout paraméter másodpercben van kifejezve. További információ: Várakozási időkorlát beállítása a queue service-műveletekhez. |
Kérelemfejlécek
A szükséges és nem kötelező kérelemfejléceket az alábbi táblázat ismerteti:
| Kérelem fejléce | Leírás |
|---|---|
Authorization |
Szükséges. Megadja az engedélyezési sémát, a tárfiók nevét és az aláírást. További információ: Kérelmek engedélyezése az Azure Storage-. |
Date vagy x-ms-date |
Szükséges. A kérelem koordinált egyetemes idejét (UTC) adja meg. További információ: Kérelmek engedélyezése az Azure Storage-. |
x-ms-version |
Szabadon választható. A kérelemhez használni kívánt művelet verzióját adja meg. További információ: Azure Storage-szolgáltatások verziószámozása. |
x-ms-client-request-id |
Szabadon választható. Ügyfél által generált, átlátszatlan értéket biztosít egy 1 kibibyte (KiB) karakterkorláttal, amelyet a naplózás konfigurálásakor rögzít a naplókban. Javasoljuk, hogy ezt a fejlécet használva korrelálja az ügyféloldali tevékenységeket a kiszolgáló által kapott kérésekkel. További információ: Monitor Azure Files. |
x-ms-file-request-intent |
Kötelező, ha Authorization fejléc OAuth-jogkivonatot ad meg. Az elfogadható érték backup. Ez a fejléc azt határozza meg, hogy a Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action vagy Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action meg kell adni, ha azok szerepelnek a Authorization fejléc használatával engedélyezett identitáshoz rendelt RBAC-szabályzatban. A 2022-11-02-es és újabb verziókhoz érhető el. |
Kérelem törzse
Biztonsági leírót úgy hozhat létre, hogy egy JSON-objektumot helyez el a kérelem törzsében. A JSON-objektum a következő mezőkkel rendelkezhet:
| JSON-kulcs | Leírás |
|---|---|
permission |
Szükséges. Engedély a Biztonsági leíró definíciós nyelv (SDDL) vagy (2024-11-04-es vagy újabb verzió) base64 kódolású bináris biztonsági leíró formátumában. A biztonsági leírónak tulajdonossal, csoportokkal és diszkrecionális hozzáférés-vezérlési listával (DACL)kell rendelkeznie. |
format |
Szabadon választható. 2024-11-04-es vagy újabb verzió. A permissionmegadott engedély formátumát ismerteti. Ha meg van adva, ennek a mezőnek "sddl" vagy "binary"kell lennie. Ha nincs megadva, a rendszer a "sddl" alapértelmezett értékét használja. |
Ha SDDL-t használ, a biztonsági leíró SDDL-sztringformátumának nem szabad tartomány relatív azonosítóval (például DU, DA vagy DD) rendelkeznie benne.
{
"permission": "<SDDL>"
}
A 2024-11-04-es vagy újabb verzióban explicit módon megadhatja, hogy az engedély SDDL formátumban legyen:
{
"format": "sddl",
"permission": "<SDDL>"
}
A 2024-11-04-es vagy újabb verzióban a base-64 kódolású bináris formátumban is létrehozhat engedélyeket. Ebben az esetben explicit módon meg kell adnia, hogy a formátum "binary".
{
"format": "binary",
"permission": "<base64>"
}
Mintakérés
PUT https://myaccount.file.core.windows.net/myshare?restype=share&comp=filepermission HTTP/1.1
Request Headers:
x-ms-date: Mon, 27 Jan 2014 22:15:50 GMT
x-ms-version: 2014-02-14
Authorization: SharedKey myaccount:4KdWDiTdA9HmIF9+WF/8WfYOpUrFhieGIT7f0av+GEI=
Request Body:
{"permission": "O:S-1-5-21-2127521184-1604012920-1887927527-21560751G:S-1-5-21-2127521184-1604012920-1887927527-513D:AI(A;;FA;;;SY)(A;;FA;;;BA)(A;;0x1200a9;;;S-1-5-21-397955417-626881126-188441444-3053964)"}
Válasz
A válasz tartalmaz egy HTTP-állapotkódot és válaszfejléceket.
Állapotkód
A sikeres művelet a 201-ben (létrehozva) állapotkódot adja vissza.
Az állapotkódokkal kapcsolatos információkért lásd állapot- és hibakódokat.
Válaszfejlécek
A művelet válasza a következő fejléceket tartalmazza. A válasz további szabványos HTTP-fejléceket is tartalmazhat. Minden szabványos fejléc megfelel a HTTP/1.1 protokoll specifikációjának
| Válaszfejléc | Leírás |
|---|---|
x-ms-request-id |
Egyedileg azonosítja a végrehajtott kérést, és segítségével elháríthatja a kérést. |
x-ms-version |
A kérés végrehajtásához használt Azure Files-verziót jelzi. |
Date vagy x-ms-date |
A szolgáltatás által létrehozott UTC dátum/idő érték, amely a válasz indításának időpontját jelzi. |
x-ms-file-permission-key |
A létrehozott engedély kulcsa. |
x-ms-client-request-id |
A kérések és a hozzájuk tartozó válaszok hibaelhárítására használható. Ennek az élőfejnek az értéke megegyezik a x-ms-client-request-id fejléc értékével, ha az szerepel a kérelemben, és az érték legfeljebb 1024 látható ASCII-karaktert tartalmaz. Ha a x-ms-client-request-id fejléc nem szerepel a kérelemben, akkor az nem szerepel a válaszban. |
Válasz törzse
Egyik sem.
Felhatalmazás
Ezt a műveletet csak a fióktulajdonos vagy a megosztási szintű közös hozzáférésű jogosultságkóddal rendelkező hívó hívhatja meg írási és törlési engedéllyel.
Megjegyzések
Ha az SDDL formátumot tartományon és nem tartományhoz csatlakoztatott gépeken is hordozhatóvá szeretné tenni, a hívó a ConvertSecurityDescriptorToStringSecurityDescriptor Windows-függvény használatával lekérheti a biztonsági leíró alap SDDL-sztringjét. A hívó ezután lecserélheti a következő táblázatban felsorolt SDDL-jelölést a megfelelő SID-értékre.
| Név | SDDL-jelölés | SID-érték | Leírás |
|---|---|---|---|
| Helyi rendszergazda | LÁ | S-1-5-21-domain-500 | A rendszergazda felhasználói fiókja. Alapértelmezés szerint ez az egyetlen felhasználói fiók, amely teljes körű felügyeletet kap a rendszer felett. |
| Helyi vendégek | LG | S-1-5-21-domain-501 | Felhasználói fiók azoknak a felhasználóknak, akik nem rendelkeznek egyéni fiókkal. Ehhez a felhasználói fiókhoz nincs szükség jelszóra. Alapértelmezés szerint a vendégfiók le van tiltva. |
| Tanúsítványkiadók | HITELESÍTÉSSZOLGÁLTATÓ | S-1-5-21-domain-517 | Globális csoport, amely magában foglalja a vállalati hitelesítésszolgáltatót futtató összes számítógépet. A tanúsítványkiadók jogosultak a felhasználói objektumok tanúsítványainak közzétételére az Active Directoryban. |
| Tartományi rendszergazdák | DA | S-1-5-21-domain-512 | Egy globális csoport, amelynek tagjai jogosultak a tartomány felügyeletére. Alapértelmezés szerint a Tartománygazdák csoport a Rendszergazdák csoport tagja minden olyan számítógépen, amely csatlakozott egy tartományhoz, beleértve a tartományvezérlőket is. A tartománygazdák a csoport bármely tagja által létrehozott objektumok alapértelmezett tulajdonosa. |
| Tartományvezérlők | DD | S-1-5-21-domain-516 | Globális csoport, amely a tartományban lévő összes tartományvezérlőt tartalmazza. A rendszer alapértelmezés szerint új tartományvezérlőket ad hozzá ehhez a csoporthoz. |
| Tartományi felhasználók | DU | S-1-5-21-domain-513 | Egy globális csoport, amely alapértelmezés szerint egy tartomány összes felhasználói fiókját tartalmazza. Ha tartományi felhasználói fiókot hoz létre, a fiók alapértelmezés szerint hozzá lesz adva ehhez a csoporthoz. |
| Tartományi vendégek | DG | S-1-5-21-domain-514 | Egy globális csoport, amelynek alapértelmezés szerint csak egy tagja van, a tartomány beépített vendégfiókja. |
| Tartományi számítógépek | DC | S-1-5-21-domain-515 | Globális csoport, amely magában foglalja a tartományhoz csatlakozó összes ügyfelet és kiszolgálót. |
| Sémagazdák | SA | S-1-5-21root tartomány-518 | Univerzális csoport natív módú tartományban; egy globális csoport vegyes módú tartományban. A csoport jogosult sémamódosításokat végezni az Active Directoryban. Alapértelmezés szerint a csoport egyetlen tagja az erdő gyökértartományának rendszergazdai fiókja. |
| Vállalati rendszergazdák | EA | S-1-5-21root domain-519 | Univerzális csoport natív módú tartományban; egy globális csoport vegyes módú tartományban. A csoport jogosult erdőszintű módosításokat végezni az Active Directoryban, például gyermektartományokat hozzáadni. Alapértelmezés szerint a csoport egyetlen tagja az erdő gyökértartományának rendszergazdai fiókja. |
| Csoportházirend létrehozójának tulajdonosai | PA | S-1-5-21-domain-520 | Egy globális csoport, amely jogosult új csoportházirend-objektumok létrehozására az Active Directoryban. |
| RAS- és IAS-kiszolgálók | RS | S-1-5-21-domain-553 | Egy helyi tartománycsoport. Alapértelmezés szerint ennek a csoportnak nincsenek tagjai. A távelérési kiszolgáló (RAS) és az internet-hitelesítési szolgáltatás (IAS) kiszolgálói olvasási fiókkorlátozásokkal és olvasási bejelentkezési adatokkal rendelkeznek az Active Directory tartomány helyi csoportjában lévő felhasználói objektumokhoz. |
| Csak olvasható vállalati tartományvezérlők | ED | S-1-5-21-domain-498 | Egy univerzális csoport. A csoport tagjai írásvédett tartományvezérlők a vállalatban. |
| Írásvédett tartományvezérlők | RO | S-1-5-21-domain-521 | Egy globális csoport. A csoport tagjai írásvédett tartományvezérlők a tartományban. |