На контроллере домена Windown Server 2008 я пытаюсь добавить имя участника-службы (SPN) в учетную запись пользователя Postmaster, чтобы включить аутентификацию Kerberos с почтового сервера Communigate. Командная строка, которую я использую, имеет вид:
setspn -a imap/email-domain.com windows-domain\postmaster
Когда я запускаю эту команду, я получаю результат:
Registering ServicePrincipalNames for CN=Postmaster,OU=Users,DC=windows-domain,DC=com
imap/email-domain.com
Failed to assign SPN on account 'CN=Postmaster,OU=Users,DC=windows-domain,DC=com', error 0x2098/8344 ->
Insufficient access rights to perform the operation.
Это очень любопытно, так как я вошел в систему как пользователь в группе «Администраторы домена». Я проверил действующие привилегии для этой учетной записи и не вижу никаких, которые не включены. Я также попробовал использовать другую учетную запись администратора с тем же результатом.
Чтобы исключить это, я также добавил пользователя Postmaster в Администраторы домена, но не изменил результат.
Я запускаю эту команду непосредственно на экземпляре контроллера домена. Я могу без труда запрашивать SPN, я просто не могу их писать.
Я также попытался использовать ktpass для косвенной установки SPN для желаемого пользователя, но получил предупреждение:
WARNING: Unable to set SPN mapping data.
... что, как я полагаю, является признаком той же проблемы недостаточного доступа.
Что могло вызвать эту ошибку?
Вы запускаете из командной строки с повышенными привилегиями (щелкните правой кнопкой мыши, «Запуск от имени администратора»)? В противном случае это объяснило бы ошибку.