根据我已经读过的一些文档,SQL服务器的服务帐户将在数据库引擎启动时创build一个SPN,从而允许kerberosvalidation。 我一直没能find任何文件说明什么权限的帐户将需要创build一个SPN。 那么,一个帐户需要什么权限(如果可能的话,禁止域pipe理员)来创build一个SPN?
根据这个MSDN文章和@ Handyman5的说明,“授权修改SPN”部分声明
如果您需要允许委派pipe理员configuration服务主体名称(SPN),则必须确保其用户帐户具有“validation写入服务主体名称”权限。
将“validation写入服务原则名称”授权的权限需要“在域pipe理员中的成员身份或等同权限”
所以我最近想出了如何做到这一点。 请按照MSDN文章中有关委派写入SPNS权限中的步骤操作。
但是,您需要为MSDN文章中提到的validation写入服务主体名称权限以外的帐户添加一个权限,该权限是写入服务主体名称 。
您需要以与文章指示您对“ 服务主体名称的validation写入” (适用于计算机对象等)的方式完全相同的方式添加此权限。
通过添加此权限,它允许您写入SPN属性,而无需完全控制,域pipe理员或写入所有属性。
作为一个附注,如果您只添加validation写入服务主体名称权限,您将在尝试创buildSPN时遇到以下错误,并且不会拒绝访问。
帐户LDAPName错误0x200b / 8203无法分配SPN – >为目录服务指定的属性语法无效。