那些遇到过的问题

创建 spn 的权限

Thi*_*r42 11 permissions active-directory kerberos spn

根据我阅读的一些文档,SQL 服务器的服务帐户将在数据库引擎启动时创建一个 SPN,允许进行 kerberos 身份验证。我找不到任何说明帐户创建 SPN 所需权限的文档。那么,为了创建 SPN,帐户需要具有哪些权限(如果可能,禁止域管理员)?

小智 8

基于这篇MSDN文章和@Handyman5 的澄清,“授权修改 SPN”部分指出

如果您需要允许委派管理员配置服务主体名称 (SPN),则必须确保其用户帐户具有验证写入服务主体名称权限。

验证写入委托给服务主体名称的权限需要Domain Admins 中的 Membership 或同等学历

  • 不必要; 您提供的链接提到您所需要的只是将“验证写入服务原则名称”权限委派给您的帐户或组。OP 可以为“Keytab Admins”创建一个组,并将此权限仅委派给它,而无需让每个人都成为域管理员。 (2认同)

归档时间:

查看次数:

32647 次

最近记录:

6 年 前
相关归档
我可以在 AD 网络中完全删除 Windows DNS 以支持 BIND9 吗? 11
Kerberos ktutil,有哪些可用的加密方式? 11
SSH Kerberos 身份验证在 debian 挤压上失败,并显示“请求中的主体错误/没有客户端凭据” 8
使用 PowerShell 管理 Windows 2003 Active Directory 域? 7
Server 2003 R2 上的 Active Directory 是否支持站点和服务中的 IPv6 子网? 6
后缀管道到脚本:execvp 权限被拒绝错误 6
如何检索 Windows 2008 和 2003 全局编录服务器的 LDAP 服务器证书? 5
列出组托管服务帐户中的当前主体 5
如何将 AD 密码设置为过期/使用 PowerShell 更改 4
使用目录同步向 Office 365 邮箱添加别名 1
难疑归档
如何查看 Nginx 编译时使用了哪些标志? 245
使用初始命令运行交互式 bash 子外壳,而无需立即返回(“超级”)外壳 134
系统管理员备忘单? 131
连接到上游时 connect() 失败(111:连接被拒绝) 117
冷却服务器柜 - 没有空调是可能的 102
你可以有多个 ~/.ssh/config 文件吗? 98
“debconf:延迟包配置,因为没有安装 apt-utils”是什么意思? 77
每个子域都需要自己的 SSL 证书吗? 74
来自 Chrome 的对无意义 URL 的异常 HEAD 请求 62
需要在 Powershell 脚本中添加“等待”命令 52