web-dev-qa-db-fra.com

Autorisations pour créer un SPN

Selon une partie de la documentation que j'ai lue le compte de service pour SQL Server créera un SPN lorsque le moteur de base de données démarre, permettant l'authentification Kerberos. Je n'ai pas été en mesure de trouver une documentation qui indique quelle autorisation un compte aurait besoin de créer un SPN. Ainsi, quelles autorisations un compte aurait-il besoin d'un compte (sauf Domain Admin si cela est possible) afin de créer un SPN?

11
Thirster42

Basé sur cela MSDN Article et clarification de @ Handyman5, la section "Déléguer le pouvoir de modifier les SPNS"

Si vous devez autoriser les administrateurs délégués à configurer les noms principaux de service (SPNS), vous devez vous assurer que leurs comptes d'utilisateurs ont le validée écriture au principe de service autorisation .

La permission de déléguer validée Nom du principe de service au service nécessite Adhésion à des administrateurs de domaine ou équivalent

8
billinkc

Donc, j'ai récemment compris comment faire cela. Suivez les étapes dans le MSDN Article sur la délégation de la permission d'écrire SPNS.

Cependant, vous devez ajouter une autorisation de plus pour le compte autre que le Noms principaux écrits validés aux noms de service Autorisation mentionnée dans l'article MSDN et c'est Nom du capital de service.

Vous devez ajouter cette autorisation exacte de la même manière que la façon dont l'article vous indique sur les noms validées d'écriture aux noms principaux de service (s'applique aux objets informatiques, etc.).

En ajoutant cette autorisation, il vous permet d'écrire sur l'attribut SPN sans avoir besoin d'un contrôle complet, d'un administrateur de domaine ou d'écrire toutes les propriétés.

En tant que note latérale si vous n'ajoutez que le Noms de directeur validé sur le service Permission Vous obtiendrez l'erreur suivante tout en essayant de créer un SPN et non d'accès refusé.

Impossible d'assigner SPN sur compte LDAPName Erreur 0x200B/8203 -> La syntaxe d'attribut spécifiée au service d'annuaire n'est pas valide.

3
jkdba