spnを作成する権限
いくつかのドキュメントによると、SQLサーバーのサービスアカウントを読んだところ、データベースエンジンの起動時にSPNが作成され、Kerberos認証が可能になります。 SPNを作成するためにアカウントが必要とする権限を示すドキュメントを見つけることができませんでした。それでは、SPNを作成するために、アカウントにはどのようなアクセス許可が必要ですか(可能な場合はドメイン管理者を除外する)。
これに基づいて [〜#〜] msdn [〜#〜] 記事、および@ Handyman5による明確化、セクション「SPNを変更する権限の委任」
委任された管理者がサービスプリンシパル名(SPN)を構成できるようにする必要がある場合は、ユーザーアカウントにサービスプリンシパル名への検証された書き込み権限権限があることを確認する必要があります。
委任する権限検証されたサービスプリンシパル名への書き込みには、Domain Adminsのメンバーシップまたは同等の権限が必要です
だから私は最近これを行う方法を見つけました。 SPNSへの書き込み権限の委任に関する [〜#〜] msdn [〜#〜] 記事の手順に従います。
ただし、MSDNの記事に記載されているValidated Write to Service Principal Names権限以外のアカウントの権限を1つ追加する必要がありますサービスプリンシパル名を書き込みます。
この権限は、記事がValidated Write to Service Principal Namesに指示する方法とまったく同じ方法で追加する必要があります(コンピューターオブジェクトに適用されます。等)。
このアクセス許可を追加することにより、フルコントロール、ドメイン管理、またはすべてのプロパティの書き込みを必要とせずに、SPN属性に書き込むことができます。
補足として、Validated Write to Service Principal Names権限のみを追加すると、SPNを作成しようとしてアクセスが拒否されず、次のエラーが発生します。
アカウントにSPNを割り当てることができませんでしたLDAPNameエラー0x200b/8203->ディレクトリサービスに指定された属性構文が無効です。