Theo một số tài liệu tôi đã đọc tài khoản dịch vụ cho máy chủ SQL sẽ tạo SPN khi công cụ cơ sở dữ liệu khởi động, cho phép xác thực kerberos. Tôi chưa thể tìm thấy bất kỳ tài liệu nào nêu rõ quyền mà tài khoản sẽ cần để tạo SPN. Vậy, tài khoản nào cần có tài khoản (cấm quản trị viên tên miền nếu có thể) để tạo SPN?
Câu trả lời:
Dựa trên bài viết MSDN này và được làm rõ bởi @ Handyman5, phần "Cơ quan ủy quyền sửa đổi SPN" nêu rõ
Nếu bạn cần cho phép quản trị viên được ủy quyền định cấu hình tên chính của dịch vụ (SPN), bạn phải đảm bảo rằng tài khoản người dùng của họ có quyền ghi tên nguyên tắc dịch vụ được xác thực.
Quyền ủy quyền ghi tên được xác thực vào tên nguyên tắc dịch vụ yêu cầu Tư cách thành viên trong Quản trị viên tên miền hoặc tương đương
Vì vậy, gần đây tôi đã tìm ra cách để làm điều này. Thực hiện theo các bước trong bài viết MSDN về việc ủy quyền cho SPNS.
Tuy nhiên, bạn cần thêm một quyền cho tài khoản khác với quyền Cấp phép Tên chính cho dịch vụ được ghi hợp lệ được đề cập trong bài viết MSDN và đó là ghi tên chính của dịch vụ .
Bạn cần thêm quyền này theo cách chính xác giống như cách bài viết hướng dẫn bạn về Tên hiệu trưởng ghi vào dịch vụ được xác thực (áp dụng cho các đối tượng máy tính, v.v.).
Bằng cách thêm quyền này, nó cho phép bạn ghi vào thuộc tính SPN mà không cần toàn quyền kiểm soát, quản trị viên tên miền hoặc viết tất cả các thuộc tính.
Là một lưu ý phụ nếu bạn chỉ thêm quyền Cấp phép ghi tên dịch vụ được xác thực vào dịch vụ, bạn sẽ gặp lỗi sau khi cố gắng tạo SPN và không truy cập bị từ chối.
Không thể gán SPN trên tài khoản LDAPName lỗi 0x200b / 8203 -> Cú pháp thuộc tính được chỉ định cho dịch vụ thư mục không hợp lệ.