Згідно з деякою документацією, яку я прочитав, обліковий запис служби для сервера SQL створить SPN при запуску двигуна бази даних, що дозволить провести автентифікацію kerberos. Я не зміг знайти жодної документації, яка б вказувала, на який дозвіл потрібен обліковий запис для створення SPN. Отже, які дозволи повинні мати обліковий запис (якщо це можливо, адміністратор домену заборони), щоб створити SPN?
Відповіді:
На основі цієї статті MSDN та уточнення від @ Handyman5 у розділі "Делегування повноважень на зміну SPN" зазначено
Якщо вам потрібно дозволити делегованим адміністраторам конфігурувати імена основних служб (SPN), ви повинні переконатися, що їхні облікові записи користувачів мають підтверджений дозвіл імені принципу запису в сервіс .
Дозвіл на делегування затвердженого імені принципу служби для запису вимагає членства в адміністраторах домену або еквіваленті
Тому я нещодавно придумав, як це зробити. Виконайте кроки в статті MSDN про делегування дозволу на запис SPNS.
Однак вам потрібно додати ще один дозвіл для облікового запису, окрім перевіреного дозволу " Написати в сервіс" Основні імена, який згадується в статті MSDN, і це ім'я головного сервісу запису .
Потрібно додати цей дозвіл точно таким же чином, як і статтю про те, як ця стаття вказує на валідизовані записи в сервісні основні імена (стосується комп'ютерних об'єктів тощо).
Додавши цей дозвіл, він дозволяє записувати в атрибут SPN, не потребуючи повного контролю, адміністратора домену або запису всіх властивостей.
Як бічна примітка, якщо ви додасте лише підтверджений дозвіл запису до основних службових імен служби, ви отримаєте наступну помилку при спробі створення SPN та не буде відмовлено у доступі.
Не вдалося призначити SPN в обліковому записі помилка LDAPName 0x200b / 8203 -> Синтаксис атрибута, вказаний для служби каталогів, недійсний.