建立許可權
Create Permission 作業會在共享層級建立許可權(安全性描述項)。 您可以使用共享中檔案和目錄的已建立安全性描述元。 此 API 自 2019-02-02 版起提供。
通訊協定可用性
| 已啟用檔案共享通訊協定 | 可用 |
|---|---|
| SMB |
|
| NFS |
|
請求
您可以建構 Create Permission 要求,如下所示。 建議您使用 HTTPS。
| 方法 | 要求 URI | HTTP 版本 |
|---|---|---|
PUT |
https://myaccount.file.core.windows.net/myshare?restype=share&comp=filepermission |
HTTP/1.1 |
以您自己的元件取代要求 URI 中顯示的路徑元件,如下所示:
| 路徑元件 | 描述 |
|---|---|
myaccount |
記憶體帳戶的名稱。 |
myshare |
檔案共享的名稱。 名稱只能包含小寫字元。 |
如需路徑命名限制的相關信息,請參閱 名稱和參考共用、目錄、檔案和元數據。
URI 參數
您可以在要求 URI 上指定其他參數,如下所示:
| 參數 | 描述 |
|---|---|
timeout |
自選。
timeout 參數是以秒為單位來表示。 如需詳細資訊,請參閱 設定佇列服務作業逾時。 |
要求標頭
下表說明必要和選擇性的要求標頭:
| 要求標頭 | 描述 |
|---|---|
Authorization |
必填。 指定授權配置、記憶體帳戶名稱和簽章。 如需詳細資訊,請參閱 授權對 Azure 記憶體的要求。 |
Date 或 x-ms-date |
必填。 指定要求的國際標準時間(UTC)。 如需詳細資訊,請參閱 授權對 Azure 記憶體的要求。 |
x-ms-version |
自選。 指定要用於此要求的作業版本。 如需詳細資訊,請參閱 azure 記憶體服務的 版本設定。 |
x-ms-client-request-id |
自選。 提供客戶端產生的不透明值,其中包含設定記錄時記錄的 1-kibibyte (KiB) 字元限制。 強烈建議您使用此標頭,將用戶端活動與伺服器接收的要求相互關聯。 如需詳細資訊,請參閱 監視 Azure 檔案服務。 |
x-ms-file-request-intent |
如果 Authorization 標頭指定 OAuth 令牌,則為必要項。 可接受的值為 backup。 如果 Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action 或 Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action 包含在指派給使用 Authorization 標頭授權的身分識別中,則此標頭指定應授與 Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action 或 Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action。 適用於 2022-11-02 版和更新版本。 |
要求本文
您可以將 JSON 物件放在要求本文中,以建立安全性描述元。 JSON 物件可以有下列欄位:
| JSON 金鑰 | 描述 |
|---|---|
permission |
必填。 安全性描述元定義語言 (SDDL) 或 (2024-11-04 版或更新版本) 中,以base64編碼 二進位安全性描述元格式的許可權。 安全性描述項目必須具有擁有者、群組和 選擇性存取控制清單 (DACL)。 |
format |
自選。 版本 2024-11-04 或更新版本。 描述 permission中提供的許可權格式。 如果已定義,這個欄位必須設定為 "sddl" 或 "binary"。 如果省略,則會使用 "sddl" 的預設值。 |
如果使用 SDDL,則安全性描述元的 SDDL 字串格式不應該有網域相對識別碼(例如,DU、DA 或 DD)。
{
"permission": "<SDDL>"
}
在 2024-11-04 版或更新版本中,您可以選擇性地指定許可權為 SDDL 格式:
{
"format": "sddl",
"permission": "<SDDL>"
}
在 2024-11-04 版或更新版本中,您也可以以 base-64 編碼的二進位格式建立許可權。 在這裡情況下,您必須明確指定格式為 "binary"。
{
"format": "binary",
"permission": "<base64>"
}
範例要求
PUT https://myaccount.file.core.windows.net/myshare?restype=share&comp=filepermission HTTP/1.1
Request Headers:
x-ms-date: Mon, 27 Jan 2014 22:15:50 GMT
x-ms-version: 2014-02-14
Authorization: SharedKey myaccount:4KdWDiTdA9HmIF9+WF/8WfYOpUrFhieGIT7f0av+GEI=
Request Body:
{"permission": "O:S-1-5-21-2127521184-1604012920-1887927527-21560751G:S-1-5-21-2127521184-1604012920-1887927527-513D:AI(A;;FA;;;SY)(A;;FA;;;BA)(A;;0x1200a9;;;S-1-5-21-397955417-626881126-188441444-3053964)"}
回應
回應包含 HTTP 狀態代碼和一組響應標頭。
狀態代碼
成功的作業會傳回狀態代碼 201 (已建立)。
如您需狀態代碼的相關資訊,請參閱 狀態和錯誤碼。
回應標頭
此作業的回應包含下列標頭。 回應也可能包含額外的標準 HTTP 標頭。 所有標準標頭都符合 HTTP/1.1 通訊協定規格,。
| 回應標頭 | 描述 |
|---|---|
x-ms-request-id |
唯一識別已提出的要求,而且您可以使用它來針對要求進行疑難解答。 |
x-ms-version |
指出用來執行要求的 Azure 檔案服務版本。 |
Date 或 x-ms-date |
服務所產生的 UTC 日期/時間值,表示起始響應的時間。 |
x-ms-file-permission-key |
已建立之許可權的索引鍵。 |
x-ms-client-request-id |
可用來針對要求及其對應的回應進行疑難解答。 如果此標頭存在於要求中,則這個標頭的值等於 x-ms-client-request-id 標頭的值,而且值包含不超過 1,024 個可見的 ASCII 字元。 如果要求中沒有 x-ms-client-request-id 標頭,它就不會出現在回應中。 |
回應本文
沒有。
授權
只有具有共用層級共用存取簽章且具有寫入和刪除授權的帳戶擁有者或呼叫端,才能呼叫這項作業。
言論
若要讓 SDDL 格式可移植到網域和非加入網域的計算機,呼叫者可以使用 ConvertSecurityDescriptorToStringSecurityDescriptor Windows 函式來取得安全性描述元的基底 SDDL 字串。 接著,呼叫端可以使用正確的 SID 值取代下表所列的 SDDL 表示法。
| 名字 | SDDL 表示法 | SID 值 | 描述 |
|---|---|---|---|
| 本機系統管理員 | 洛杉磯 | S-1-5-21-domain-500 | 系統管理員的用戶帳戶。 根據預設,這是唯一能夠完全控制系統的用戶帳戶。 |
| 本機來賓 | LG | S-1-5-21-domain-501 | 沒有個別帳戶的人員用戶帳戶。 此用戶帳戶不需要密碼。 根據預設,來賓帳戶會停用。 |
| 憑證發行者 | CA | S-1-5-21-domain-517 | 全域群組,其中包含執行企業證書頒發機構單位的所有計算機。 憑證發行者有權在Active Directory 中發佈User對象的憑證。 |
| 網域管理員 | 大 | S-1-5-21-domain-512 | 全域群組,其成員有權管理網域。 根據預設,Domain Admins 群組是已加入網域的所有計算機上 Administrators 群組的成員,包括域控制器。 Domain Admins 是群組中任何成員所建立之任何對象的預設擁有者。 |
| 域控制器 | DD | S-1-5-21-domain-516 | 包含網域中所有域控制器的全域群組。 新的域控制器預設會新增至此群組。 |
| 網域使用者 | 都 | S-1-5-21-domain-513 | 根據預設,全域群組會包含網域中的所有用戶帳戶。 當您在網域中建立用戶帳戶時,預設會將帳戶新增至此群組。 |
| 網域來賓 | DG | S-1-5-21-domain-514 | 根據預設,全域群組只有一個成員,也就是網域的內建來賓帳戶。 |
| 網域電腦 | 直流 | S-1-5-21-domain-515 | 全域群組,包含已加入網域的所有客戶端和伺服器。 |
| 架構管理員 | SA | S-1-5-21root domain-518 | 原生模式網域中的通用群組;混合模式網域中的全域群組。 此群組已獲授權在 Active Directory 中進行架構變更。 根據預設,群組的唯一成員是樹系根域的系統管理員帳戶。 |
| 企業系統管理員 | EA | S-1-5-21root domain-519 | 原生模式網域中的通用群組;混合模式網域中的全域群組。 此群組已獲授權在Active Directory 中進行全樹系變更,例如新增子網域。 根據預設,群組的唯一成員是樹系根域的系統管理員帳戶。 |
| 組策略建立者擁有者 | PA | S-1-5-21-domain-520 | 授權在 Active Directory 中建立新組策略物件的全域群組。 |
| RAS 和 IAS 伺服器 | RS | S-1-5-21-domain-553 | 網域本地組。 根據預設,此群組沒有成員。 此群組中的遠端存取伺服器 (RAS) 和因特網驗證服務 (IAS) 伺服器具有 Active Directory 網域本機群組中使用者物件的讀取帳戶限制和讀取登入資訊存取權。 |
| 企業只讀域控制器 | ED | S-1-5-21-domain-498 | 通用群組。 此群組的成員是企業中的唯讀域控制器。 |
| 唯讀域控制器 | RO | S-1-5-21-domain-521 | 全域群組。 此群組的成員是網域中的只讀域控制器。 |