Uprawnienia do tworzenia SPN

Zgodnie z niektórymi dokumentacjami, które przeczytałem, konto usługi dla serwera SQL utworzy nazwę SPN podczas uruchamiania silnika bazy danych, umożliwiając uwierzytelnianie Kerberos. Nie udało mi się znaleźć żadnej dokumentacji określającej, jakie pozwolenie będzie potrzebne konto, aby utworzyć SPN. Jakie więc uprawnienia musiałoby mieć konto (jeśli to możliwe, z wyjątkiem administratora domeny), aby utworzyć SPN?

Na podstawie tego artykułu MSDN i wyjaśnień @ Handyman5 sekcja „Delegowanie uprawnień do modyfikowania nazw SPN” stanowi

Jeśli chcesz zezwolić delegowanym administratorom na konfigurowanie głównych nazw usług (SPN), musisz upewnić się, że ich konta użytkowników mają uprawnienie do sprawdzania poprawności nazwy zasady zapisu .

Zezwolenie na delegowanie zweryfikowanej nazwy zasady zapisu do usługi wymaga członkostwa w administratorach domeny lub równoważnych

Ostatnio wymyśliłem, jak to zrobić. Postępuj zgodnie z instrukcjami w artykule MSDN na temat delegowania uprawnień do zapisu SPNS.

Należy jednak dodać jeszcze jedno uprawnienie do konta inne niż uprawnienie Zweryfikowane zapisywanie głównych nazw usług wymienione w artykule MSDN i jest to główna nazwa usługi zapisu .

Musisz dodać to uprawnienie w dokładnie taki sam sposób, jak ten artykuł instruuje Cię w Sprawdzonych nazwach głównych nazw usług (dotyczy obiektów komputerowych itp.).

Dodanie tego uprawnienia umożliwia zapis do atrybutu SPN bez konieczności pełnej kontroli, administratora domeny lub zapisu wszystkich właściwości.

Na marginesie, jeśli dodasz tylko uprawnienie Zweryfikowany zapis do głównych nazw usług, podczas próby utworzenia nazwy SPN pojawi się następujący błąd, a nie odmowa dostępu.

Nie udało się przypisać nazwy SPN do konta Błąd LDAPName 0x200b / 8203 -> Składnia atrybutu określona dla usługi katalogowej jest nieprawidłowa.