Согласно некоторым документам, которые я прочитал, учетная запись службы для SQL-сервера будет создавать SPN при запуске ядра базы данных, что позволяет выполнять аутентификацию Kerberos. Мне не удалось найти документацию, в которой указано, какое разрешение потребуется учетной записи для создания SPN. Итак, какие разрешения должны быть у учетной записи (если возможно, запретить администратору домена) для создания SPN?
Основываясь на этом MSDN статья и пояснение @ Handyman5, в разделе «Делегирование полномочий на изменение SPN» говорится
Если вам нужно разрешить делегированным администраторам настраивать имена участников-служб (SPN), вы должны убедиться, что их учетные записи пользователей имеют Подтвержденное имя принципа записи в службу разрешение.
Разрешение делегировать Подтвержденное имя принципа записи в службу требует Членство в Администраторах домена или эквивалент
Итак, я недавно понял, как это сделать. Следуйте инструкциям в MSDN статья о делегировании права на запись SPNS.
Однако вам необходимо добавить еще одно разрешение для учетной записи, кроме Подтвержденная запись в имена участников службы разрешение, упомянутое в статье MSDN, и это написать имя участника службы.
Вам необходимо добавить это разрешение точно так же, как в статье говорится о Подтвержденная запись в имена участников службы (относится к компьютерным объектам и т. д.).
Добавляя это разрешение, вы можете записывать в атрибут SPN без необходимости полного контроля, администратора домена или записи всех свойств.
В качестве примечания, если вы добавите только Подтвержденная запись в имена участников службы разрешение, вы получите следующую ошибку при попытке создать имя участника-службы без отказа в доступе.
Не удалось назначить SPN учетной записи LDAPName ошибка 0x200b / 8203 -> Синтаксис атрибута, указанный для службы каталогов, недопустим.