Поделиться через

Создание разрешения

  • Статья

Операция Create Permission создает разрешение (дескриптор безопасности) на уровне общего ресурса. Вы можете использовать созданный дескриптор безопасности для файлов и каталогов в общей папке. Этот API доступен в версии 2019-02-02.

Доступность протокола

Протокол общей папки с включенным доступом Доступный
SMB Да
NFS Нет

Просьба

Вы можете создать запрос Create Permission, как показано здесь. Рекомендуется использовать ПРОТОКОЛ HTTPS.

Метод URI запроса ВЕРСИЯ HTTP
PUT https://myaccount.file.core.windows.net/myshare?restype=share&comp=filepermission HTTP/1.1

Замените компоненты пути, отображаемые в URI запроса, собственными компонентами, как показано ниже:

Компонент path Описание
myaccount Имя учетной записи хранения.
myshare Имя общей папки. Имя может содержать только строчные символы.

Сведения об ограничениях именования путей см. в разделе Имя и справочные ресурсы, каталоги, файлы и метаданные.

Параметры URI

Дополнительные параметры можно указать в URI запроса, как показано здесь:

Параметр Описание
timeout Необязательный. Параметр timeout выражается в секундах. Дополнительные сведения см. в разделе Настройка времени ожидания для операций службы очередей.

Заголовки запросов

Обязательные и необязательные заголовки запросов описаны в следующей таблице:

Заголовок запроса Описание
Authorization Обязательно. Указывает схему авторизации, имя учетной записи хранения и подпись. Дополнительные сведения см. в статье Авторизация запросов к службе хранилища Azure.
Date или x-ms-date Обязательно. Указывает универсальное время (UTC) для запроса. Дополнительные сведения см. в статье Авторизация запросов к службе хранилища Azure.
x-ms-version Необязательный. Указывает версию операции, используемой для этого запроса. Дополнительные сведения см. в статье Управление версиями служб хранилища Azure.
x-ms-client-request-id Необязательный. Предоставляет созданное клиентом непрозрачное значение с ограничением символов 1-kibibyte (KiB), записанным в журналах при настройке ведения журнала. Настоятельно рекомендуется использовать этот заголовок для сопоставления действий на стороне клиента с запросами, получаемыми сервером. Дополнительные сведения см. в статье Monitor Azure Files.
x-ms-file-request-intent Требуется, если заголовок Authorization указывает токен OAuth. Допустимое значение равно backup. Этот заголовок указывает, что Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action или Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action следует предоставить, если они включены в политику RBAC, назначенную удостоверению, авторизованному с помощью заголовка Authorization. Доступно для версии 2022-11-02 и более поздних версий.

Текст запроса

Дескриптор безопасности создается путем размещения объекта JSON в тексте запроса. Объект JSON может иметь следующие поля:

Ключ JSON Описание
permission Обязательно. Разрешение в языке определения дескриптора безопасности (SDDL) или (версия 2024-11-04 или более поздней) в формате дескриптора безопасности в кодировке Base64 двоичном формате дескриптора безопасности. Дескриптор безопасности должен иметь владельца, группу и список управления доступом (DACL).
format Необязательный. Версия 2024-11-04 или более поздняя. Описывает формат разрешения, предоставленного в permission. Если задано, это поле должно иметь значение "sddl" или "binary". Если опущено, используется значение по умолчанию "sddl".

Если используется SDDL, формат строки SDDL дескриптора безопасности не должен содержать относительный идентификатор домена (например, DU, DA или DD).

{
    "permission": "<SDDL>"
}

В версии 2024-11-04 или более поздней версии можно явно указать, что разрешение находится в формате SDDL:

{
    "format": "sddl",
    "permission": "<SDDL>"
}

В версии 2024-11-04 или более поздней версии можно также создать разрешение в двоичном формате в кодировке Base-64. В этом случае необходимо явно указать, что формат "binary".

{
    "format": "binary",
    "permission": "<base64>"
}

Пример запроса

PUT https://myaccount.file.core.windows.net/myshare?restype=share&comp=filepermission HTTP/1.1  

Request Headers:
x-ms-date: Mon, 27 Jan 2014 22:15:50 GMT
x-ms-version: 2014-02-14
Authorization: SharedKey myaccount:4KdWDiTdA9HmIF9+WF/8WfYOpUrFhieGIT7f0av+GEI=

Request Body:
{"permission": "O:S-1-5-21-2127521184-1604012920-1887927527-21560751G:S-1-5-21-2127521184-1604012920-1887927527-513D:AI(A;;FA;;;SY)(A;;FA;;;BA)(A;;0x1200a9;;;S-1-5-21-397955417-626881126-188441444-3053964)"}

Ответ

Ответ включает код состояния HTTP и набор заголовков ответа.

Код состояния

Успешная операция возвращает код состояния 201 (создан).

Сведения о кодах состояния см. в коды состояния и коды ошибок.

Заголовки ответа

Ответ для этой операции содержит следующие заголовки. Ответ также может включать дополнительные стандартные заголовки HTTP. Все стандартные заголовки соответствуют спецификации протокола HTTP/1.1.

Заголовок ответа Описание
x-ms-request-id Уникально идентифицирует выполненный запрос, и его можно использовать для устранения неполадок запроса.
x-ms-version Указывает версию файлов Azure, которая использовалась для выполнения запроса.
Date или x-ms-date Значение даты и времени в формате UTC, созданное службой, и указывает время, когда ответ был инициирован.
x-ms-file-permission-key Ключ созданного разрешения.
x-ms-client-request-id Можно использовать для устранения неполадок запросов и их соответствующих ответов. Значение этого заголовка равно значению заголовка x-ms-client-request-id, если оно присутствует в запросе, а значение содержит не более 1024 видимых символов ASCII. Если в запросе отсутствует заголовок x-ms-client-request-id, он отсутствует в ответе.

Текст ответа

Никакой.

Авторизация

Это может вызвать только владелец учетной записи или вызывающий объект с подписанным url-адресом общего доступа на уровне общего доступа с авторизацией записи и удаления.

Замечания

Чтобы сделать формат SDDL переносимым между доменами и компьютерами, не присоединенными к домену, вызывающий объект может использовать функцию ConvertSecurityDescriptorToStringSecurityDescriptor Windows, чтобы получить базовую строку SDDL для дескриптора безопасности. Вызывающий объект может заменить нотацию SDDL, указанную в следующей таблице, правильным значением идентификатора безопасности.

Имя Нотация SDDL Значение SID Описание
Локальный администратор ЛЯ S-1-5-21-domain-500 Учетная запись пользователя для системного администратора. По умолчанию это единственная учетная запись пользователя, которая предоставляет полный контроль над системой.
Местные гости LG S-1-5-21-domain-501 Учетная запись пользователя для пользователей, у которых нет отдельных учетных записей. Для этой учетной записи пользователя не требуется пароль. По умолчанию гостевая учетная запись отключена.
Издатели сертификатов Центр сертификации S-1-5-21-domain-517 Глобальная группа, содержащая все компьютеры, на которых работает корпоративный центр сертификации. Издатели сертификатов авторизованы на публикацию сертификатов для объектов пользователей в Active Directory.
Администраторы домена ДА S-1-5-21-domain-512 Глобальная группа, члены которой уполномочены администрировать домен. По умолчанию группа "Администраторы домена" входит в группу "Администраторы" на всех компьютерах, присоединенных к домену, включая контроллеры домена. Администраторы домена — это владелец любого объекта, созданного любым членом группы по умолчанию.
Контроллеры домена DD S-1-5-21-domain-516 Глобальная группа, содержащая все контроллеры домена в домене. Новые контроллеры домена добавляются в эту группу по умолчанию.
Пользователи домена DU S-1-5-21-domain-513 Глобальная группа, которая по умолчанию включает все учетные записи пользователей в домене. При создании учетной записи пользователя в домене учетная запись добавляется в эту группу по умолчанию.
Гости домена DG S-1-5-21-domain-514 Глобальная группа, которая по умолчанию имеет только одного члена, встроенную гостевую учетную запись домена.
Компьютеры домена Постоянный ток S-1-5-21-domain-515 Глобальная группа, содержащая все клиенты и серверы, присоединенные к домену.
Администраторы схемы SA S-1-5-21root domain-518 Универсальная группа в домене в собственном режиме; глобальная группа в домене смешанного режима. Группа авторизована для внесения изменений схемы в Active Directory. По умолчанию единственным членом группы является учетная запись администратора корневого домена леса.
Администраторы предприятия EA S-1-5-21root domain-519 Универсальная группа в домене в собственном режиме; глобальная группа в домене смешанного режима. Группа авторизована для внесения изменений в Active Directory по всему лесу, таких как добавление дочерних доменов. По умолчанию единственным членом группы является учетная запись администратора корневого домена леса.
Владельцы создателей групповой политики ПАПА S-1-5-21-domain-520 Глобальная группа, авторизованная на создание объектов групповой политики в Active Directory.
Серверы RAS и IAS RS S-1-5-21-domain-553 Локальная группа домена. По умолчанию эта группа не имеет членов. Серверы сервера удаленного доступа (RAS) и службы проверки подлинности Интернета (IAS) в этой группе имеют ограничения на чтение учетных записей и доступ к данным для чтения сведений о входе в объекты пользователей в локальной группе домена Active Directory.
Контроллеры домена только для чтения предприятия ЭД S-1-5-21-domain-498 Универсальная группа. Члены этой группы являются контроллерами домена только для чтения в организации.
Контроллеры домена только для чтения RO S-1-5-21-domain-521 Глобальная группа. Члены этой группы являются контроллерами домена только для чтения в домене.