创建spn的权限

Question

根据我已经阅读的一些文档，SQL server的服务帐户将在数据库引擎启动时创建一个SPN，从而允许kerberos身份验证。我还没有找到任何文档来说明帐户创建SPN所需的权限。那么，一个帐户需要什么权限才能创建一个SPN (如果可能的话，禁止域管理)？

Answer 1

基于这篇MSDN文章，以及@Handyman5 5的澄清，“委托权限修改SPN”一节声明

如果需要允许委托管理员配置服务主体名称(SPN)，则必须确保其用户帐户具有已验证的“对服务的写入原则名称”权限。

委托已验证的写入服务原则名称的权限需要域管理员的成员资格，或等效的

Answer 2

所以我最近想出了怎么做。按照MSDN文章中有关委托编写SPNS的权限的步骤。

但是，除了MSDN文章中提到的已验证的“对服务主体名称的写入”权限之外，您还需要为该帐户添加一个权限，即“写入服务主体名称”。

您需要添加此权限，其方式与本文如何指导您如何对服务主体名称进行有效的写入(适用于计算机对象等)。

通过添加此权限，您可以写入SPN属性，而无需完全控制、域管理或写入所有属性。

另外，如果您只添加已验证的“对服务主体名称的写入”权限，则在尝试创建SPN而不是拒绝访问时将得到以下错误。

未能在帐户上分配LDAPName错误0x200b/8203 ->，指定给目录服务的属性语法无效。