Skapa behörighet
Åtgärden Create Permission skapar en behörighet (en säkerhetsbeskrivning) på resursnivå. Du kan använda den skapade säkerhetsbeskrivningen för filerna och katalogerna i resursen. Det här API:et är tillgängligt från och med version 2019-02-02.
Protokolltillgänglighet
| Aktiverat filresursprotokoll | Tillgänglig |
|---|---|
| SMB |
|
| NFS |
|
Begäran
Du kan skapa Create Permission begäran enligt nedan. Vi rekommenderar att du använder HTTPS.
| Metod | Begärande-URI | HTTP-version |
|---|---|---|
PUT |
https://myaccount.file.core.windows.net/myshare?restype=share&comp=filepermission |
HTTP/1.1 |
Ersätt sökvägskomponenterna som visas i begärande-URI:n med dina egna komponenter, som du ser här:
| Sökvägskomponent | Beskrivning |
|---|---|
myaccount |
Namnet på ditt lagringskonto. |
myshare |
Namnet på filresursen. Namnet får bara innehålla gemener. |
Information om sökvägsnamnsbegränsningar finns i Namn och referensresurser, kataloger, filer och metadata.
URI-parametrar
Du kan ange ytterligare parametrar för begärande-URI:n enligt följande:
| Parameter | Beskrivning |
|---|---|
timeout |
Valfri. Parametern timeout uttrycks i sekunder. Mer information finns i Ange tidsgränser för kötjänståtgärder. |
Begärandehuvuden
De obligatoriska och valfria begäranderubrikerna beskrivs i följande tabell:
| Begärandehuvud | Beskrivning |
|---|---|
Authorization |
Krävs. Anger auktoriseringsschema, lagringskontonamn och signatur. Mer information finns i Auktorisera begäranden till Azure Storage. |
Date eller x-ms-date |
Krävs. Anger UTC (Coordinated Universal Time) för begäran. Mer information finns i Auktorisera begäranden till Azure Storage. |
x-ms-version |
Valfri. Anger vilken version av åtgärden som ska användas för den här begäran. Mer information finns i Versionshantering för Azure Storage-tjänster. |
x-ms-client-request-id |
Valfri. Tillhandahåller ett klientgenererat, täckande värde med en kibibytesteckengräns (KiB) som registreras i loggarna när loggningen konfigureras. Vi rekommenderar starkt att du använder det här huvudet för att korrelera aktiviteter på klientsidan med begäranden som servern tar emot. Mer information finns i Övervaka Azure Files-. |
x-ms-file-request-intent |
Krävs om Authorization rubrik anger en OAuth-token. Acceptabelt värde är backup. Det här huvudet anger att Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action eller Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action ska beviljas om de ingår i RBAC-principen som tilldelats den identitet som är auktoriserad med hjälp av Authorization-huvudet. Tillgänglig för version 2022-11-02 och senare. |
Begärandetext
Du skapar en säkerhetsbeskrivning genom att placera ett JSON-objekt i begärandetexten. JSON-objektet kan ha följande fält:
| JSON-nyckel | Beskrivning |
|---|---|
permission |
Krävs. Behörighet i SDDL (Security Descriptor Definition Language) eller (version 2024-11-04 eller senare) i base64-kodat binärt säkerhetsbeskrivningsformat. Säkerhetsbeskrivningen måste ha en ägare, grupp och diskretionär åtkomstkontrollista (DACL). |
format |
Valfri. Version 2024-11-04 eller senare. Beskriver formatet för behörigheten som anges i permission. Om det definieras måste fältet anges till "sddl" eller "binary". Om det utelämnas används standardvärdet för "sddl". |
Om du använder SDDL bör SDDL-strängformatet för säkerhetsbeskrivningen inte ha någon domänrelativ identifierare (till exempel DU, DA eller DD) i den.
{
"permission": "<SDDL>"
}
I version 2024-11-04 eller senare kan du uttryckligen ange att behörigheten är i SDDL-format:
{
"format": "sddl",
"permission": "<SDDL>"
}
I version 2024-11-04 eller senare kan du också skapa en behörighet i base-64-kodat binärt format. I så fall måste du uttryckligen ange att formatet är "binary".
{
"format": "binary",
"permission": "<base64>"
}
Exempelbegäran
PUT https://myaccount.file.core.windows.net/myshare?restype=share&comp=filepermission HTTP/1.1
Request Headers:
x-ms-date: Mon, 27 Jan 2014 22:15:50 GMT
x-ms-version: 2014-02-14
Authorization: SharedKey myaccount:4KdWDiTdA9HmIF9+WF/8WfYOpUrFhieGIT7f0av+GEI=
Request Body:
{"permission": "O:S-1-5-21-2127521184-1604012920-1887927527-21560751G:S-1-5-21-2127521184-1604012920-1887927527-513D:AI(A;;FA;;;SY)(A;;FA;;;BA)(A;;0x1200a9;;;S-1-5-21-397955417-626881126-188441444-3053964)"}
Svar
Svaret innehåller en HTTP-statuskod och en uppsättning svarshuvuden.
Statuskod
En lyckad åtgärd returnerar statuskoden 201 (skapad).
Information om statuskoder finns i Status och felkoder.
Svarshuvuden
Svaret för den här åtgärden innehåller följande rubriker. Svaret kan också innehålla ytterligare STANDARD HTTP-huvuden. Alla standardhuvuden överensstämmer med HTTP/1.1-protokollspecifikationen.
| Svarsrubrik | Beskrivning |
|---|---|
x-ms-request-id |
Identifierar den begäran som gjordes unikt och du kan använda den för att felsöka begäran. |
x-ms-version |
Anger den Azure Files-version som användes för att köra begäran. |
Date eller x-ms-date |
Ett UTC-datum/tid-värde som genereras av tjänsten och som anger den tid då svaret initierades. |
x-ms-file-permission-key |
Nyckeln för den skapade behörigheten. |
x-ms-client-request-id |
Kan användas för att felsöka begäranden och deras motsvarande svar. Värdet för det här huvudet är lika med värdet för x-ms-client-request-id-huvudet om det finns i begäran och värdet inte innehåller fler än 1 024 synliga ASCII-tecken. Om x-ms-client-request-id-huvudet inte finns i begäran finns det inte i svaret. |
Svarstext
Ingen.
Tillstånd
Endast kontoägaren eller en anropare som har en signatur för delad åtkomst på resursnivå med skriv- och borttagningsauktorisering kan anropa den här åtgärden.
Anmärkningar
Om du vill göra SDDL-formatet portabelt mellan domän- och icke-domänanslutna datorer kan anroparen använda ConvertSecurityDescriptorToStringSecurityDescriptor Windows-funktion för att hämta bas-SDDL-strängen för säkerhetsbeskrivningen. Anroparen kan sedan ersätta SDDL-notationen som visas i följande tabell med rätt SID-värde.
| Namn | SDDL-notation | SID-värde | Beskrivning |
|---|---|---|---|
| Lokal administratör | LA | S-1-5-21-domain-500 | Ett användarkonto för systemadministratören. Som standard är det det enda användarkontot som får fullständig kontroll över systemet. |
| Lokala gäster | LG | S-1-5-21-domain-501 | Ett användarkonto för personer som inte har enskilda konton. Det här användarkontot kräver inget lösenord. Gästkontot är inaktiverat som standard. |
| Certifikatutgivare | CA | S-1-5-21-domain-517 | En global grupp som innehåller alla datorer som kör en företagscertifikatutfärdare. Certifikatutgivare har behörighet att publicera certifikat för användarobjekt i Active Directory. |
| Domänadministratörer | DA | S-1-5-21-domain-512 | En global grupp vars medlemmar har behörighet att administrera domänen. Som standard är gruppen Domänadministratörer medlem i gruppen Administratörer på alla datorer som har anslutit till en domän, inklusive domänkontrollanterna. Domänadministratörer är standardägaren för alla objekt som skapas av någon medlem i gruppen. |
| Domänkontrollanter | DD | S-1-5-21-domain-516 | En global grupp som innehåller alla domänkontrollanter i domänen. Nya domänkontrollanter läggs till i den här gruppen som standard. |
| Domänanvändare | DU | S-1-5-21-domain-513 | En global grupp som som standard innehåller alla användarkonton i en domän. När du skapar ett användarkonto i en domän läggs kontot till i den här gruppen som standard. |
| Domängäster | GD | S-1-5-21-domain-514 | En global grupp som som standard bara har en medlem, domänens inbyggda gästkonto. |
| Domändatorer | DOMÄNKONTROLLANT | S-1-5-21-domain-515 | En global grupp som innehåller alla klienter och servrar som har anslutit till domänen. |
| Schemaadministratörer | SA | S-1-5-21root domain-518 | En universell grupp i en domän i inbyggt läge. en global grupp i en domän i blandat läge. Gruppen har behörighet att göra schemaändringar i Active Directory. Som standard är den enda medlemmen i gruppen administratörskontot för skogens rotdomän. |
| Företagsadministratörer | EA | S-1-5-21root domain-519 | En universell grupp i en domän i inbyggt läge. en global grupp i en domän i blandat läge. Gruppen har behörighet att göra skogsomfattande ändringar i Active Directory, till exempel att lägga till underordnade domäner. Som standard är den enda medlemmen i gruppen administratörskontot för skogens rotdomän. |
| Ägare av grupprincipskapare | PA | S-1-5-21-domain-520 | En global grupp som har behörighet att skapa nya grupprincipobjekt i Active Directory. |
| RAS- och IAS-servrar | RS | S-1-5-21-domain-553 | En lokal domängrupp. Som standard har den här gruppen inga medlemmar. RAS-servrar (Remote Access Server) och IAS-servrar (Internet Authentication Service) i den här gruppen har läskontobegränsningar och läsbehörighet för inloggningsinformation till användarobjekt i den lokala Active Directory-domängruppen. |
| Skrivskyddade domänkontrollanter för företag | ED | S-1-5-21-domain-498 | En universell grupp. Medlemmar i den här gruppen är skrivskyddade domänkontrollanter i företaget. |
| Skrivskyddade domänkontrollanter | RO | S-1-5-21-domain-521 | En global grupp. Medlemmar i den här gruppen är skrivskyddade domänkontrollanter i domänen. |