Skapa behörighet
Åtgärden Create Permission
skapar en behörighet (en säkerhetsbeskrivning) på resursnivå. Du kan använda säkerhetsbeskrivningen som skapats för filerna och katalogerna i resursen. Det här API:et är tillgängligt från och med version 2019-02-02.
Protokolltillgänglighet
Aktiverat filresursprotokoll | Tillgängligt |
---|---|
SMB | |
NFS |
Förfrågan
Du kan skapa begäran enligt Create Permission
nedan. Vi rekommenderar att du använder HTTPS.
Metod | URI för förfrågan | HTTP-version |
---|---|---|
PUT |
https://myaccount.file.core.windows.net/myshare?restype=share&comp=filepermission |
HTTP/1.1 |
Ersätt sökvägskomponenterna som visas i begärande-URI:n med dina egna komponenter, som du ser här:
Sökvägskomponent | Description |
---|---|
myaccount |
Namnet på ditt lagringskonto. |
myshare |
Namnet på filresursen. Namnet får bara innehålla gemener. |
Information om begränsningar för namngivning av sökvägar finns i Namn och referensresurser, kataloger, filer och metadata.
URI-parametrar
Du kan ange ytterligare parametrar för begärande-URI:n enligt följande:
Parameter | Beskrivning |
---|---|
timeout |
Valfritt. Parametern timeout uttrycks i sekunder. Mer information finns i Ange tidsgränser för kötjänståtgärder. |
Begärandehuvuden
De obligatoriska och valfria begärandehuvudena beskrivs i följande tabell:
Begärandehuvud | Beskrivning |
---|---|
Authorization |
Krävs. Anger auktoriseringsschema, lagringskontonamn och signatur. Mer information finns i Auktorisera begäranden till Azure Storage. |
Date eller x-ms-date |
Krävs. Anger Coordinated Universal Time (UTC) för begäran. Mer information finns i Auktorisera begäranden till Azure Storage. |
x-ms-version |
Valfritt. Anger vilken version av åtgärden som ska användas för den här begäran. Mer information finns i Versionshantering för Azure Storage-tjänster. |
x-ms-client-request-id |
Valfritt. Tillhandahåller ett klientgenererat, täckande värde med en teckengräns på 1 kibibyte (KiB) som registreras i loggarna när loggning har konfigurerats. Vi rekommenderar starkt att du använder det här huvudet för att korrelera aktiviteter på klientsidan med begäranden som servern tar emot. Mer information finns i Övervaka Azure Files. |
x-ms-file-request-intent |
Krävs om Authorization huvudet anger en OAuth-token. Acceptabelt värde är backup . Det här huvudet anger att Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action eller Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action ska beviljas om de ingår i DEN RBAC-princip som tilldelats den identitet som har behörighet med hjälp av Authorization huvudet. Tillgänglig för version 2022-11-02 och senare. |
Begärandetext
Du skapar en säkerhetsbeskrivning med hjälp av en begärandetext, som är ett JSON-dokument som beskriver behörighet i SDDL (Security Descriptor Definition Language). SDDL måste ha en dacl (owner, group, and discretionary access control list). Det angivna SDDL-strängformatet för säkerhetsbeskrivningen bör inte ha en domänrelativ identifierare (till exempel DU, DA eller DD) i den.
{
"Permission": "SDDL"
}
Exempelbegäran
PUT https://myaccount.file.core.windows.net/myshare?restype=share&comp=filepermission HTTP/1.1
Request Headers:
x-ms-date: Mon, 27 Jan 2014 22:15:50 GMT
x-ms-version: 2014-02-14
Authorization: SharedKey myaccount:4KdWDiTdA9HmIF9+WF/8WfYOpUrFhieGIT7f0av+GEI=
Request Body:
{"permission": "O:S-1-5-21-2127521184-1604012920-1887927527-21560751G:S-1-5-21-2127521184-1604012920-1887927527-513D:AI(A;;FA;;;SY)(A;;FA;;;BA)(A;;0x1200a9;;;S-1-5-21-397955417-626881126-188441444-3053964)"}
Svarsåtgärder
Svaret innehåller en HTTP-statuskod och en uppsättning svarshuvuden.
Statuskod
En lyckad åtgärd returnerar statuskoden 201 (skapad).
Information om statuskoder finns i Status och felkoder.
Svarshuvuden
Svaret för den här åtgärden innehåller följande rubriker. Svaret kan också innehålla ytterligare HTTP-standardhuvuden. Alla standardhuvuden överensstämmer med http/1.1-protokollspecifikationen.
Svarsrubrik | Description |
---|---|
x-ms-request-id |
Identifierar begäran som gjordes unikt och du kan använda den för att felsöka begäran. |
x-ms-version |
Anger den Azure Files version som användes för att köra begäran. |
Date eller x-ms-date |
Ett DATUM-/tidsvärde för UTC som genereras av tjänsten och som anger den tid då svaret initierades. |
x-ms-file-permission-key |
Nyckeln för den behörighet som skapats. |
x-ms-client-request-id |
Kan användas för att felsöka begäranden och deras motsvarande svar. Värdet för det här huvudet är lika med värdet x-ms-client-request-id för rubriken om det finns i begäran och värdet inte innehåller fler än 1 024 synliga ASCII-tecken. Om rubriken x-ms-client-request-id inte finns i begäran finns den inte i svaret. |
Själva svaret
Inga.
Auktorisering
Endast kontoägaren eller en anropare som har en signatur för delad åtkomst på resursnivå med skriv- och borttagningsauktorisering kan anropa den här åtgärden.
Kommentarer
För att göra SDDL-formatet portabelt mellan domän- och icke-domänanslutna datorer kan anroparen använda Windows-funktionen ConvertSecurityDescriptorToStringSecurityDescriptor() för att hämta den grundläggande SDDL-strängen för säkerhetsbeskrivningen. Anroparen kan sedan ersätta SDDL-notationen som anges i följande tabell med rätt SID-värde.
Name | SDDL-notation | SID-värde | Description |
---|---|---|---|
Lokal administratör | LA | S-1-5-21domain-500 | Ett användarkonto för systemadministratören. Som standard är det det enda användarkontot som får fullständig kontroll över systemet. |
Lokala gäster | LG | S-1-5-21domain-501 | Ett användarkonto för personer som inte har enskilda konton. Det här användarkontot kräver inget lösenord. Gästkontot är inaktiverat som standard. |
Certifikatutgivare | CA | S-1-5-21domain-517 | En global grupp som innehåller alla datorer som kör en företagscertifikatutfärdare. Certifikatutgivare har behörighet att publicera certifikat för användarobjekt i Active Directory. |
Domänadministratörer | DA | S-1-5-21domain-512 | En global grupp vars medlemmar har behörighet att administrera domänen. Som standard är gruppen Domänadministratörer medlem i gruppen Administratörer på alla datorer som har anslutit till en domän, inklusive domänkontrollanterna. Domänadministratörer är standardägare för alla objekt som skapas av någon medlem i gruppen. |
Domänkontrollanter | DD | S-1-5-21domain-516 | En global grupp som innehåller alla domänkontrollanter i domänen. Nya domänkontrollanter läggs till i den här gruppen som standard. |
Domänanvändare | DU | S-1-5-21domain-513 | En global grupp som som standard innehåller alla användarkonton i en domän. När du skapar ett användarkonto i en domän läggs kontot till i den här gruppen som standard. |
Domängäster | GD | S-1-5-21domain-514 | En global grupp som som standard bara har en medlem, domänens inbyggda gästkonto. |
Domändatorer | DC | S-1-5-21domain-515 | En global grupp som innehåller alla klienter och servrar som har anslutit till domänen. |
Schemaadministratörer | SA | S-1-5-21root domän-518 | En universell grupp i en domän i inbyggt läge; en global grupp i en domän med blandat läge. Gruppen har behörighet att göra schemaändringar i Active Directory. Som standard är den enda medlemmen i gruppen administratörskontot för skogsrotdomänen. |
Företagsadministratörer | EA | S-1-5-21root domän-519 | En universell grupp i en domän i inbyggt läge; en global grupp i en domän med blandat läge. Gruppen har behörighet att göra skogsomfattande ändringar i Active Directory, till exempel lägga till underordnade domäner. Som standard är den enda medlemmen i gruppen administratörskontot för skogsrotdomänen. |
Skapare och ägare av grupprincip | PA | S-1-5-21domain-520 | En global grupp som har behörighet att skapa nya grupprincip objekt i Active Directory. |
RAS- och IAS-servrar | RS | S-1-5-21domain-553 | En lokal domängrupp. Som standard har den här gruppen inga medlemmar. RAS-servrar (Remote Access Server) och IAS-servrar (Internet Authentication Service) i den här gruppen har läskontobegränsningar och läsbehörighet för inloggningsinformation till användarobjekt i den lokala active directory-domängruppen. |
Skrivskyddade domänkontrollanter för företag | ED | S-1-5-21domain-498 | En universell grupp. Medlemmar i den här gruppen är skrivskyddade domänkontrollanter i företaget. |
Skrivskyddade domänkontrollanter | RO | S-1-5-21domain-521 | En global grupp. Medlemmar i den här gruppen är skrivskyddade domänkontrollanter i domänen. |