Vytvořit oprávnění
Operace Create Permission vytvoří oprávnění (popisovač zabezpečení) na úrovni sdílené složky. Pro soubory a adresáře ve sdílené složce můžete použít vytvořený popisovač zabezpečení. Toto rozhraní API je k dispozici od verze 2019-02-02.
Dostupnost protokolu
| Povolený protokol sdílené složky | K dispozici |
|---|---|
| SMB |
|
| NFS |
|
Prosba
Můžete vytvořit požadavek Create Permission, jak je znázorněno zde. Doporučujeme používat PROTOKOL HTTPS.
| Metoda | Identifikátor URI požadavku | Verze HTTP |
|---|---|---|
PUT |
https://myaccount.file.core.windows.net/myshare?restype=share&comp=filepermission |
HTTP/1.1 |
Nahraďte komponenty cesty uvedené v identifikátoru URI požadavku vlastními komponentami, jak je znázorněno tady:
| Komponenta Path | Popis |
|---|---|
myaccount |
Název vašeho účtu úložiště. |
myshare |
Název sdílené složky. Název může obsahovat jenom malá písmena. |
Informace o omezeních pojmenování cest najdete v tématu Název a odkazové sdílené složky, adresáře, soubory a metadata.
Parametry identifikátoru URI
Pro identifikátor URI požadavku můžete zadat další parametry, jak je znázorněno tady:
| Parametr | Popis |
|---|---|
timeout |
Volitelný. Parametr timeout se vyjadřuje v sekundách. Další informace najdete v tématu Nastavení časových limitů pro operace frontové služby. |
Hlavičky požadavku
Povinná a volitelná hlavička požadavku jsou popsána v následující tabulce:
| Hlavička požadavku | Popis |
|---|---|
Authorization |
Požadovaný. Určuje schéma autorizace, název účtu úložiště a podpis. Další informace najdete v tématu Autorizace požadavků na službu Azure Storage. |
Date nebo x-ms-date |
Požadovaný. Určuje standard UTC (Coordinated Universal Time) pro požadavek. Další informace najdete v tématu Autorizace požadavků na službu Azure Storage. |
x-ms-version |
Volitelný. Určuje verzi operace, která se má pro tento požadavek použít. Další informace najdete v tématu Správa verzí pro služby Azure Storage. |
x-ms-client-request-id |
Volitelný. Poskytuje hodnotu vygenerovanou klientem, neprůshlenou hodnotou s limitem znaků 1 kibibajtů (KiB), který je zaznamenán v protokolech při konfiguraci protokolování. Důrazně doporučujeme použít tuto hlavičku ke korelaci aktivit na straně klienta s požadavky, které server přijímá. Další informace najdete v tématu Monitorování služby Azure Files. |
x-ms-file-request-intent |
Vyžaduje se, pokud hlavička Authorization určuje token OAuth. Přijatelná hodnota je backup. Tato hlavička určuje, že Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action nebo Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action by měly být uděleny, pokud jsou zahrnuty do zásad RBAC přiřazené k identitě, která je autorizovaná pomocí hlavičky Authorization. K dispozici pro verzi 2022-11-02 a novější. |
Text požadavku
Popisovač zabezpečení vytvoříte umístěním objektu JSON do textu požadavku. Objekt JSON může mít následující pole:
| Klíč JSON | Popis |
|---|---|
permission |
Požadovaný. Oprávnění |
format |
Volitelný. Verze 2024-11-04 nebo novější Popisuje formát oprávnění poskytnutého v permission. Je-li definováno, musí být toto pole nastaveno na "sddl" nebo "binary". Pokud tento parametr vynecháte, použije se výchozí hodnota "sddl". |
Pokud používáte SDDL, formát řetězce SDDL popisovače zabezpečení by v něm neměl mít relativní identifikátor domény (například DU, DA nebo DD).
{
"permission": "<SDDL>"
}
Ve verzi 2024-11-04 nebo novější můžete volitelně explicitně určit, že oprávnění je ve formátu SDDL:
{
"format": "sddl",
"permission": "<SDDL>"
}
Ve verzi 2024-11-04 nebo novější můžete také vytvořit oprávnění v binárním formátu s kódováním base-64. V takovém případě musíte explicitně určit, že formát je "binary".
{
"format": "binary",
"permission": "<base64>"
}
Ukázkový požadavek
PUT https://myaccount.file.core.windows.net/myshare?restype=share&comp=filepermission HTTP/1.1
Request Headers:
x-ms-date: Mon, 27 Jan 2014 22:15:50 GMT
x-ms-version: 2014-02-14
Authorization: SharedKey myaccount:4KdWDiTdA9HmIF9+WF/8WfYOpUrFhieGIT7f0av+GEI=
Request Body:
{"permission": "O:S-1-5-21-2127521184-1604012920-1887927527-21560751G:S-1-5-21-2127521184-1604012920-1887927527-513D:AI(A;;FA;;;SY)(A;;FA;;;BA)(A;;0x1200a9;;;S-1-5-21-397955417-626881126-188441444-3053964)"}
Odpověď
Odpověď obsahuje stavový kód HTTP a sadu hlaviček odpovědi.
Stavový kód
Úspěšná operace vrátí stavový kód 201 (vytvořeno).
Informace o stavových kódech naleznete v tématu Stav a kódy chyb.
Hlavičky odpovědi
Odpověď pro tuto operaci obsahuje následující hlavičky. Odpověď může obsahovat také další standardní hlavičky HTTP. Všechny standardní hlavičky odpovídají specifikaci protokolu HTTP/1.1.
| Hlavička odpovědi | Popis |
|---|---|
x-ms-request-id |
Jednoznačně identifikuje požadavek, který byl proveden, a můžete ho použít k řešení potíží s požadavkem. |
x-ms-version |
Označuje verzi služby Azure Files, která se použila k provedení požadavku. |
Date nebo x-ms-date |
Hodnota data a času UTC vygenerovaná službou a označuje čas zahájení odpovědi. |
x-ms-file-permission-key |
Klíč vytvořeného oprávnění. |
x-ms-client-request-id |
Dá se použít k řešení potíží s požadavky a jejich odpovídajícími odpověďmi. Hodnota této hlavičky se rovná hodnotě hlavičky x-ms-client-request-id, pokud se nachází v požadavku a hodnota neobsahuje více než 1 024 viditelných znaků ASCII. Pokud v požadavku není hlavička x-ms-client-request-id, není v odpovědi k dispozici. |
Text odpovědi
Žádný.
Oprávnění
Tuto operaci může volat pouze vlastník účtu nebo volající, který má sdílený přístupový podpis na úrovni sdílené složky s oprávněním k zápisu a odstranění.
Poznámky
Aby byl formát SDDL přenositelný mezi doménou a počítači, které nejsou připojené k doméně, volající může použít ConvertSecurityDescriptorToStringSecurityDescriptor funkci Windows k získání základního řetězce SDDL pro popisovač zabezpečení. Volající pak může nahradit notaci SDDL uvedenou v následující tabulce správnou hodnotou SID.
| Jméno | Zápis SDDL | Hodnota SID | Popis |
|---|---|---|---|
| Místní správce | Předložka z francouzštiny | S-1-5-21-domain-500 | Uživatelský účet správce systému. Ve výchozím nastavení je to jediný uživatelský účet, který má plnou kontrolu nad systémem. |
| Místní hosté | LG | S-1-5-21-domain-501 | Uživatelský účet pro uživatele, kteří nemají jednotlivé účty. Tento uživatelský účet nevyžaduje heslo. Ve výchozím nastavení je účet hosta zakázaný. |
| Vydavatelé certifikátů | CA | S-1-5-21-domain-517 | Globální skupina, která zahrnuje všechny počítače, na kterých běží certifikační autorita organizace. Vydavatelé certifikátů mají oprávnění publikovat certifikáty pro objekty uživatele ve službě Active Directory. |
| Domain Admins | DA | S-1-5-21-domain-512 | Globální skupina, jejíž členové mají oprávnění ke správě domény. Ve výchozím nastavení je skupina Domain Admins členem skupiny Administrators na všech počítačích, které se připojily k doméně, včetně řadičů domény. Domain Admins je výchozí vlastník libovolného objektu vytvořeného libovolným členem skupiny. |
| Řadiče domény | DD | S-1-5-21-domain-516 | Globální skupina, která zahrnuje všechny řadiče domény v doméně. Do této skupiny se ve výchozím nastavení přidají nové řadiče domény. |
| Uživatelé domény | DU | S-1-5-21-domain-513 | Globální skupina, která ve výchozím nastavení zahrnuje všechny uživatelské účty v doméně. Když vytvoříte uživatelský účet v doméně, účet se ve výchozím nastavení přidá do této skupiny. |
| Hosté domény | GŘ | S-1-5-21-domain-514 | Globální skupina, která má ve výchozím nastavení jenom jeden člen, předdefinovaný účet hosta domény. |
| Počítače domény | Stejnosměrný proud | S-1-5-21-domain-515 | Globální skupina, která zahrnuje všechny klienty a servery, které se připojily k doméně. |
| Správci schématu | Přidružení zabezpečení | Doména S-1-5-21root-518 | Univerzální skupina v doméně nativního režimu; globální skupina v doméně smíšeného režimu. Skupina má oprávnění provádět změny schématu ve službě Active Directory. Ve výchozím nastavení je jediným členem skupiny účet správce kořenové domény doménové struktury. |
| Podnikoví správci | EA | Doména S-1-5-21root-519 | Univerzální skupina v doméně nativního režimu; globální skupina v doméně smíšeného režimu. Skupina má oprávnění provádět změny v celé doménové struktuře ve službě Active Directory, jako je přidání podřízených domén. Ve výchozím nastavení je jediným členem skupiny účet správce kořenové domény doménové struktury. |
| Vlastníci zásad skupiny | TAŤKA | S-1-5-21-domain-520 | Globální skupina, která má oprávnění vytvářet nové objekty zásad skupiny ve službě Active Directory. |
| Servery RAS a IAS | RS | S-1-5-21-domain-553 | Místní doménová skupina. Ve výchozím nastavení tato skupina nemá žádné členy. Servery serveru vzdáleného přístupu (RAS) a služby IAS (Internet Authentication Service) v této skupině mají omezení pro čtení účtu a přístup ke čtení přihlašovacích informací k objektům uživatele v místní skupině domény služby Active Directory. |
| Podnikové řadiče domény jen pro čtení | ED | S-1-5-21-domain-498 | Univerzální skupina. Členové této skupiny jsou řadiče domény jen pro čtení v podniku. |
| Řadiče domény jen pro čtení | RO | S-1-5-21-domain-521 | Globální skupina. Členové této skupiny jsou řadiče domény jen pro čtení v doméně. |