Delen via


Machtiging maken

Met de bewerking Create Permission maakt u een machtiging (een beveiligingsdescriptor) op shareniveau. U kunt de gemaakte beveiligingsdescriptor gebruiken voor de bestanden en mappen in de share. Deze API is beschikbaar vanaf versie 2019-02-02.

Beschikbaarheid van protocol

Protocol voor bestandsshare ingeschakeld Beschikbaar
SMB Ja-
NFS Geen

Verzoek

U kunt de Create Permission aanvraag maken, zoals hier wordt weergegeven. U wordt aangeraden HTTPS te gebruiken.

Methode Aanvraag-URI HTTP-versie
PUT https://myaccount.file.core.windows.net/myshare?restype=share&comp=filepermission HTTP/1.1

Vervang de padonderdelen die worden weergegeven in de aanvraag-URI door uw eigen onderdelen, zoals hier wordt weergegeven:

Padonderdeel Beschrijving
myaccount De naam van uw opslagaccount.
myshare De naam van uw bestandsshare. De naam mag alleen kleine letters bevatten.

Zie Naam- en verwijzingsshares, mappen, bestanden en metagegevensvoor meer informatie over padnaambeperkingen.

URI-parameters

U kunt aanvullende parameters voor de aanvraag-URI opgeven, zoals hier wordt weergegeven:

Parameter Beschrijving
timeout Facultatief. De parameter timeout wordt uitgedrukt in seconden. Zie Time-outs instellen voor wachtrijservicebewerkingenvoor meer informatie.

Aanvraagheaders

De vereiste en optionele aanvraagheaders worden beschreven in de volgende tabel:

Aanvraagheader Beschrijving
Authorization Vereist. Hiermee geeft u het autorisatieschema, de naam van het opslagaccount en de handtekening op. Zie Aanvragen autoriseren voor Azure Storagevoor meer informatie.
Date of x-ms-date Vereist. Hiermee geeft u de Coordinated Universal Time (UTC) voor de aanvraag. Zie Aanvragen autoriseren voor Azure Storagevoor meer informatie.
x-ms-version Facultatief. Hiermee geeft u de versie van de bewerking die moet worden gebruikt voor deze aanvraag. Zie Versiebeheer voor Azure Storage-servicesvoor meer informatie.
x-ms-client-request-id Facultatief. Biedt een door de client gegenereerde, ondoorzichtige waarde met een tekenlimiet van 1 kibibyte (KiB) die wordt vastgelegd in de logboeken wanneer logboekregistratie is geconfigureerd. We raden u ten zeerste aan deze header te gebruiken om activiteiten aan de clientzijde te correleren met aanvragen die de server ontvangt. Zie Monitor Azure Filesvoor meer informatie.
x-ms-file-request-intent Vereist als Authorization header een OAuth-token opgeeft. Acceptabele waarde is backup. Deze header geeft aan dat de Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action of Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action moeten worden verleend als ze zijn opgenomen in het RBAC-beleid dat is toegewezen aan de identiteit die is geautoriseerd met behulp van de Authorization-header. Beschikbaar voor versie 2022-11-02 en hoger.

Aanvraagbody

U maakt een beveiligingsdescriptor door een JSON-object in de aanvraagbody te plaatsen. Het JSON-object kan de volgende velden hebben:

JSON-sleutel Beschrijving
permission Vereist. Machtiging in de Security Descriptor Definition Language (SDDL) of (versie 2024-11-04 of hoger) in binaire beveiligingsdescriptorindeling. De security descriptor moet een eigenaar, groep en discretionaire toegangsbeheerlijst (DACL) hebben.
format Facultatief. Versie 2024-11-04 of hoger. Beschrijft de indeling van de machtiging die is opgegeven in permission. Indien gedefinieerd, moet dit veld worden ingesteld op "sddl" of "binary". Als u dit weglaat, wordt de standaardwaarde van "sddl" gebruikt.

Als u SDDL gebruikt, mag de SDDL-tekenreeksindeling van de beveiligingsdescriptor geen relatieve domein-id (bijvoorbeeld DU, DA of DD) bevatten.

{
    "permission": "<SDDL>"
}

In versie 2024-11-04 of hoger kunt u desgewenst expliciet opgeven dat de machtiging de SDDL-indeling heeft:

{
    "format": "sddl",
    "permission": "<SDDL>"
}

In versie 2024-11-04 of hoger kunt u ook een machtiging maken in de met base 64 gecodeerde binaire indeling. In dat geval moet u expliciet opgeven dat de indeling is "binary".

{
    "format": "binary",
    "permission": "<base64>"
}

Voorbeeldaanvraag

PUT https://myaccount.file.core.windows.net/myshare?restype=share&comp=filepermission HTTP/1.1  

Request Headers:
x-ms-date: Mon, 27 Jan 2014 22:15:50 GMT
x-ms-version: 2014-02-14
Authorization: SharedKey myaccount:4KdWDiTdA9HmIF9+WF/8WfYOpUrFhieGIT7f0av+GEI=

Request Body:
{"permission": "O:S-1-5-21-2127521184-1604012920-1887927527-21560751G:S-1-5-21-2127521184-1604012920-1887927527-513D:AI(A;;FA;;;SY)(A;;FA;;;BA)(A;;0x1200a9;;;S-1-5-21-397955417-626881126-188441444-3053964)"}

Antwoord

Het antwoord bevat een HTTP-statuscode en een set antwoordheaders.

Statuscode

Een geslaagde bewerking retourneert statuscode 201 (gemaakt).

Zie Status en foutcodesvoor meer informatie over statuscodes.

Antwoordheaders

Het antwoord voor deze bewerking bevat de volgende headers. Het antwoord kan ook aanvullende standaard HTTP-headers bevatten. Alle standaardheaders voldoen aan de HTTP/1.1-protocolspecificatie.

Antwoordheader Beschrijving
x-ms-request-id Identificeer de aanvraag die is gedaan en u kunt deze gebruiken om problemen met de aanvraag op te lossen.
x-ms-version Geeft de Versie van Azure Files aan die is gebruikt om de aanvraag uit te voeren.
Date of x-ms-date Een UTC-datum/tijdwaarde die wordt gegenereerd door de service en die aangeeft hoe laat het antwoord is gestart.
x-ms-file-permission-key De sleutel van de gemaakte machtiging.
x-ms-client-request-id Kan worden gebruikt voor het oplossen van problemen met aanvragen en de bijbehorende antwoorden. De waarde van deze header is gelijk aan de waarde van de x-ms-client-request-id header als deze aanwezig is in de aanvraag en de waarde niet meer dan 1024 zichtbare ASCII-tekens bevat. Als de x-ms-client-request-id header niet aanwezig is in de aanvraag, is deze niet aanwezig in het antwoord.

Hoofdtekst van antwoord

Geen.

Machtiging

Alleen de accounteigenaar of een beller met een handtekening voor gedeelde toegang op shareniveau met schrijf- en verwijderautorisatie kan deze bewerking aanroepen.

Opmerkingen

De aanroeper kan de ConvertSecurityDescriptorToStringSecurityDescriptorToStringSecurityDescriptor Windows-functie gebruiken om de sddl-basistekenreeks voor de beveiligingsdescriptor op te halen om de SDDL-indeling die niet aan het domein is gekoppeld, te gebruiken. De aanroeper kan de SDDL-notatie die in de volgende tabel wordt vermeld, vervangen door de juiste SID-waarde.

Naam SDDL-notatie SID-waarde Beschrijving
Lokale beheerder LA S-1-5-21-domein-500 Een gebruikersaccount voor de systeembeheerder. Standaard is dit het enige gebruikersaccount dat volledige controle over het systeem krijgt.
Lokale gasten LG S-1-5-21-domein-501 Een gebruikersaccount voor personen die geen afzonderlijke accounts hebben. Voor dit gebruikersaccount is geen wachtwoord vereist. Standaard is het gastaccount uitgeschakeld.
Certificaatuitgevers CA S-1-5-21-domein-517 Een globale groep met alle computers waarop een certificeringsinstantie voor ondernemingen wordt uitgevoerd. Certificaatuitgevers zijn gemachtigd om certificaten te publiceren voor gebruikersobjecten in Active Directory.
Domeinadministratoren DA S-1-5-21-domein-512 Een globale groep waarvan de leden zijn gemachtigd om het domein te beheren. De groep Domeinadministrators is standaard lid van de groep Administrators op alle computers die lid zijn van een domein, met inbegrip van de domeincontrollers. Domeinadministrators is de standaardeigenaar van elk object dat wordt gemaakt door een lid van de groep.
Domeincontrollers DD S-1-5-21-domein-516 Een globale groep met alle domeincontrollers in het domein. Nieuwe domeincontrollers worden standaard toegevoegd aan deze groep.
Domeingebruikers DU S-1-5-21-domein-513 Een globale groep die standaard alle gebruikersaccounts in een domein bevat. Wanneer u een gebruikersaccount in een domein maakt, wordt het account standaard toegevoegd aan deze groep.
Domeingasten DG S-1-5-21-domein-514 Een globale groep die standaard slechts één lid heeft, het ingebouwde gastaccount van het domein.
Domeincomputers DC S-1-5-21-domein-515 Een globale groep met alle clients en servers die lid zijn van het domein.
Schemabeheerders SA S-1-5-21root-domein-518 Een universele groep in een domein in systeemeigen modus; een globale groep in een domein met gemengde modus. De groep is gemachtigd om schemawijzigingen aan te brengen in Active Directory. Standaard is het enige lid van de groep het beheerdersaccount voor het foresthoofddomein.
Ondernemingsadministreert EA S-1-5-21root-domein-519 Een universele groep in een domein in systeemeigen modus; een globale groep in een domein met gemengde modus. De groep is gemachtigd om forestbrede wijzigingen aan te brengen in Active Directory, zoals het toevoegen van onderliggende domeinen. Standaard is het enige lid van de groep het beheerdersaccount voor het foresthoofddomein.
Eigenaren van groepsbeleidmaker PA S-1-5-21-domein-520 Een globale groep die is geautoriseerd voor het maken van nieuwe groepsbeleidsobjecten in Active Directory.
RAS- en IAS-servers RS S-1-5-21-domein-553 Een lokale domeingroep. Deze groep heeft standaard geen leden. RAS-servers (Remote Access Server) en IAS-servers (Internet Authentication Service) in deze groep hebben leesaccountbeperkingen en leesaanmeldingsgegevens tot gebruikersobjecten in de lokale groep active Directory-domein.
Alleen-lezen domeincontrollers voor ondernemingen ED S-1-5-21-domein-498 Een universele groep. Leden van deze groep zijn alleen-lezen domeincontrollers in de onderneming.
Alleen-lezen domeincontrollers RO S-1-5-21-domein-521 Een globale groep. Leden van deze groep zijn alleen-lezen domeincontrollers in het domein.