Uprawnienie do tworzenia

Operacja Create Permission tworzy uprawnienie (deskryptor zabezpieczeń) na poziomie udziału. Możesz użyć utworzonego deskryptora zabezpieczeń dla plików i katalogów w udziale. Ten interfejs API jest dostępny w wersji 2019-02-02.

Dostępność protokołu

Włączony protokół udziału plików Dostępne
SMB Yes
NFS No

Żądanie

Żądanie można skonstruować Create Permission , jak pokazano tutaj. Zalecamy korzystanie z protokołu HTTPS.

Metoda Identyfikator URI żądania Wersja PROTOKOŁU HTTP
PUT https://myaccount.file.core.windows.net/myshare?restype=share&comp=filepermission HTTP/1.1

Zastąp składniki ścieżki wyświetlane w identyfikatorze URI żądania własnymi składnikami, jak pokazano poniżej:

Składnik ścieżki Opis
myaccount Nazwa konta magazynu.
myshare Nazwa udziału plików. Nazwa może zawierać tylko małe litery.

Aby uzyskać informacje o ograniczeniach nazewnictwa ścieżek, zobacz Nazwy i udziały referencyjne, katalogi, pliki i metadane.

Parametry identyfikatora URI

Możesz określić dodatkowe parametry dla identyfikatora URI żądania, jak pokazano tutaj:

Parametr Opis
timeout Opcjonalny. Parametr jest wyrażony timeout w sekundach. Aby uzyskać więcej informacji, zobacz Ustawianie limitów czasu dla operacji usługi kolejki.

Nagłówki żądań

Wymagane i opcjonalne nagłówki żądań zostały opisane w poniższej tabeli:

Nagłówek żądania Opis
Authorization Wymagane. Określa schemat autoryzacji, nazwę konta magazynu i podpis. Aby uzyskać więcej informacji, zobacz Autoryzowanie żądań do usługi Azure Storage.
Date lub x-ms-date Wymagane. Określa dla żądania godzinę w formacie uniwersalnego czasu koordynowanego (UTC). Aby uzyskać więcej informacji, zobacz Autoryzowanie żądań do usługi Azure Storage.
x-ms-version Opcjonalny. Określa wersję operacji do użycia dla tego żądania. Aby uzyskać więcej informacji, zobacz Przechowywanie wersji dla usług Azure Storage.
x-ms-client-request-id Opcjonalny. Zapewnia nieprzezroczystą wartość wygenerowaną przez klienta z limitem znaków 1-kibibyte (KiB), który jest rejestrowany w dziennikach usługi Azure Monitor podczas konfigurowania rejestrowania. Zdecydowanie zalecamy używanie tego nagłówka do korelowania działań po stronie klienta z żądaniami odbieranymi przez serwer. Aby uzyskać więcej informacji, zobacz Monitorowanie Azure Files.

Treść żądania

Deskryptor zabezpieczeń jest tworzony przy użyciu treści żądania, czyli dokumentu JSON opisującego uprawnienia w języku SDDL (Security Descriptor Definition Language). Język SDDL musi mieć właściciela, grupę i uznaniową listę kontroli dostępu (DACL). Podany format ciągu SDDL deskryptora zabezpieczeń nie powinien mieć identyfikatora względnego domeny (na przykład DU, DA lub DD).

{
    "Permission": "SDDL"
}

Przykładowe żądanie

PUT https://myaccount.file.core.windows.net/myshare?restype=share&comp=filepermission HTTP/1.1  

Request Headers:  
x-ms-date: Mon, 27 Jan 2014 22:15:50 GMT  
x-ms-version: 2014-02-14  
Authorization: SharedKey myaccount:4KdWDiTdA9HmIF9+WF/8WfYOpUrFhieGIT7f0av+GEI=  

Request Body:
{"permission": "O:S-1-5-21-2127521184-1604012920-1887927527-21560751G:S-1-5-21-2127521184-1604012920-1887927527-513D:AI(A;;FA;;;SY)(A;;FA;;;BA)(A;;0x1200a9;;;S-1-5-21-397955417-626881126-188441444-3053964)"}

Reakcja

Odpowiedź zawiera kod stanu HTTP i zestaw nagłówków odpowiedzi.

Kod stanu

Pomyślna operacja zwraca kod stanu 201 (Utworzony).

Aby uzyskać informacje o kodach stanu, zobacz Kody stanu i błędów.

Nagłówki odpowiedzi

Odpowiedź na tę operację zawiera następujące nagłówki. Odpowiedź może również zawierać dodatkowe standardowe nagłówki HTTP. Wszystkie standardowe nagłówki są zgodne ze specyfikacją protokołu HTTP/1.1.

Nagłówek odpowiedzi Opis
x-ms-request-id Unikatowo identyfikuje żądanie, które zostało wykonane, i można go użyć do rozwiązywania problemów z żądaniem.
x-ms-version Wskazuje Azure Files wersję, która została użyta do wykonania żądania.
Date lub x-ms-date Wartość daty/godziny UTC wygenerowana przez usługę i wskazująca godzinę zainicjowania odpowiedzi.
x-ms-file-permission-key Klucz utworzonego uprawnienia.
x-ms-client-request-id Może służyć do rozwiązywania problemów z żądaniami i odpowiadającymi im odpowiedziami. Wartość tego nagłówka jest równa wartości x-ms-client-request-id nagłówka, jeśli jest obecna w żądaniu, a wartość zawiera nie więcej niż 1024 widoczne znaki ASCII. x-ms-client-request-id Jeśli nagłówek nie jest obecny w żądaniu, nie jest obecny w odpowiedzi.

Treść odpowiedzi

Brak.

Autoryzacja

Tę operację może wywołać tylko właściciel konta lub obiekt wywołujący, który ma sygnaturę dostępu współdzielonego na poziomie udziału z autoryzacją zapisu i usuwania.

Uwagi

Aby format SDDL był przenośny między maszynami domeny i nieprzyłączonych do domeny, obiekt wywołujący może użyć funkcji ConvertSecurityDescriptorToStringSecurityDescriptor() Windows w celu pobrania podstawowego ciągu SDDL deskryptora zabezpieczeń. Obiekt wywołujący może następnie zastąpić notację SDDL wymienioną w poniższej tabeli poprawną wartością identyfikatora SID.

Nazwa Notacja SDDL Wartość identyfikatora SID Opis
Administrator lokalny LA S-1-5-21domain-500 Konto użytkownika administratora systemu. Domyślnie jest to jedyne konto użytkownika, które ma pełną kontrolę nad systemem.
Goście lokalni LG S-1-5-21domain-501 Konto użytkownika dla osób, które nie mają indywidualnych kont. To konto użytkownika nie wymaga hasła. Domyślnie konto gościa jest wyłączone.
Wydawcy certyfikatów CA S-1-5-21domain-517 Grupa globalna obejmująca wszystkie komputery z uruchomionym urzędem certyfikacji przedsiębiorstwa. Wydawcy certyfikatów są autoryzowani do publikowania certyfikatów dla obiektów użytkownika w usłudze Active Directory.
Administratorzy domeny DA S-1-5-21domain-512 Grupa globalna, której członkowie są upoważnieni do administrowania domeną. Domyślnie grupa Administratorzy domeny jest członkiem grupy Administratorzy na wszystkich komputerach, które dołączyły do domeny, w tym kontrolerów domeny. Administratorzy domeny są domyślnym właścicielem dowolnego obiektu utworzonego przez dowolnego członka grupy.
Kontrolery domeny DD S-1-5-21domain-516 Grupa globalna obejmująca wszystkie kontrolery domeny w domenie. Nowe kontrolery domeny są domyślnie dodawane do tej grupy.
Użytkownicy domeny DU S-1-5-21domain-513 Grupa globalna, która domyślnie zawiera wszystkie konta użytkowników w domenie. Podczas tworzenia konta użytkownika w domenie konto jest domyślnie dodawane do tej grupy.
Goście domeny DG S-1-5-21domain-514 Grupa globalna, która domyślnie ma tylko jednego członka, wbudowanego konta gościa domeny.
Komputery domeny DC S-1-5-21domain-515 Grupa globalna obejmująca wszystkich klientów i serwerów, które dołączyły do domeny.
Administratorzy schematu SA S-1-5-21root domain-518 Grupa uniwersalna w domenie trybu natywnego; grupa globalna w domenie trybu mieszanego. Grupa jest autoryzowana do wprowadzania zmian schematu w usłudze Active Directory. Domyślnie jedynym członkiem grupy jest konto administratora domeny głównej lasu.
Enterprise Admins EA S-1-5-21root domain-519 Grupa uniwersalna w domenie trybu natywnego; grupa globalna w domenie trybu mieszanego. Grupa jest autoryzowana do wprowadzania zmian w całej lesie w usłudze Active Directory, takich jak dodawanie domen podrzędnych. Domyślnie jedynym członkiem grupy jest konto administratora domeny głównej lasu.
Twórcy-właściciele zasad grupy PA S-1-5-21domain-520 Grupa globalna, która jest autoryzowana do tworzenia nowych obiektów zasady grupy w usłudze Active Directory.
Serwery RAS i IAS RS S-1-5-21domain-553 Grupa lokalna domeny. Domyślnie ta grupa nie ma członków. Serwery serwera dostępu zdalnego (RAS) i usług uwierzytelniania internetowego (IAS) w tej grupie mają ograniczenia konta odczytu i dostęp do informacji logowania do obiektów użytkownika w grupie lokalnej domeny usługi Active Directory.
kontrolery domeny tylko do odczytu Enterprise RED S-1-5-21domain-498 Grupa uniwersalna. Członkowie tej grupy są kontrolerami domeny tylko do odczytu w przedsiębiorstwie.
Kontrolery domeny tylko do odczytu RO S-1-5-21domain-521 Grupa globalna. Członkowie tej grupy są kontrolerami domeny tylko do odczytu w domenie.