ตามเอกสารบางส่วนที่ฉันได้อ่านบัญชีบริการสำหรับเซิร์ฟเวอร์ SQL จะสร้าง SPN เมื่อเอ็นจิ้นฐานข้อมูลเริ่มต้นขึ้นเพื่อให้สามารถตรวจสอบสิทธิ์ Kerberos ได้ ฉันไม่สามารถค้นหาเอกสารใด ๆ ที่ระบุว่าต้องได้รับอนุญาตจากบัญชีใดเพื่อสร้าง SPN ดังนั้นบัญชีใดที่จำเป็นต้องมีสิทธิ์ (ยกเว้นผู้ดูแลระบบโดเมนหากเป็นไปได้) เพื่อสร้าง SPN
คำตอบ:
ตามบทความMSDNนี้และการชี้แจงโดย @ Handyman5 ส่วน "การมอบอำนาจในการแก้ไข SPNs"
หากคุณต้องการอนุญาตให้ผู้ดูแลระบบที่ได้รับมอบหมายสามารถกำหนดค่าชื่อบริการหลัก (SPNs) ได้คุณต้องตรวจสอบให้แน่ใจว่าบัญชีผู้ใช้ของพวกเขาได้รับสิทธิ์ในการเขียนชื่อหลักการบริการเพื่อตรวจสอบแล้ว
การอนุญาตให้มอบหมายชื่อการเขียนที่ถูกต้องถึงหลักการบริการต้องเป็นสมาชิกใน Domain Admins หรือเทียบเท่า
ดังนั้นเมื่อเร็ว ๆ นี้ฉันจึงค้นพบวิธีการทำสิ่งนี้ ทำตามขั้นตอนในบทความMSDNเกี่ยวกับการมอบสิทธิ์ในการเขียน SPNS
แต่คุณจะต้องเพิ่มมากขึ้นอย่างใดอย่างหนึ่งได้รับอนุญาตสำหรับบัญชีอื่นนอกเหนือจากการตรวจสอบเขียนชื่อบริการหลักได้รับอนุญาตที่มีการกล่าวถึงในบทความ MSDN และนั่นคือการเขียนชื่อบริการหลัก
คุณต้องเพิ่มการอนุญาตนี้ในลักษณะเดียวกับที่บทความแนะนำให้คุณใช้ชื่อหลักการตรวจสอบการเขียนเพื่อการบริการ (ใช้กับวัตถุคอมพิวเตอร์ ฯลฯ )
โดยการเพิ่มการอนุญาตนี้จะช่วยให้คุณสามารถเขียนไปยังแอตทริบิวต์ SPN โดยไม่จำเป็นต้องมีการควบคุมเต็มรูปแบบผู้ดูแลโดเมนหรือเขียนคุณสมบัติทั้งหมด
ในฐานะที่เป็นบันทึกด้านข้างหากคุณเพิ่มเฉพาะสิทธิ์การเขียนเพื่อตรวจสอบชื่อบริการหลักคุณจะได้รับข้อผิดพลาดต่อไปนี้ในขณะที่พยายามสร้าง SPN และไม่เข้าถึงถูกปฏิเสธ
ไม่สามารถกำหนด SPN ในบัญชีLDAPNameข้อผิดพลาด 0x200b / 8203 -> ไวยากรณ์ของแอตทริบิวต์ที่ระบุให้กับบริการไดเรกทอรีไม่ถูกต้อง