Создание разрешения
Операция Create Permission
создает разрешение (дескриптор безопасности) на уровне общей папки. Для файлов и каталогов в общей папке можно использовать созданный дескриптор безопасности. Этот API доступен с версии 2019-02-02.
Доступность протокола
Включенный протокол общей папки | Доступно |
---|---|
SMB | |
NFS |
Запрос
Вы можете создать запрос, Create Permission
как показано здесь. Рекомендуется использовать ПРОТОКОЛ HTTPS.
Метод | Универсальный код ресурса (URI) запроса | параметр "Версия HTTP" |
---|---|---|
PUT |
https://myaccount.file.core.windows.net/myshare?restype=share&comp=filepermission |
HTTP/1.1 |
Замените компоненты пути, отображаемые в URI запроса, собственными компонентами, как показано ниже:
Компонент path | Описание |
---|---|
myaccount |
Имя учетной записи хранения. |
myshare |
Имя файлового ресурса. Имя может содержать только символы в нижнем регистре. |
Сведения об ограничениях именования путей см. в статье Имя и ссылочные общие папки, каталоги, файлы и метаданные.
Параметры универсального кода ресурса (URI)
Вы можете указать дополнительные параметры в URI запроса, как показано ниже:
Параметр | Описание |
---|---|
timeout |
Необязательный элемент. Параметр timeout указывается в секундах. Дополнительные сведения см. в статье Установка времени ожидания для операций службы очередей. |
Заголовки запросов
Обязательные и необязательные заголовки запросов описаны в следующей таблице:
Заголовок запроса | Описание |
---|---|
Authorization |
Обязательный. Указывает схему авторизации, имя учетной записи хранения и подпись. Дополнительные сведения см. в статье Авторизация запросов к Службе хранилища Azure. |
Date или x-ms-date |
Обязательный. Задает время запроса в формате UTC. Дополнительные сведения см. в статье Авторизация запросов к Службе хранилища Azure. |
x-ms-version |
Необязательный элемент. Задает версию операции, используемой для этого запроса. Дополнительные сведения см. в статье Управление версиями для служб хранилища Azure. |
x-ms-client-request-id |
Необязательный элемент. Предоставляет созданное клиентом непрозрачное значение с ограничением в 1 кибибайт (КиБ), которое записывается в журналы при настройке ведения журнала. Мы настоятельно рекомендуем использовать этот заголовок для сопоставления действий на стороне клиента с запросами, получаемыми сервером. Дополнительные сведения см. в разделе Мониторинг Файлы Azure. |
x-ms-file-request-intent |
Требуется, если Authorization заголовок указывает токен OAuth. Допустимое значение — backup . Этот заголовок указывает, что Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action необходимо предоставить или Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action , если они включены в политику RBAC, назначенную удостоверению, авторизованному с помощью заголовка Authorization . Доступно для версии 2022-11-02 и более поздних версий. |
Текст запроса
Дескриптор безопасности создается с помощью текста запроса, который представляет собой документ JSON, описывающий разрешения на языке определения дескриптора безопасности (SDDL). SDDL должен иметь список владельцев, групп и списков управления доступом на уровне пользователей (DACL). В предоставленном строковом формате SDDL дескриптора безопасности не должно быть идентификатора домена (например, DU, DA или DD).
{
"Permission": "SDDL"
}
Пример запроса
PUT https://myaccount.file.core.windows.net/myshare?restype=share&comp=filepermission HTTP/1.1
Request Headers:
x-ms-date: Mon, 27 Jan 2014 22:15:50 GMT
x-ms-version: 2014-02-14
Authorization: SharedKey myaccount:4KdWDiTdA9HmIF9+WF/8WfYOpUrFhieGIT7f0av+GEI=
Request Body:
{"permission": "O:S-1-5-21-2127521184-1604012920-1887927527-21560751G:S-1-5-21-2127521184-1604012920-1887927527-513D:AI(A;;FA;;;SY)(A;;FA;;;BA)(A;;0x1200a9;;;S-1-5-21-397955417-626881126-188441444-3053964)"}
Ответ
Ответ включает код состояния HTTP и набор заголовков ответа.
Код состояния
Успешная операция возвращает код состояния 201 (создано).
Сведения о кодах состояния см. в разделе Коды состояния и ошибок.
Заголовки ответов
Ответ для этой операции включает следующие заголовки. Ответ также может включать дополнительные стандартные заголовки HTTP. Все стандартные заголовки соответствуют спецификации протокола HTTP/1.1.
Заголовок ответа | Описание |
---|---|
x-ms-request-id |
Уникально идентифицирует выполненный запрос, и его можно использовать для устранения неполадок с запросом. |
x-ms-version |
Указывает версию Файлы Azure, которая использовалась для выполнения запроса. |
Date или x-ms-date |
Значение даты и времени в формате UTC, созданное службой и указывающее время запуска ответа. |
x-ms-file-permission-key |
Ключ созданного разрешения. |
x-ms-client-request-id |
Можно использовать для устранения неполадок с запросами и соответствующими ответами. Значение этого заголовка равно значению заголовка x-ms-client-request-id , если он присутствует в запросе и содержит не более 1024 видимых символов ASCII. Если заголовок x-ms-client-request-id отсутствует в запросе, он отсутствует в ответе. |
Текст ответа
Нет.
Авторизация
Эту операцию может вызвать только владелец учетной записи или вызывающий объект, имеющий подписанный url-адрес на уровне общего доступа с авторизацией на запись и удаление.
Комментарии
Чтобы формат SDDL переносился между компьютерами, не присоединенными к домену, вызывающий объект может использовать функцию Windows ConvertSecurityDescriptorToStringSecurityDescriptor() для получения базовой строки SDDL для дескриптора безопасности. После этого вызывающий объект может заменить нотацию SDDL, указанную в следующей таблице, правильным значением sid.
Имя | Нотация SDDL | Значение sid | Описание |
---|---|---|---|
Локальный администратор | LA | S-1-5-21domain-500 | Учетная запись пользователя для системного администратора. По умолчанию это единственная учетная запись пользователя, которая получает полный контроль над системой. |
Местные гости | LG | S-1-5-21domain-501 | Учетная запись пользователя для пользователей, у которых нет отдельных учетных записей. Для этой учетной записи пользователя не требуется пароль. По умолчанию учетная запись гостя отключена. |
Издатели сертификатов | CA | S-1-5-21домен-517 | Глобальная группа, включающая все компьютеры, на которых работает корпоративный центр сертификации. Издатели сертификатов имеют право публиковать сертификаты для объектов User в Active Directory. |
Администраторы домена | DA | S-1-5-21домен-512 | Глобальная группа, члены которой уполномочены администрировать домен. По умолчанию группа "Администраторы домена" является членом группы "Администраторы" на всех компьютерах, присоединенных к домену, включая контроллеры домена. Администраторы домена являются владельцем по умолчанию любого объекта, созданного любым участником группы. |
Контроллеры домена | DD | S-1-5-21домен-516 | Глобальная группа, включающая все контроллеры домена в домене. Новые контроллеры домена добавляются в эту группу по умолчанию. |
Пользователи домена | DU | S-1-5-21домен-513 | Глобальная группа, которая по умолчанию включает все учетные записи пользователей в домене. При создании учетной записи пользователя в домене учетная запись добавляется в эту группу по умолчанию. |
Гости домена | DG | S-1-5-21domain-514 | Глобальная группа, в которую по умолчанию входит только один участник, встроенная гостевая учетная запись домена. |
Компьютеры домена | DC | S-1-5-21домен-515 | Глобальная группа, включающая все клиенты и серверы, присоединенные к домену. |
Администраторы схемы | SA | S-1-5-21root domain-518 | Универсальная группа в домене в собственном режиме; глобальная группа в домене смешанного режима. Группа авторизована для внесения изменений в схему в Active Directory. По умолчанию единственным участником группы является учетная запись администратора корневого домена леса. |
Администраторы предприятия | EA | S-1-5-21root domain-519 | Универсальная группа в домене в собственном режиме; глобальная группа в домене смешанного режима. Группа имеет право вносить изменения в Active Directory на уровне леса, например добавлять дочерние домены. По умолчанию единственным участником группы является учетная запись администратора корневого домена леса. |
Владельцы-создатели групповой политики | PA | S-1-5-21domain-520 | Глобальная группа, авторизованная для создания новых объектов групповая политика в Active Directory. |
Серверы RAS и IAS | Сервер отчетов | S-1-5-21domain-553 | Локальная группа домена. По умолчанию у этой группы нет участников. Серверы удаленного доступа (RAS) и службы проверки подлинности в Интернете (IAS) в этой группе имеют доступ к ограничениям на чтение учетных записей и чтение сведений о входе для объектов User в локальной группе домена Active Directory. |
Корпоративные контроллеры домена только для чтения | ED | S-1-5-21domain-498 | Универсальная группа. Участники этой группы являются контроллерами домена только для чтения на предприятии. |
Контроллеры домена только для чтения | RO | S-1-5-21домен-521 | Глобальная группа. Члены этой группы являются контроллерами домена только для чтения в домене. |