Machtiging maken
Met de bewerking Create Permission
maakt u een machtiging (een beveiligingsdescriptor) op shareniveau. U kunt de gemaakte beveiligingsdescriptor gebruiken voor de bestanden en mappen in de share. Deze API is beschikbaar vanaf versie 2019-02-02.
Beschikbaarheid van protocol
Protocol voor bestandsshare ingeschakeld | Beschikbaar |
---|---|
SMB | |
NFS |
Verzoek
U kunt de Create Permission
aanvraag maken, zoals hier wordt weergegeven. U wordt aangeraden HTTPS te gebruiken.
Methode | Aanvraag-URI | HTTP-versie |
---|---|---|
PUT |
https://myaccount.file.core.windows.net/myshare?restype=share&comp=filepermission |
HTTP/1.1 |
Vervang de padonderdelen die worden weergegeven in de aanvraag-URI door uw eigen onderdelen, zoals hier wordt weergegeven:
Padonderdeel | Beschrijving |
---|---|
myaccount |
De naam van uw opslagaccount. |
myshare |
De naam van uw bestandsshare. De naam mag alleen kleine letters bevatten. |
Zie Naam- en verwijzingsshares, mappen, bestanden en metagegevensvoor meer informatie over padnaambeperkingen.
URI-parameters
U kunt aanvullende parameters voor de aanvraag-URI opgeven, zoals hier wordt weergegeven:
Parameter | Beschrijving |
---|---|
timeout |
Facultatief. De parameter timeout wordt uitgedrukt in seconden. Zie Time-outs instellen voor wachtrijservicebewerkingenvoor meer informatie. |
Aanvraagheaders
De vereiste en optionele aanvraagheaders worden beschreven in de volgende tabel:
Aanvraagheader | Beschrijving |
---|---|
Authorization |
Vereist. Hiermee geeft u het autorisatieschema, de naam van het opslagaccount en de handtekening op. Zie Aanvragen autoriseren voor Azure Storagevoor meer informatie. |
Date of x-ms-date |
Vereist. Hiermee geeft u de Coordinated Universal Time (UTC) voor de aanvraag. Zie Aanvragen autoriseren voor Azure Storagevoor meer informatie. |
x-ms-version |
Facultatief. Hiermee geeft u de versie van de bewerking die moet worden gebruikt voor deze aanvraag. Zie Versiebeheer voor Azure Storage-servicesvoor meer informatie. |
x-ms-client-request-id |
Facultatief. Biedt een door de client gegenereerde, ondoorzichtige waarde met een tekenlimiet van 1 kibibyte (KiB) die wordt vastgelegd in de logboeken wanneer logboekregistratie is geconfigureerd. We raden u ten zeerste aan deze header te gebruiken om activiteiten aan de clientzijde te correleren met aanvragen die de server ontvangt. Zie Monitor Azure Filesvoor meer informatie. |
x-ms-file-request-intent |
Vereist als Authorization header een OAuth-token opgeeft. Acceptabele waarde is backup . Deze header geeft aan dat de Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action of Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action moeten worden verleend als ze zijn opgenomen in het RBAC-beleid dat is toegewezen aan de identiteit die is geautoriseerd met behulp van de Authorization -header. Beschikbaar voor versie 2022-11-02 en hoger. |
Aanvraagbody
U maakt een beveiligingsdescriptor door een JSON-object in de aanvraagbody te plaatsen. Het JSON-object kan de volgende velden hebben:
JSON-sleutel | Beschrijving |
---|---|
permission |
Vereist. Machtiging in de Security Descriptor Definition Language (SDDL) of (versie 2024-11-04 of hoger) in binaire beveiligingsdescriptorindeling. De security descriptor moet een eigenaar, groep en discretionaire toegangsbeheerlijst (DACL) hebben. |
format |
Facultatief. Versie 2024-11-04 of hoger. Beschrijft de indeling van de machtiging die is opgegeven in permission . Indien gedefinieerd, moet dit veld worden ingesteld op "sddl" of "binary" . Als u dit weglaat, wordt de standaardwaarde van "sddl" gebruikt. |
Als u SDDL gebruikt, mag de SDDL-tekenreeksindeling van de beveiligingsdescriptor geen relatieve domein-id (bijvoorbeeld DU, DA of DD) bevatten.
{
"permission": "<SDDL>"
}
In versie 2024-11-04 of hoger kunt u desgewenst expliciet opgeven dat de machtiging de SDDL-indeling heeft:
{
"format": "sddl",
"permission": "<SDDL>"
}
In versie 2024-11-04 of hoger kunt u ook een machtiging maken in de met base 64 gecodeerde binaire indeling. In dat geval moet u expliciet opgeven dat de indeling is "binary"
.
{
"format": "binary",
"permission": "<base64>"
}
Voorbeeldaanvraag
PUT https://myaccount.file.core.windows.net/myshare?restype=share&comp=filepermission HTTP/1.1
Request Headers:
x-ms-date: Mon, 27 Jan 2014 22:15:50 GMT
x-ms-version: 2014-02-14
Authorization: SharedKey myaccount:4KdWDiTdA9HmIF9+WF/8WfYOpUrFhieGIT7f0av+GEI=
Request Body:
{"permission": "O:S-1-5-21-2127521184-1604012920-1887927527-21560751G:S-1-5-21-2127521184-1604012920-1887927527-513D:AI(A;;FA;;;SY)(A;;FA;;;BA)(A;;0x1200a9;;;S-1-5-21-397955417-626881126-188441444-3053964)"}
Antwoord
Het antwoord bevat een HTTP-statuscode en een set antwoordheaders.
Statuscode
Een geslaagde bewerking retourneert statuscode 201 (gemaakt).
Zie Status en foutcodesvoor meer informatie over statuscodes.
Antwoordheaders
Het antwoord voor deze bewerking bevat de volgende headers. Het antwoord kan ook aanvullende standaard HTTP-headers bevatten. Alle standaardheaders voldoen aan de HTTP/1.1-protocolspecificatie.
Antwoordheader | Beschrijving |
---|---|
x-ms-request-id |
Identificeer de aanvraag die is gedaan en u kunt deze gebruiken om problemen met de aanvraag op te lossen. |
x-ms-version |
Geeft de Versie van Azure Files aan die is gebruikt om de aanvraag uit te voeren. |
Date of x-ms-date |
Een UTC-datum/tijdwaarde die wordt gegenereerd door de service en die aangeeft hoe laat het antwoord is gestart. |
x-ms-file-permission-key |
De sleutel van de gemaakte machtiging. |
x-ms-client-request-id |
Kan worden gebruikt voor het oplossen van problemen met aanvragen en de bijbehorende antwoorden. De waarde van deze header is gelijk aan de waarde van de x-ms-client-request-id header als deze aanwezig is in de aanvraag en de waarde niet meer dan 1024 zichtbare ASCII-tekens bevat. Als de x-ms-client-request-id header niet aanwezig is in de aanvraag, is deze niet aanwezig in het antwoord. |
Hoofdtekst van antwoord
Geen.
Machtiging
Alleen de accounteigenaar of een beller met een handtekening voor gedeelde toegang op shareniveau met schrijf- en verwijderautorisatie kan deze bewerking aanroepen.
Opmerkingen
De aanroeper kan de ConvertSecurityDescriptorToStringSecurityDescriptorToStringSecurityDescriptor Windows-functie gebruiken om de sddl-basistekenreeks voor de beveiligingsdescriptor op te halen om de SDDL-indeling die niet aan het domein is gekoppeld, te gebruiken. De aanroeper kan de SDDL-notatie die in de volgende tabel wordt vermeld, vervangen door de juiste SID-waarde.
Naam | SDDL-notatie | SID-waarde | Beschrijving |
---|---|---|---|
Lokale beheerder | LA | S-1-5-21-domein-500 | Een gebruikersaccount voor de systeembeheerder. Standaard is dit het enige gebruikersaccount dat volledige controle over het systeem krijgt. |
Lokale gasten | LG | S-1-5-21-domein-501 | Een gebruikersaccount voor personen die geen afzonderlijke accounts hebben. Voor dit gebruikersaccount is geen wachtwoord vereist. Standaard is het gastaccount uitgeschakeld. |
Certificaatuitgevers | CA | S-1-5-21-domein-517 | Een globale groep met alle computers waarop een certificeringsinstantie voor ondernemingen wordt uitgevoerd. Certificaatuitgevers zijn gemachtigd om certificaten te publiceren voor gebruikersobjecten in Active Directory. |
Domeinadministratoren | DA | S-1-5-21-domein-512 | Een globale groep waarvan de leden zijn gemachtigd om het domein te beheren. De groep Domeinadministrators is standaard lid van de groep Administrators op alle computers die lid zijn van een domein, met inbegrip van de domeincontrollers. Domeinadministrators is de standaardeigenaar van elk object dat wordt gemaakt door een lid van de groep. |
Domeincontrollers | DD | S-1-5-21-domein-516 | Een globale groep met alle domeincontrollers in het domein. Nieuwe domeincontrollers worden standaard toegevoegd aan deze groep. |
Domeingebruikers | DU | S-1-5-21-domein-513 | Een globale groep die standaard alle gebruikersaccounts in een domein bevat. Wanneer u een gebruikersaccount in een domein maakt, wordt het account standaard toegevoegd aan deze groep. |
Domeingasten | DG | S-1-5-21-domein-514 | Een globale groep die standaard slechts één lid heeft, het ingebouwde gastaccount van het domein. |
Domeincomputers | DC | S-1-5-21-domein-515 | Een globale groep met alle clients en servers die lid zijn van het domein. |
Schemabeheerders | SA | S-1-5-21root-domein-518 | Een universele groep in een domein in systeemeigen modus; een globale groep in een domein met gemengde modus. De groep is gemachtigd om schemawijzigingen aan te brengen in Active Directory. Standaard is het enige lid van de groep het beheerdersaccount voor het foresthoofddomein. |
Ondernemingsadministreert | EA | S-1-5-21root-domein-519 | Een universele groep in een domein in systeemeigen modus; een globale groep in een domein met gemengde modus. De groep is gemachtigd om forestbrede wijzigingen aan te brengen in Active Directory, zoals het toevoegen van onderliggende domeinen. Standaard is het enige lid van de groep het beheerdersaccount voor het foresthoofddomein. |
Eigenaren van groepsbeleidmaker | PA | S-1-5-21-domein-520 | Een globale groep die is geautoriseerd voor het maken van nieuwe groepsbeleidsobjecten in Active Directory. |
RAS- en IAS-servers | RS | S-1-5-21-domein-553 | Een lokale domeingroep. Deze groep heeft standaard geen leden. RAS-servers (Remote Access Server) en IAS-servers (Internet Authentication Service) in deze groep hebben leesaccountbeperkingen en leesaanmeldingsgegevens tot gebruikersobjecten in de lokale groep active Directory-domein. |
Alleen-lezen domeincontrollers voor ondernemingen | ED | S-1-5-21-domein-498 | Een universele groep. Leden van deze groep zijn alleen-lezen domeincontrollers in de onderneming. |
Alleen-lezen domeincontrollers | RO | S-1-5-21-domein-521 | Een globale groep. Leden van deze groep zijn alleen-lezen domeincontrollers in het domein. |