你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

创建权限

  • 项目

操作 Create Permission 在共享级别创建权限 (安全描述符) 。 可以为共享中的文件和目录使用创建的安全描述符。 此 API 自版本 2019-02-02 起可用。

协议可用性

已启用文件共享协议 可用
SMB 是
NFS 否

请求

可以构造请求, Create Permission 如下所示。 建议使用 HTTPS。

方法 请求 URI HTTP 版本
PUT https://myaccount.file.core.windows.net/myshare?restype=share&comp=filepermission HTTP/1.1

将请求 URI 中显示的路径组件替换为你自己的组件,如下所示:

路径组件 说明
myaccount 存储帐户的名称。
myshare 文件共享的名称。 名称只能包含小写字符。

有关路径命名限制的信息,请参阅 名称和引用共享、目录、文件和元数据

URI 参数

可以在请求 URI 上指定其他参数,如下所示:

参数 说明
timeout 可选。 timeout 参数以秒表示。 有关详细信息,请参阅 为队列服务操作设置超时

请求标头

下表描述了必需的和可选的请求标头:

请求标头 说明
Authorization 必需。 指定授权方案、存储帐户名称和签名。 有关详细信息,请参阅授权对 Azure 存储的请求
Datex-ms-date 必需。 指定请求的协调世界时 (UTC)。 有关详细信息,请参阅授权对 Azure 存储的请求
x-ms-version 可选。 指定用于此请求的操作的版本。 有关详细信息,请参阅 Azure 存储服务的版本控制
x-ms-client-request-id 可选。 提供客户端生成的不透明值,其中包含 1 kibite (KiB) 配置日志记录时记录在日志中的字符限制。 强烈建议使用此标头将客户端活动与服务器接收的请求相关联。 有关详细信息,请参阅监视Azure 文件存储
x-ms-file-request-intent 如果 Authorization 标头指定 OAuth 令牌,则为必需。 可接受的值为 backup。 此标头指定Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/actionMicrosoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action如果或包含在分配给使用 标头授权的标识的 RBAC 策略中,则应授予 或 Authorization 。 适用于版本 2022-11-02 及更高版本。

请求正文

可以使用请求正文创建安全描述符,该正文是一个 JSON 文档,用于描述 安全描述符定义语言 (SDDL) 中的权限。 SDDL 必须具有所有者、组和 自由访问控制列表 (DACL) 。 安全描述符提供的 SDDL 字符串格式不应具有域相对标识符 (例如 DU、DA 或 DD) 。

{
    "Permission": "SDDL"
}

示例请求

PUT https://myaccount.file.core.windows.net/myshare?restype=share&comp=filepermission HTTP/1.1  

Request Headers:  
x-ms-date: Mon, 27 Jan 2014 22:15:50 GMT  
x-ms-version: 2014-02-14  
Authorization: SharedKey myaccount:4KdWDiTdA9HmIF9+WF/8WfYOpUrFhieGIT7f0av+GEI=  

Request Body:
{"permission": "O:S-1-5-21-2127521184-1604012920-1887927527-21560751G:S-1-5-21-2127521184-1604012920-1887927527-513D:AI(A;;FA;;;SY)(A;;FA;;;BA)(A;;0x1200a9;;;S-1-5-21-397955417-626881126-188441444-3053964)"}

响应

响应包括 HTTP 状态代码和一组响应标头。

状态代码

此操作成功后返回状态代码 201(已创建)。

有关状态代码的信息,请参阅 状态和错误代码

响应标头

此操作的响应包括以下标头。 响应还可能包括其他标准 HTTP 标头。 所有标准标头都符合 HTTP/1.1 协议规范

响应标头 说明
x-ms-request-id 唯一标识发出的请求,并可用于对请求进行故障排除。
x-ms-version 指示用于执行请求的Azure 文件存储版本。
Datex-ms-date 由服务生成的 UTC 日期/时间值,指示启动响应的时间。
x-ms-file-permission-key 所创建权限的键。
x-ms-client-request-id 可用于对请求及其相应响应进行故障排除。 如果请求中存在标头, x-ms-client-request-id 并且该值包含的可见 ASCII 字符不超过 1,024 个,则此标头的值等于标头的值。 x-ms-client-request-id如果请求中不存在标头,则响应中不存在该标头。

响应正文

无。

授权

只有帐户所有者或具有具有写入和删除授权的共享级共享访问签名的调用方才能调用此操作。

注解

若要使 SDDL 格式在域和非加入域的计算机之间可移植,调用方可以使用 ConvertSecurityDescriptorToStringSecurityDescriptor () Windows 函数获取安全描述符的基本 SDDL 字符串。 然后,调用方可以将下表中列出的 SDDL 表示法替换为正确的 SID 值。

名称 SDDL 表示法 SID 值 说明
本地管理员 LA S-1-5-21domain-500 系统管理员的用户帐户。 默认情况下,它是唯一获得对系统的完全控制权的用户帐户。
本地来宾 LG S-1-5-21domain-501 没有个人帐户的用户的用户帐户。 此用户帐户不需要密码。 默认情况下,来宾帐户处于禁用状态。
证书发布者 CA S-1-5-21domain-517 一个全局组,包括运行企业证书颁发机构的所有计算机。 证书发布者有权在 Active Directory 中发布 User 对象的证书。
域管理员 DA S-1-5-21domain-512 其成员有权管理域的全局组。 默认情况下,域管理员组是已加入域的所有计算机上的管理员组的成员,包括域控制器。 域管理员是组的任何成员创建的任何对象的默认所有者。
域控制器 DD S-1-5-21domain-516 包含域中的所有域控制器的全局组。 默认情况下,新域控制器将添加到此组。
域用户 DU S-1-5-21domain-513 默认情况下,全局组包括域中的所有用户帐户。 在域中创建用户帐户时,默认情况下会将该帐户添加到此组。
Domain Guests DG S-1-5-21domain-514 默认情况下,全局组只有一个成员,即域的内置来宾帐户。
Domain Computers DC S-1-5-21domain-515 包含已加入域的所有客户端和服务器的全局组。
Schema Admins SA S-1-5-21root 域-518 本机模式域中的通用组;混合模式域中的全局组。 该组有权在 Active Directory 中更改架构。 默认情况下,组的唯一成员是林根域的 Administrator 帐户。
企业管理员 EA S-1-5-21root 域-519 本机模式域中的通用组;混合模式域中的全局组。 该组有权在 Active Directory 中进行林范围的更改,例如添加子域。 默认情况下,组的唯一成员是林根域的 Administrator 帐户。
Group Policy Creator Owners PA S-1-5-21domain-520 有权在 Active Directory 中创建新的组策略对象的全局组。
RAS 和 IAS 服务器 RS S-1-5-21domain-553 域本地组。 默认情况下,该组没有任何成员。 远程访问服务器 (RAS) 和 Internet 身份验证服务 (IAS) 服务器在此组中对 Active Directory 域本地组中的用户对象具有读取帐户限制和读取登录信息访问权限。
企业只读域控制器 ED S-1-5-21domain-498 通用组。 此组的成员是企业中的只读域控制器。
只读域控制器 RO S-1-5-21domain-521 全局组。 此组的成员是域中的只读域控制器。