Разрешения на создание spn
В соответствии с некоторыми документами, которые я прочитал, учетная запись службы для сервера SQL создаст имя участника-службы при запуске ядра базы данных, что позволит выполнять проверку подлинности Kerberos. Мне не удалось найти какую-либо документацию, в которой указано, какое разрешение потребуется учетной записи для создания имени участника-службы. Итак, какие разрешения должна иметь учетная запись (за исключением администратора домена, если это возможно) для создания имени участника-службы?
2 ответа
Основываясь на этой статье MSDN и разъяснениях @Handyman5, в разделе "Делегирование полномочий на изменение имен SPN" говорится
Если вам нужно разрешить делегированным администраторам настраивать имена участников службы (SPN), вы должны убедиться, что их учетные записи имеют разрешение на проверку имени принципа записи.
Разрешение на делегирование "Подтвержденная запись в имя принципа службы" требует "Членство в Администраторах домена или эквивалент"
Поэтому я недавно выяснил, как это сделать. Следуйте инструкциям в статье MSDN о делегировании разрешения на запись SPNS.
Однако вам нужно добавить еще одно разрешение для учетной записи, отличное от разрешения Проверенная запись в имена участников службы, которое упоминается в статье MSDN и является именем участника службы записи.
Вы должны добавить это разрешение точно так же, как и в статье, в которой говорится о проверенных записях имен участников службы (относится к объектам компьютеров и т. Д.).
Добавив это разрешение, вы сможете выполнять запись в атрибут SPN без необходимости полного контроля, администрирования домена или записи всех свойств.
В качестве дополнительного примечания, если вы только добавите разрешение " Проверенная запись в имена участников службы", вы получите следующую ошибку при попытке создать имя участника-службы и запретить доступ.
Не удалось назначить имя участника- службы для учетной записи LDAPName. Ошибка 0x200b/8203 -> Синтаксис атрибута, указанный для службы каталогов, недействителен.