你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
创建权限
Create Permission 操作在共享级别创建权限(安全描述符)。 可以将创建的安全描述符用于共享中的文件和目录。 此 API 自版本 2019-02-02 起提供。
协议可用性
| 已启用文件共享协议 | 可用 |
|---|---|
| SMB |
|
| NFS |
|
请求
可以构造 Create Permission 请求,如下所示。 建议使用 HTTPS。
| 方法 | 请求 URI | HTTP 版本 |
|---|---|---|
PUT |
https://myaccount.file.core.windows.net/myshare?restype=share&comp=filepermission |
HTTP/1.1 |
将请求 URI 中显示的路径组件替换为自己的组件,如下所示:
| 路径组件 | 描述 |
|---|---|
myaccount |
存储帐户的名称。 |
myshare |
文件共享的名称。 名称只能包含小写字符。 |
有关路径命名限制的信息,请参阅 名称和引用共享、目录、文件和元数据。
URI 参数
可以在请求 URI 上指定其他参数,如下所示:
| 参数 | 描述 |
|---|---|
timeout |
自选。
timeout 参数以秒为单位表示。 有关详细信息,请参阅 设置队列服务操作的超时。 |
请求标头
下表描述了必需和可选的请求标头:
| 请求标头 | 描述 |
|---|---|
Authorization |
必填。 指定授权方案、存储帐户名称和签名。 有关详细信息,请参阅 授权对 Azure 存储的请求。 |
Date 或 x-ms-date |
必填。 指定请求的协调世界时(UTC)。 有关详细信息,请参阅 授权对 Azure 存储的请求。 |
x-ms-version |
自选。 指定要用于此请求的操作的版本。 有关详细信息,请参阅 azure 存储服务 |
x-ms-client-request-id |
自选。 提供客户端生成的不透明值,该值具有配置日志记录时日志中记录的 1-kibibyte (KiB) 字符限制。 强烈建议使用此标头将客户端活动与服务器接收的请求相关联。 有关详细信息,请参阅 监视 Azure 文件。 |
x-ms-file-request-intent |
如果需要 Authorization 标头指定 OAuth 令牌。 可接受的值为 backup。 此标头指定,如果 Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action 或 Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action 包含在分配给使用 Authorization 标头授权的标识的 RBAC 策略中,则应授予 Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action。 适用于版本 2022-11-02 及更高版本。 |
请求正文
通过在请求正文中放置 JSON 对象来创建安全描述符。 JSON 对象可以具有以下字段:
| JSON 密钥 | 描述 |
|---|---|
permission |
必填。 安全描述符定义语言(SDDL)中的权限 或(版本 2024-11-04 或更高版本)中的 base64 编码 二进制安全描述符格式。 安全描述符必须具有所有者、组和 自由访问控制列表(DACL)。 |
format |
自选。 版本 2024-11-04 或更高版本。 描述 permission中提供的权限的格式。 如果已定义,则必须将此字段设置为 "sddl" 或 "binary"。 如果省略,则使用默认 "sddl"。 |
如果使用 SDDL,则安全描述符的 SDDL 字符串格式不应包含域相对标识符(例如 DU、DA 或 DD)。
{
"permission": "<SDDL>"
}
在版本 2024-11-04 或更高版本中,可以选择显式指定权限采用 SDDL 格式:
{
"format": "sddl",
"permission": "<SDDL>"
}
在版本 2024-11-04 或更高版本中,还可以使用 base-64 编码的二进制格式创建权限。 在这种情况下,必须显式指定格式 "binary"。
{
"format": "binary",
"permission": "<base64>"
}
示例请求
PUT https://myaccount.file.core.windows.net/myshare?restype=share&comp=filepermission HTTP/1.1
Request Headers:
x-ms-date: Mon, 27 Jan 2014 22:15:50 GMT
x-ms-version: 2014-02-14
Authorization: SharedKey myaccount:4KdWDiTdA9HmIF9+WF/8WfYOpUrFhieGIT7f0av+GEI=
Request Body:
{"permission": "O:S-1-5-21-2127521184-1604012920-1887927527-21560751G:S-1-5-21-2127521184-1604012920-1887927527-513D:AI(A;;FA;;;SY)(A;;FA;;;BA)(A;;0x1200a9;;;S-1-5-21-397955417-626881126-188441444-3053964)"}
响应
响应包括 HTTP 状态代码和一组响应标头。
状态代码
成功的操作返回状态代码 201(已创建)。
有关状态代码的信息,请参阅 状态和错误代码。
响应标头
此操作的响应包括以下标头。 响应还可能包括其他标准 HTTP 标头。 所有标准标头都符合 HTTP/1.1 协议规范。
| 响应标头 | 描述 |
|---|---|
x-ms-request-id |
唯一标识已发出的请求,可以使用它对请求进行故障排除。 |
x-ms-version |
指示用于执行请求的 Azure 文件版本。 |
Date 或 x-ms-date |
由服务生成的 UTC 日期/时间值,指示启动响应的时间。 |
x-ms-file-permission-key |
创建的权限的密钥。 |
x-ms-client-request-id |
可用于对请求及其相应的响应进行故障排除。 如果此标头存在于请求中,则此标头的值等于 x-ms-client-request-id 标头的值,并且该值包含不超过 1,024 个可见 ASCII 字符。 如果请求中不存在 x-ms-client-request-id 标头,则响应中不存在该标头。 |
响应正文
没有。
授权
只有帐户所有者或具有写入和删除授权的共享级共享访问签名的调用方才能调用此操作。
言论
若要使 SDDL 格式可移植到域和非已加入域的计算机,调用方可以使用 ConvertSecurityDescriptorToStringSecurityDescriptor Windows 函数获取安全描述符的基本 SDDL 字符串。 然后,调用方可以将下表中列出的 SDDL 表示法替换为正确的 SID 值。
| 名字 | SDDL 表示法 | SID 值 | 描述 |
|---|---|---|---|
| 本地管理员 | 洛杉矶 | S-1-5-21-domain-500 | 系统管理员的用户帐户。 默认情况下,它是唯一一个对系统进行完全控制的用户帐户。 |
| 本地来宾 | LG | S-1-5-21-domain-501 | 没有个人帐户的人员的用户帐户。 此用户帐户不需要密码。 默认情况下,来宾帐户处于禁用状态。 |
| 证书发布者 | CA | S-1-5-21-domain-517 | 包含运行企业证书颁发机构的所有计算机的全局组。 证书发布者有权在 Active Directory 中发布用户对象的证书。 |
| 域管理员 | 大 | S-1-5-21-domain-512 | 一个全局组,其成员有权管理域。 默认情况下,域管理员组是已加入域的所有计算机上的 Administrators 组的成员,包括域控制器。 域管理员是组的任何成员创建的任何对象的默认所有者。 |
| 域控制器 | DD | S-1-5-21-domain-516 | 包含域中所有域控制器的全局组。 默认情况下,新域控制器将添加到此组。 |
| 域用户 | 都 | S-1-5-21-domain-513 | 默认情况下,全局组包括域中的所有用户帐户。 在域中创建用户帐户时,该帐户默认添加到此组。 |
| 域来宾 | DG | S-1-5-21-domain-514 | 默认情况下,全局组只有一个成员,即域的内置来宾帐户。 |
| 域计算机 | 直流 | S-1-5-21-domain-515 | 包含已加入域的所有客户端和服务器的全局组。 |
| 架构管理员 | SA | S-1-5-21root 域-518 | 本机模式域中的通用组;混合模式域中的全局组。 该组有权在 Active Directory 中进行更改。 默认情况下,组的唯一成员是林根域的管理员帐户。 |
| 企业管理员 | EA | S-1-5-21root domain-519 | 本机模式域中的通用组;混合模式域中的全局组。 该组有权在 Active Directory 中进行林范围的更改,例如添加子域。 默认情况下,组的唯一成员是林根域的管理员帐户。 |
| 组策略创建者所有者 | PA | S-1-5-21-domain-520 | 有权在 Active Directory 中创建新的组策略对象的全局组。 |
| RAS 和 IAS 服务器 | RS | S-1-5-21-domain-553 | 域本地组。 默认情况下,此组没有成员。 此组中的远程访问服务器(RAS)和 Internet 身份验证服务(IAS)服务器对 Active Directory 域本地组中的用户对象具有读取帐户限制和读取登录信息访问权限。 |
| 企业只读域控制器 | ED | S-1-5-21-domain-498 | 通用组。 此组的成员是企业中的只读域控制器。 |
| 只读域控制器 | RO | S-1-5-21-domain-521 | 全局组。 此组的成员是域中的只读域控制器。 |