Machtiging maken
Met Create Permission
de bewerking wordt een machtiging (een beveiligingsdescriptor) gemaakt op shareniveau. U kunt de gemaakte beveiligingsdescriptor gebruiken voor de bestanden en mappen in de share. Deze API is beschikbaar vanaf versie 2019-02-02.
Protocol beschikbaarheid
Bestandsshareprotocol ingeschakeld | Beschikbaar |
---|---|
SMB | |
NFS |
Aanvraag
U kunt de Create Permission
aanvraag samenstellen zoals hier wordt weergegeven. U wordt aangeraden HTTPS te gebruiken.
Methode | Aanvraag-URI | HTTP-versie |
---|---|---|
PUT |
https://myaccount.file.core.windows.net/myshare?restype=share&comp=filepermission |
HTTP/1.1 |
Vervang de padonderdelen die worden weergegeven in de aanvraag-URI door uw eigen onderdelen, zoals hier wordt weergegeven:
Padonderdeel | Description |
---|---|
myaccount |
De naam van uw opslagaccount. |
myshare |
De naam van uw bestandsshare. De naam mag alleen kleine letters bevatten. |
Zie Naam en verwijzingsshares, mappen, bestanden en metagegevens voor meer informatie over beperkingen voor padnamen.
URI-parameters
U kunt aanvullende parameters opgeven voor de aanvraag-URI, zoals hier wordt weergegeven:
Parameter | Beschrijving |
---|---|
timeout |
Optioneel. De timeout parameter wordt uitgedrukt in seconden. Zie Time-outs instellen voor wachtrijservicebewerkingen voor meer informatie. |
Aanvraagheaders
De vereiste en optionele aanvraagheaders worden beschreven in de volgende tabel:
Aanvraagheader | Beschrijving |
---|---|
Authorization |
Vereist. Hiermee geeft u het autorisatieschema, de naam van het opslagaccount en de handtekening op. Zie Aanvragen autoriseren voor Azure Storage voor meer informatie. |
Date of x-ms-date |
Vereist. Geef de Coordinated Universal Time (UTC) op voor de aanvraag. Zie Aanvragen autoriseren voor Azure Storage voor meer informatie. |
x-ms-version |
Optioneel. Hiermee geeft u de versie van de bewerking te gebruiken voor deze aanvraag. Zie Versiebeheer voor Azure Storage-services voor meer informatie. |
x-ms-client-request-id |
Optioneel. Biedt een door de client gegenereerde, ondoorzichtige waarde met een limiet van 1 kibibyte (KiB) die wordt vastgelegd in de logboeken wanneer logboekregistratie is geconfigureerd. We raden u ten zeerste aan deze header te gebruiken om activiteiten aan de clientzijde te correleren met aanvragen die de server ontvangt. Zie Azure Files bewaken voor meer informatie. |
x-ms-file-request-intent |
Vereist als Authorization header een OAuth-token opgeeft. Acceptabele waarde is backup . Deze header geeft aan dat de Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action of Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action moet worden verleend als deze zijn opgenomen in het RBAC-beleid dat is toegewezen aan de identiteit die is geautoriseerd met behulp van de Authorization header. Beschikbaar voor versie 2022-11-02 en hoger. |
Aanvraagbody
U maakt een security descriptor met behulp van een aanvraagbody. Dit is een JSON-document waarin de machtiging in de Security Descriptor Definition Language (SDDL) wordt beschreven. SDDL moet een eigenaar, groep en discretionaire toegangsbeheerlijst (DACL) hebben. De opgegeven SDDL-tekenreeksindeling van de security descriptor mag geen relatieve domein-id (bijvoorbeeld DU, DA of DD) bevatten.
{
"Permission": "SDDL"
}
Voorbeeldaanvraag
PUT https://myaccount.file.core.windows.net/myshare?restype=share&comp=filepermission HTTP/1.1
Request Headers:
x-ms-date: Mon, 27 Jan 2014 22:15:50 GMT
x-ms-version: 2014-02-14
Authorization: SharedKey myaccount:4KdWDiTdA9HmIF9+WF/8WfYOpUrFhieGIT7f0av+GEI=
Request Body:
{"permission": "O:S-1-5-21-2127521184-1604012920-1887927527-21560751G:S-1-5-21-2127521184-1604012920-1887927527-513D:AI(A;;FA;;;SY)(A;;FA;;;BA)(A;;0x1200a9;;;S-1-5-21-397955417-626881126-188441444-3053964)"}
Antwoord
Het antwoord bevat een HTTP-statuscode en een set antwoordheaders.
Statuscode
Een geslaagde bewerking retourneert statuscode 201 (Gemaakt).
Zie Status- en foutcodes voor meer informatie over statuscodes.
Antwoordheaders
Het antwoord voor deze bewerking bevat de volgende headers. Het antwoord kan ook extra standaard-HTTP-headers bevatten. Alle standaardheaders voldoen aan de HTTP/1.1-protocolspecificatie.
Antwoordheader | Description |
---|---|
x-ms-request-id |
Identificeert op unieke wijze de aanvraag die is gedaan en u kunt deze gebruiken om problemen met de aanvraag op te lossen. |
x-ms-version |
Geeft de Azure Files versie aan die is gebruikt om de aanvraag uit te voeren. |
Date of x-ms-date |
Een UTC-datum/tijd-waarde die wordt gegenereerd door de service en die de tijd aangeeft waarop het antwoord is geïnitieerd. |
x-ms-file-permission-key |
De sleutel van de gemaakte machtiging. |
x-ms-client-request-id |
Kan worden gebruikt om problemen met aanvragen en de bijbehorende antwoorden op te lossen. De waarde van deze header is gelijk aan de waarde van de x-ms-client-request-id header als deze aanwezig is in de aanvraag en de waarde niet meer dan 1024 zichtbare ASCII-tekens bevat. Als de x-ms-client-request-id header niet aanwezig is in de aanvraag, is deze niet aanwezig in het antwoord. |
Hoofdtekst van de reactie
Geen.
Autorisatie
Alleen de accounteigenaar of een aanroeper met een gedeelde toegangshandtekening op shareniveau met schrijf- en verwijderingsautorisatie kan deze bewerking aanroepen.
Opmerkingen
Als u de SDDL-indeling overdraagbaar wilt maken tussen computers die lid zijn van een domein en niet-domein, kan de aanroeper de Windows-functie ConvertSecurityDescriptorToStringSecurityDescriptor() gebruiken om de basis-SDDL-tekenreeks voor de beveiligingsdescriptor op te halen. De aanroeper kan vervolgens de SDDL-notatie die in de volgende tabel wordt vermeld, vervangen door de juiste SID-waarde.
Naam | SDDL-notatie | SID-waarde | Description |
---|---|---|---|
Lokale beheerder | LA | S-1-5-21domain-500 | Een gebruikersaccount voor de systeembeheerder. Standaard is dit het enige gebruikersaccount dat volledige controle over het systeem krijgt. |
Lokale gasten | LG | S-1-5-21domain-501 | Een gebruikersaccount voor personen die geen afzonderlijke accounts hebben. Voor dit gebruikersaccount is geen wachtwoord vereist. Het gastaccount is standaard uitgeschakeld. |
Certificaatuitgevers | CA (consistentie en beschikbaarheid) | S-1-5-21domein-517 | Een globale groep die alle computers bevat waarop een ondernemingscertificeringsinstantie wordt uitgevoerd. Certificaatuitgevers zijn gemachtigd om certificaten te publiceren voor gebruikersobjecten in Active Directory. |
Domeinadministrators | DA | S-1-5-21domein-512 | Een globale groep waarvan de leden gemachtigd zijn om het domein te beheren. De groep Domeinadministrators is standaard lid van de groep Administrators op alle computers die lid zijn van een domein, inclusief de domeincontrollers. Domeinadministrators is de standaardeigenaar van elk object dat wordt gemaakt door een lid van de groep. |
Domeincontrollers | DD | S-1-5-21domein-516 | Een globale groep die alle domeincontrollers in het domein bevat. Nieuwe domeincontrollers worden standaard aan deze groep toegevoegd. |
Domeingebruikers | DU | S-1-5-21domein-513 | Een globale groep die standaard alle gebruikersaccounts in een domein bevat. Wanneer u een gebruikersaccount in een domein maakt, wordt het account standaard toegevoegd aan deze groep. |
Domeingasten | DG | S-1-5-21domein-514 | Een globale groep die standaard slechts één lid heeft, het ingebouwde gastaccount van het domein. |
Domeincomputers | DC | S-1-5-21domein-515 | Een globale groep die alle clients en servers bevat die lid zijn geworden van het domein. |
Schema-Administrators | SA | S-1-5-21root domain-518 | Een universele groep in een domein in de systeemeigen modus; een globale groep in een domein met gemengde modus. De groep is gemachtigd om schemawijzigingen aan te brengen in Active Directory. Standaard is het enige lid van de groep het beheerdersaccount voor het foresthoofddomein. |
Ondernemingsadministrators | EA | S-1-5-21root domain-519 | Een universele groep in een domein in de systeemeigen modus; een globale groep in een domein met gemengde modus. De groep is gemachtigd om forestbrede wijzigingen aan te brengen in Active Directory, zoals het toevoegen van onderliggende domeinen. Standaard is het enige lid van de groep het beheerdersaccount voor het foresthoofddomein. |
Maker Eigenaars Groepsbeleid | PA | S-1-5-21domein-520 | Een globale groep die gemachtigd is om nieuwe groepsbeleid-objecten te maken in Active Directory. |
RAS- en IAS-servers | RS | S-1-5-21domein-553 | Een lokale domeingroep. Deze groep heeft standaard geen leden. RAS-servers (RAS) en IAS-servers (Internet Authentication Service) in deze groep hebben leesaccountbeperkingen en aanmeldingsgegevens lezen toegang tot gebruikersobjecten in de lokale groep Active Directory-domein. |
Enterprise-domeincontrollers met het kenmerk Alleen-lezen | ED | S-1-5-21domein-498 | Een universele groep. Leden van deze groep zijn alleen-lezen domeincontrollers in de onderneming. |
Alleen-lezen domeincontrollers | RO | S-1-5-21domein-521 | Een globale groep. Leden van deze groep zijn alleen-lezen domeincontrollers in het domein. |