Creare l'autorizzazione
L'operazione Create Permission crea un'autorizzazione (descrittore di sicurezza) a livello di condivisione. È possibile usare il descrittore di sicurezza creato per i file e le directory nella condivisione. Questa API è disponibile a partire dalla versione 2019-02-02.
Disponibilità del protocollo
| Protocollo di condivisione file abilitato | Disponibile |
|---|---|
| SMB |  |
| NFS |  |
Richiesta
È possibile costruire la Create Permission richiesta come illustrato di seguito. È consigliabile usare HTTPS.
| Metodo | URI richiesta | Versione HTTP |
|---|---|---|
PUT |
https://myaccount.file.core.windows.net/myshare?restype=share&comp=filepermission |
HTTP/1.1 |
Sostituire i componenti del percorso visualizzati nell'URI della richiesta con i propri componenti, come illustrato di seguito:
| Componente percorso | Descrizione |
|---|---|
myaccount |
nome dell'account di archiviazione. |
myshare |
Nome della condivisione file. Il nome può contenere solo caratteri minuscoli. |
Per informazioni sulle restrizioni di denominazione dei percorsi, vedere Nomi e condivisioni di riferimento, directory, file e metadati.
Parametri URI
È possibile specificare parametri aggiuntivi nell'URI della richiesta, come illustrato di seguito:
| Parametro | Descrizione |
|---|---|
timeout |
Facoltativa. Il parametro timeout viene espresso in secondi. Per altre informazioni, vedere Impostare i timeout per le operazioni del servizio di accodamento. |
Intestazioni della richiesta
Le intestazioni di richiesta obbligatorie e facoltative sono descritte nella tabella seguente:
| Intestazione della richiesta | Descrizione |
|---|---|
Authorization |
Obbligatorio. Specifica lo schema di autorizzazione, il nome dell'account di archiviazione e la firma. Per altre informazioni, vedere Autorizzare le richieste ad Archiviazione di Azure. |
Date o x-ms-date |
Obbligatorio. Specifica la data per la richiesta nel fuso orario UTC (Coordinated Universal Time). Per altre informazioni, vedere Autorizzare le richieste ad Archiviazione di Azure. |
x-ms-version |
Facoltativa. Specifica la versione dell'operazione da usare per questa richiesta. Per altre informazioni, vedere Controllo delle versioni per i servizi di archiviazione di Azure. |
x-ms-client-request-id |
Facoltativa. Fornisce un valore opaco generato dal client con un limite di caratteri di 1 kibibyte (KiB) registrato nei log al momento della configurazione della registrazione. È consigliabile usare questa intestazione per correlare le attività lato client alle richieste ricevute dal server. Per altre informazioni, vedere Monitorare File di Azure. |
x-ms-file-request-intent |
Obbligatorio se Authorization l'intestazione specifica un token OAuth. Il valore accettabile è backup. Questa intestazione specifica che l'oggetto Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action o Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action deve essere concesso se sono inclusi nei criteri di controllo degli accessi in base al ruolo assegnati all'identità autorizzata tramite l'intestazione Authorization . Disponibile per la versione 2022-11-02 e successive. |
Testo della richiesta
Si crea un descrittore di sicurezza usando un corpo della richiesta, ovvero un documento JSON che descrive l'autorizzazione in SDDL (Security Descriptor Definition Language). SDDL deve avere un elenco di controllo di accesso proprietario, gruppo e discrezionale (DACL). Il formato di stringa SDDL fornito del descrittore di sicurezza non deve avere un identificatore relativo di dominio (ad esempio, DU, DA o DD) al suo interno.
{
"Permission": "SDDL"
}
Richiesta di esempio
PUT https://myaccount.file.core.windows.net/myshare?restype=share&comp=filepermission HTTP/1.1
Request Headers:
x-ms-date: Mon, 27 Jan 2014 22:15:50 GMT
x-ms-version: 2014-02-14
Authorization: SharedKey myaccount:4KdWDiTdA9HmIF9+WF/8WfYOpUrFhieGIT7f0av+GEI=
Request Body:
{"permission": "O:S-1-5-21-2127521184-1604012920-1887927527-21560751G:S-1-5-21-2127521184-1604012920-1887927527-513D:AI(A;;FA;;;SY)(A;;FA;;;BA)(A;;0x1200a9;;;S-1-5-21-397955417-626881126-188441444-3053964)"}
Risposta
Nella risposta sono inclusi un codice di stato HTTP e un set di intestazioni per la risposta.
Codice stato
Un'operazione completata correttamente restituisce il codice di stato 201 (Creato).
Per informazioni sui codici di stato, vedere Codici di stato e di errore.
Intestazioni di risposta
Nella risposta per questa operazione sono incluse le intestazioni riportate di seguito; La risposta potrebbe includere anche intestazioni HTTP standard aggiuntive. Tutte le intestazioni standard sono conformi alla specifica del protocollo HTTP/1.1.
| Intestazione risposta | Descrizione |
|---|---|
x-ms-request-id |
Identifica in modo univoco la richiesta effettuata ed è possibile usarla per risolvere i problemi della richiesta. |
x-ms-version |
Indica la versione File di Azure utilizzata per eseguire la richiesta. |
Date o x-ms-date |
Valore di data/ora UTC generato dal servizio e che indica l'ora di avvio della risposta. |
x-ms-file-permission-key |
Chiave dell'autorizzazione creata. |
x-ms-client-request-id |
Può essere usato per risolvere i problemi relativi alle richieste e alle risposte corrispondenti. Il valore di questa intestazione è uguale al valore dell'intestazione x-ms-client-request-id se è presente nella richiesta e il valore non contiene più di 1.024 caratteri ASCII visibili. Se l'intestazione x-ms-client-request-id non è presente nella richiesta, non è presente nella risposta. |
Corpo della risposta
Nessuno.
Autorizzazione
Solo il proprietario dell'account o un chiamante che dispone di una firma di accesso condiviso a livello di condivisione con autorizzazione di scrittura ed eliminazione può chiamare questa operazione.
Commenti
Per rendere il formato SDDL portabile tra i computer di dominio e non aggiunti a un dominio, il chiamante può usare la funzione ConvertSecurityDescriptorToStringSecurityDescriptor() di Windows per ottenere la stringa SDDL di base per il descrittore di sicurezza. Il chiamante può quindi sostituire la notazione SDDL elencata nella tabella seguente con il valore SID corretto.
| Nome | Notazione SDDL | Valore SID | Descrizione |
|---|---|---|---|
| Amministratore locale | LA | S-1-5-21domain-500 | Un account utente per l'amministratore di sistema. Per impostazione predefinita, è l'unico account utente che ha il controllo completo sul sistema. |
| Guest locali | LG | S-1-5-21domain-501 | Un account utente per le persone che non dispongono di singoli account. Questo account utente non richiede una password. Per impostazione predefinita, l'account Guest è disabilitato. |
| Server di pubblicazione certificati | CA | S-1-5-21domain-517 | Gruppo globale che include tutti i computer che eseguono un'autorità di certificazione aziendale. I server di pubblicazione certificati sono autorizzati a pubblicare certificati per gli oggetti Utente in Active Directory. |
| Domain Admins | DA | S-1-5-21domain-512 | Gruppo globale i cui membri sono autorizzati ad amministrare il dominio. Per impostazione predefinita, il gruppo Domain Admins è membro del gruppo Administrators in tutti i computer che hanno aggiunto un dominio, inclusi i controller di dominio. Domain Admins è il proprietario predefinito di qualsiasi oggetto creato da qualsiasi membro del gruppo. |
| Controller di dominio | GG | S-1-5-21domain-516 | Gruppo globale che include tutti i controller di dominio nel dominio. I nuovi controller di dominio vengono aggiunti al gruppo per impostazione predefinita. |
| Domain Users | DU | S-1-5-21domain-513 | Un gruppo globale che, per impostazione predefinita, include tutti gli account utente in un dominio. Quando si crea un account utente in un dominio, l'account viene aggiunto a questo gruppo per impostazione predefinita. |
| Domain Guests | DG | S-1-5-21domain-514 | Un gruppo globale che, per impostazione predefinita, ha un solo membro, l'account guest predefinito del dominio. |
| Computer del dominio | DC | S-1-5-21domain-515 | Gruppo globale che include tutti i client e i server che hanno aggiunto il dominio. |
| Schema Admins | SA | Dominio S-1-5-21root-518 | Un gruppo universale in un dominio in modalità nativa; un gruppo globale in un dominio in modalità mista. Il gruppo è autorizzato a apportare modifiche dello schema in Active Directory. Per impostazione predefinita, l'unico membro del gruppo è l'account Amministratore per il dominio radice della foresta. |
| Enterprise Admins | Contratto Enterprise | Dominio S-1-5-21root-519 | Un gruppo universale in un dominio in modalità nativa; un gruppo globale in un dominio in modalità mista. Il gruppo è autorizzato a apportare modifiche a livello di foresta in Active Directory, ad esempio l'aggiunta di domini figlio. Per impostazione predefinita, l'unico membro del gruppo è l'account Amministratore per il dominio radice della foresta. |
| Proprietari autori criteri di gruppo | PA | S-1-5-21domain-520 | Gruppo globale autorizzato a creare nuovi oggetti Criteri di gruppo in Active Directory. |
| Server RAS e IAS | RS | S-1-5-21domain-553 | Un gruppo locale di dominio. Per impostazione predefinita, questo gruppo non ha membri. I server RAS (Remote Access Server) e Internet Authentication Service (IAS) in questo gruppo dispongono di restrizioni dell'account di lettura e accesso alle informazioni di accesso agli oggetti Utente nel gruppo locale di dominio Active Directory. |
| Controller di dominio di sola lettura aziendali | ED | S-1-5-21domain-498 | Un gruppo universale. I membri di questo gruppo sono controller di dominio di sola lettura nell'organizzazione. |
| Controller di dominio di sola lettura | RO | S-1-5-21domain-521 | Un gruppo globale. I membri di questo gruppo sono controller di dominio di sola lettura nel dominio. |